CylanceProtect 1.2简单体验报告 完成

ccboxes

试用了@900703 提供的CylanceProtect 1.2，简单说一下。

环境：Win10 14393.51 X64

1.UI

如下图，非常简陋，分四个选项卡，分别是检测到的威胁、漏洞利用、事件、恶意脚本。因为虚拟机操作不便，我直接使用了http://bbs.kafan.cn/thread-2053473-1-1.html中的图，见谅。

因为是企业版，没有管理端也没有办法设置其选项。


2.功能


目前的CylanceProtect仍然处于Demo阶段，因此功能也很简陋。

①文件监控

没有手动扫描功能，使得样本测试变得困难。因此我在测试8.19的精睿包时采取改名后来回复制的方法，结果发现CylanceProtect的文件监控十分玄学，反应慢，重复测试几遍击杀数居然每次都不一样 ，最后最好成绩为20个。。。。。。。。。。
而且在测试中CylanceProtect无法处理检测到的威胁，直到我手动删除样本才显示Clear ，莫非Demo版只检测不处理？也许是因为其还不能完美兼容14393.51吧。

②双击测试

将精睿包中CylanceProtect漏杀的exe与js运行，结果发现其新击杀不少，但是与测试①问题相同，仍然只检测不处理，我看到官网的测试视频中，是将几十个样本同时运行以彰显CylanceProtect不知道比SCEP高到哪里去的并发处理能力，就如法炮制，结果虚拟机里各种衍生物乱飞 ，最后被加密勒索搞得系统崩溃，也无法统计到底新杀了几个，但可以肯定的是，不少样本（至少3个）完全逃过了查杀（衍生物也正常运行）。有不少样本（至少5个），本体逃过衍生物被检出（但CylanceProtect不阻止运行）。

③自保能力

本来到这里测试就该结束了，不过我恢复虚拟机快照后突然想试一试其自保能力，结果没想到还不错，常规方法均不能结束其进程，使用工具强杀导致蓝屏，重启后依旧正常运行；卸载带密码保护（默认就有密码但不知道是什么），模拟点击卸载也行不通；系统重置会直接蓝屏，也无法删除。也导致我的虚拟机只能重装


3.结论


仅从坛友提供的这个版本来看，CylanceProtect的完成度还很低，查杀效果较不理想，基本功能实现有问题。机器学习作为现今模式识别最有效的方法，其潜力毋庸置疑，但CylanceProtect？还是算了吧。

qftest

文件监控十分玄学+1

欧阳宣

这类做法的应用我还不如期待咖啡

cylance是典型的喜欢吹牛的风格

windows7爱好者

文件监控十分玄学2333333

jasonliul

英国人吹嘘下一代
http://www.scmagazine.com/cylanceprotect/review/4419/

俄国玩家表示"无话可说"

900703

jasonliul 发表于 2016-8-26 20:13
英国人吹嘘下一代
http://www.scmagazine.com/cylanceprotect/review/4419/

去問問他們有沒有玩過 順便要個有正常隔離的安裝檔