avast的行为防御

wangkaka

最近稍微测试了一下小a的行为防御，我从没有用过avg，所以不知道以前的idp效果怎么样，但就我的测试看，avast的行为防护不足还是蛮多的。
就是最近的25号的精锐包，我测到56已经测不下去了，如图：
我的exe病毒文件都被加密了。各种加密大荟萃，加密一层又一层。连小a图标也被加密了 。
大约测试了40-50个病毒左右，期间idp报毒还是有的，如图。
idp报毒率和卡巴和sonar比起来还是低了不少，这是可以明显看出来的。
idp报毒率低还不是最大问题，最大问题是防御点太迟了，所有行为防御发现的勒索都是在加密基本完成后才报毒，没有一个是完美防御的。
我的测试是用2-6的毒库，主要测试idp组件。
还有小a的自我保护也 。。。

说两个令人高兴的发现：
1.注意隔离区中016，028两项，是在我双击时报毒，但从名称上看不是主防报毒。可能是类似于eset的高级内存扫描这一类。或者是动态启发？（ps：我扫描所有选项开的最高，而监控是默认，不存在因为监控启发较高的原因）
2.024这一项主防报毒是在我重启后报毒的，我桌面还没出来就已经报毒，说明小a防护加载的还是比较早的。

KK院长

在加密基本完成后才报毒，那不是等死吗？

wangkaka

KK院长 发表于 2017-2-26 18:59
在加密基本完成后才报毒，那不是等死吗？

可以让你明白的死去啊，知道自己是怎么死的。

KK院长

wangkaka 发表于 2017-2-26 19:03
可以让你明白的死去啊，知道自己是怎么死的。

以前的IDP不是这样的， 还指望成大器呢

wangkaka

KK院长 发表于 2017-2-26 19:09
以前的IDP不是这样的， 还指望成大器呢

可能小a技术人员还没吃透idp？
其实我更好奇那个不是主防报毒，但却扫描不报双击报的是什么黑科技

/tiao眼镜鱼

那楼主能不能再安装上avg测试一下？

ShirahimeKanata

Win32:Evo-gen [Susp]，启发杀，[Susp]代表可疑
http://bbs.jirenkj.com/read-105

ShirahimeKanata

小a分析行为有4种

启发（代码模拟）
DS隔离沙盒15秒分析
CC上传云分析
IDP行为分析

要是DS发挥作用，就不怕回滚不了加密文件了

神墓

说的我 好怕 怎么办

ccboxes

你这估计是因为连续双击太多次用光了Avast的缓存，不然加密完再杀也没事，IDP有回滚。