查看: 11865|回复: 23
收起左侧

[杀软评测] 联网状态下测试腾讯电脑管家主防

  [复制链接]
wangkaka
发表于 2017-11-16 22:04:31 | 显示全部楼层 |阅读模式
本帖最后由 wangkaka 于 2017-11-16 22:25 编辑

今天逛逛卡饭毒区,看到@191196846  大佬发布的最新病毒(我看到的时候才过去10分钟,腾讯金山还没有大规模入库)这是难得的机会,我就随便测了测管家主防,结果,看下文吧。。。

ps:
1.环境,vm虚拟机windows7 64位,实机环境:eis(10月20号旧毒库)。
2.结果:
   一:eset旧毒库(10月20日毒库)查杀14,查杀率:21.5%
   二:腾讯管家查杀率(11月16日20时20分云联网毒库时间):一扫:13,查杀率:20%(剩余样本52个);二扫:19,查杀率:29.2%(多出来的6个均为测试期间云拉黑)
          管家主防完全拦截数目:6个,不完全拦截数目:4个(拦截衍生物,拦截启动项,病毒本身危害行为还是跑起来了)
   三:管家查杀剩余52个样本中:白文件:2个;
          无法运行或程序有问题自身危害性行为无法跑出:6个;
          反虚拟机:2个
          java文件数(非pe文件我就不测试了。。):2个
          管家测试期间拉黑:6个(均于1小时内)

         注:不保证本人认为的白文件一定无害
   四:能在虚拟机中跑出行为的样本数:36个
          管家主防6个,主防拦截率:16.7%
          实体机eset(旧毒库)流量防御及IDS“协助拦截”虚拟机中病毒数:9个,拦截率:25%。
   五:去掉白文件,有问题的,java,反虚拟机:
          腾讯实际联网总拦截率:47.2%(算上1小时后的二扫)
          10月20号病毒库的eset:43.4%(注意,eset拦截率仅仅指利用旧毒库下的查杀和IDP网络防御防御,且eset是在实机下,病毒在虚拟机执行。并没有体现eset的ams内存扫描,hips,及主防的威力,所以eset实际旧毒库下可以拦截的数目会更多,应该比二扫的腾讯多)

3.总结:腾讯管家的主防还是有的,以后不要说没有了,也别说没见过呢,没有和有但没什么用还是有点区别的
管家的主防似乎基本以单步为主,在测试时发现有一个样本在双击后几分钟云杀了,可能是本地有一些可疑文件或行为“探针”,发现自动上报分析。管家主防大多以禁运cmd, powershell, office这些为主,详细了解见:https://bbs.kafan.cn/thread-2107061-1-1.html
@B100D1E55  大佬有关eset官方规则的描述。
管家的主防对某些宏病毒有奇效,在防住的6个中,有4个是利用宏调起powershell,script,rundll32等这些系统进程下载恶意软件的,腾讯主防在这方面还算说得过去。不过对新勒索,管家主防基本可以说完全拦不住,管家主防也拦不住注入,没有IDS等网络防御功能,主防拦不住远控。


话说@B100D1E55  大佬,这次测试让我新买的eset感觉物有所值啊,想不到eset的防火墙还有IDS僵尸网络防御这么强

1.
首先让eset表演一下(病毒库10月20日,很久的库,用eset
作为对比。。

eset1

eset1


eset2

eset2



评分

参与人数 1分享 +2 人气 +1 收起 理由
屁颠屁颠 + 2 + 1 版区有你更精彩: )

查看全部评分

Jerry.Lin
发表于 2017-11-16 22:38:35 | 显示全部楼层
本帖最后由 191196846 于 2017-11-16 23:01 编辑

前排滋磁滋磁测试

诶^第一次看到这么多管家弹窗,有点surprise

但细看发现大部分都是单步或者禁运, 少部分貌似有多步(行为判定)

不过能防的还是小部分,而且断网直接GG

如果楼主有空,可以再做下国际版(OEM)的对比,会更直观体现腾讯的技术水平


我发的包嗯还是有点问题,以后会继续提升质量的……


评分

参与人数 1人气 +1 收起 理由
B100D1E55 + 1 近期毒包RQ

查看全部评分

B100D1E55
发表于 2017-11-17 00:18:35 | 显示全部楼层
先来支持一下,等下有空认真读
wangkaka
 楼主| 发表于 2017-11-17 00:27:27 | 显示全部楼层
B100D1E55 发表于 2017-11-17 00:18
先来支持一下,等下有空认真读

大佬,等会还有eset10月20日毒库的测试,也是测试这些病毒,结果,我感到还是蛮欣慰的。
zst470396853
发表于 2017-11-17 00:39:47 | 显示全部楼层
如果楼主有空,可以再做下国际版(OEM)的对比,会更直观体现腾讯国际版(小BD)的技术水平
wangkaka
 楼主| 发表于 2017-11-17 00:50:04 | 显示全部楼层
zst470396853 发表于 2017-11-17 00:39
如果楼主有空,可以再做下国际版(OEM)的对比,会更直观体现腾讯国际版(小BD)的技术水平

关键没有必要啊。。。。就是看到一堆比特梵德的avc报毒。。
而且这个样本是有时效性的,现在腾讯无论国内外都拉黑了,没法联网测试了
wangkaka
 楼主| 发表于 2017-11-17 01:14:35 | 显示全部楼层
191196846 发表于 2017-11-16 22:38
前排滋磁滋磁测试

诶^第一次看到这么多管家弹窗,有点surprise

不不不,所有弹窗打开详情,都是禁运,拦截启动项,拦截注册表等单步行为,没有发现多步,倒是腾讯的云上可能有多步分析器,但没下发本地。
大佬的毒包质量很高,只有2-3个可能有问题,2个灰文件(可能是pup和玩笑程序),这是我见过的问题最少的毒包了,用了感觉身体变好了,腰不疼腿不酸了
haoyou
发表于 2017-11-17 10:17:51 | 显示全部楼层
这黑稿水平也没谁了?搞技术的吧?
B100D1E55
发表于 2017-11-17 11:21:27 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-11-17 11:32 编辑

我来补充一下我这里的ESET测试结果:

测试环境:
虚拟机win7(所以没有AMSI扫描),EAV(附加虚拟机外的botnet防御),毒库日期是9月16日,刚好是60天前


扫描杀10个

剩下逐个运行,这里统计的是botnet防御+AMS扫描的总防御,一共是23个(botnet有3个,我关掉了url拉黑,所以剩下都是2个月前老毒库的ams侦测)

总防御33个,50%

剩下的样本有一些是白文件,无害POC或者失效样本,当然这里就不做细致分析了。此外也没考虑反虚拟机不展现行为的可能性(对的今天是人肉双击,没传到自己的pipeline分析)

侧面反映很多毒免杀就是做做表层功夫……请不要再用什么EAV4之类没有AMS的老版本了


zmyx279323199
头像被屏蔽
发表于 2017-11-17 18:36:11 | 显示全部楼层
本帖最后由 zmyx279323199 于 2017-11-17 18:41 编辑

关键是没见过管家主防弹窗,这回终于见过了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 20:32 , Processed in 0.137826 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表