楼主: ydjjydjj
收起左侧

[讨论] 这杀软开机启动的速度很是个问题啊……

  [复制链接]
cz88
头像被屏蔽
发表于 2016-7-24 11:13:05 | 显示全部楼层
网卡启动慢才是王道   
jasonliul
头像被屏蔽
发表于 2016-7-24 12:39:44 | 显示全部楼层
AntiRansom 反勒索工具
http://www.winpatrol.com

西班牙
[马德里欧洲大学社区]
Anti Ransom 开源软件
http://www.security-projects.com/?Anti_Ransom
Win7以上 V3.01
https://github.com/YJesus/AntiRa ... AntiRansomV3.01.rar
XP 2.5 beta [无担保]
https://bintray.com/artifact/dow ... nsom/AntiRansom.zip

CryptoPrevent
https://www.foolishit.com/cryptoprevent-malware-prevention/

本来就应该测试专用工具.


从MSE雄霸免费市场开始, 各家安软都精简裁撤, 这是安软必然的趋势,
不可能因为区区一种病毒就复辟以前的大炮重舰
qftest
发表于 2016-7-24 12:54:44 | 显示全部楼层
jasonliul 发表于 2016-7-24 12:39
AntiRansom 反勒索工具
http://www.winpatrol.com

测的是谁能在开机时拦截自启动样本,也就是杀软在系统启动过程中的保护能力,OK?
饭@avast
发表于 2016-7-24 14:29:28 | 显示全部楼层
论ELAM的重要性。

ELOHIM
发表于 2016-7-24 18:18:22 | 显示全部楼层
MSE好叼的样子。
qftest
发表于 2016-7-24 20:46:57 | 显示全部楼层
清道夫900 发表于 2016-7-23 13:48
大龙,大蜘蛛如果参与这个测试会是什么结果?

https://www.youtube.com/watch?v=ZdnGqoKqbX0
大寡妇的同一测试者的同类测试,寡妇完败
从这个视频内容及下面的讨论来看,测试者是将样本写入服务项实现的自启动
@驭龙
同样还另有大数字的测试,有些不解的是最后一步貌似数字败了(启动过程中被成功加密),但评论却说通过了测试
驭龙
发表于 2016-7-25 08:54:45 | 显示全部楼层
qftest 发表于 2016-7-24 20:46
https://www.youtube.com/watch?v=ZdnGqoKqbX0
大寡妇的同一测试者的同类测试,寡妇完败
从这个视频内 ...

大蜘蛛的硬伤是之前的特征库加载很慢,现在也快不了多少的,这个我之前就说有可能败吧

不过这种测试在真实环境中,真的很难发生,毕竟入库威胁如何自我添加启动项,没有运行就被干掉了,如果是未入库的,那么成功添加启动项的话,即使是重启Windows,安软一样不杀,不是么?这种测试只是测的安软引擎和特征库的加载与性能
ydjjydjj
 楼主| 发表于 2016-7-25 13:54:56 | 显示全部楼层
驭龙 发表于 2016-7-25 08:54
大蜘蛛的硬伤是之前的特征库加载很慢,现在也快不了多少的,这个我之前就说有可能败吧

不过这种测试在 ...

好像又没这么简单
测试者自定义的三个勒索软件在运行前是免杀的,可能是加了什么壳
所有测试都有一个特点,三个勒索软件就放在桌面上,所有杀软的即时监控都没有任何反应。
然后运行勒索软件,勒索软件先自动关机,所有杀软的即时监控也都没反应。
接着重启开机,就开始比拼杀软启动速度和勒索软件启动速度谁快了。(这个时候所有杀软都能发现勒索软件在运作,只是速度快慢问题)

不知道我上面的理解对不对
驭龙
发表于 2016-7-25 14:01:48 | 显示全部楼层
本帖最后由 驭龙 于 2016-7-25 14:21 编辑
ydjjydjj 发表于 2016-7-25 13:54
好像又没这么简单
测试者自定义的三个勒索软件在运行前是免杀的,可能是加了什么壳
所有测试都有一个特 ...


你说的这情况,会不会是快捷方式?指定其他位置的威胁运行?

再有就是就算免杀了,大多数安软有执行监控和内存监控,所以样本自己添加启动项的可能性还是不是很大,另外真的是免杀的话,就是依靠行为分析来识别了
==============================
看了半分钟,样本双击以后会有提示之后重启,这应该是测试者准备好的命令
蓝核
发表于 2016-9-2 23:44:55 | 显示全部楼层
qftest 发表于 2016-7-23 19:18
这个也属于利用系统程序的脚本类,但更高端涉及到了注册表,我严重怀疑ESET可以防御,另加个antiexec非常 ...

看到这里插一句 奇怪了……诺顿按道理aggesive应该比normal牛逼啊……
你难道多台机器 一台eset一台vse?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 07:18 , Processed in 0.101229 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表