联网状态下测试腾讯电脑管家主防

显示全部楼层 · 发表于 2017-11-16 22:04:31

本帖最后由 wangkaka 于 2017-11-16 22:25 编辑

今天逛逛卡饭毒区，看到@191196846 大佬发布的最新病毒（我看到的时候才过去10分钟，腾讯金山还没有大规模入库

）这是难得的机会，我就随便测了测管家主防，结果

，看下文吧。。。

：

ps：
1.环境，vm虚拟机windows7 64位，实机环境：eis（10月20号旧毒库）。
2.结果:
一：eset旧毒库（10月20日毒库）查杀14，查杀率：21.5%
二：腾讯管家查杀率（11月16日20时20分

云联网毒库时间）：一扫：13，查杀率：20%（剩余样本52个）；二扫：19，查杀率：29.2%（多出来的6个均为测试期间云拉黑）
      管家主防完全拦截数目：6个，不完全拦截数目：4个（拦截衍生物，拦截启动项，病毒本身危害行为还是跑起来了）
三：管家查杀剩余52个样本中：白文件：2个；
      无法运行或程序有问题自身危害性行为无法跑出：6个；
      反虚拟机：2个
      java文件数（非pe文件我就不测试了。。）：2个
      管家测试期间拉黑：6个（均于1小时内）

      注：不保证本人认为的白文件一定无害
四：能在虚拟机中跑出行为的样本数：36个
      管家主防6个，主防拦截率：16.7%
      实体机eset（旧毒库）流量防御及IDS“协助拦截”虚拟机中病毒数：9个，拦截率：25%。

五：去掉白文件，有问题的，java，反虚拟机：
腾讯实际联网总拦截率：47.2%（算上1小时后的二扫）
10月20号病毒库的eset：43.4%（注意，eset拦截率仅仅指利用旧毒库下的查杀和IDP网络防御防御，且eset是在实机下，病毒在虚拟机执行。并没有体现eset的ams内存扫描，hips，及主防的威力，所以eset实际旧毒库下可以拦截的数目会更多，应该比二扫的腾讯多）。

3.总结：腾讯管家的主防还是有的，以后不要说没有了，也别说没见过呢，没有和有但没什么用还是有点区别的

。
管家的主防似乎基本以单步为主，在测试时发现有一个样本在双击后几分钟云杀了，可能是本地有一些可疑文件或行为“探针”，发现自动上报分析。管家主防大多以禁运cmd, powershell, office这些为主，详细了解见：https://bbs.kafan.cn/thread-2107061-1-1.html
@B100D1E55 大佬有关eset官方规则的描述。
管家的主防对某些宏病毒有奇效，在防住的6个中，有4个是利用宏调起powershell，script，rundll32等这些系统进程下载恶意软件的，腾讯主防在这方面还算说得过去。不过对新勒索，管家主防基本可以说完全拦不住，管家主防也拦不住注入，没有IDS等网络防御功能，主防拦不住远控。

话说@B100D1E55 大佬，这次测试让我新买的eset感觉物有所值啊，想不到eset的防火墙还有IDS僵尸网络防御这么强

1.
首先让eset表演一下（病毒库10月20日，很久的库，用eset
作为对比。。）：

eset1

eset2

显示全部楼层 · 发表于 2017-11-16 22:38:35

本帖最后由 191196846 于 2017-11-16 23:01 编辑

前排滋磁滋磁测试

诶^第一次看到这么多管家弹窗,有点surprise

但细看发现大部分都是单步或者禁运, 少部分貌似有多步(行为判定)

不过能防的还是小部分,而且断网直接GG

如果楼主有空,可以再做下国际版(OEM)的对比,会更直观体现腾讯的技术水平

我发的包嗯还是有点问题，以后会继续提升质量的……

显示全部楼层 · 发表于 2017-11-17 00:18:35

先来支持一下，等下有空认真读

显示全部楼层 · 发表于 2017-11-17 00:27:27

B100D1E55 发表于 2017-11-17 00:18
先来支持一下，等下有空认真读

大佬，等会还有eset10月20日毒库的测试，也是测试这些病毒，结果

，我感到还是蛮欣慰的。

显示全部楼层 · 发表于 2017-11-17 00:39:47

如果楼主有空,可以再做下国际版(OEM)的对比,会更直观体现腾讯国际版(小BD)的技术水平

显示全部楼层 · 发表于 2017-11-17 00:50:04

zst470396853 发表于 2017-11-17 00:39
如果楼主有空,可以再做下国际版(OEM)的对比,会更直观体现腾讯国际版(小BD)的技术水平

关键没有必要啊。。。。就是看到一堆比特梵德的avc报毒。。

而且这个样本是有时效性的，现在腾讯无论国内外都拉黑了，没法联网测试了

显示全部楼层 · 发表于 2017-11-17 01:14:35

191196846 发表于 2017-11-16 22:38
前排滋磁滋磁测试

诶^第一次看到这么多管家弹窗,有点surprise

不不不，所有弹窗打开详情，都是禁运，拦截启动项，拦截注册表等单步行为，没有发现多步，倒是腾讯的云上可能有多步分析器，但没下发本地。
大佬的毒包质量很高，只有2-3个可能有问题，2个灰文件（可能是pup和玩笑程序），这是我见过的问题最少的毒包了，用了感觉身体变好了，腰不疼腿不酸了

显示全部楼层 · 发表于 2017-11-17 10:17:51

这黑稿水平也没谁了？搞技术的吧？

显示全部楼层 · 发表于 2017-11-17 11:21:27

本帖最后由 B100D1E55 于 2017-11-17 11:32 编辑

我来补充一下我这里的ESET测试结果：

测试环境：
虚拟机win7（所以没有AMSI扫描），EAV（附加虚拟机外的botnet防御），毒库日期是9月16日，刚好是60天前

扫描杀10个

剩下逐个运行，这里统计的是botnet防御+AMS扫描的总防御，一共是23个（botnet有3个，我关掉了url拉黑，所以剩下都是2个月前老毒库的ams侦测）

总防御33个，50%

剩下的样本有一些是白文件，无害POC或者失效样本，当然这里就不做细致分析了。此外也没考虑反虚拟机不展现行为的可能性（对的今天是人肉双击，没传到自己的pipeline分析）

侧面反映很多毒免杀就是做做表层功夫……请不要再用什么EAV4之类没有AMS的老版本了

显示全部楼层 · 发表于 2017-11-17 18:36:11

本帖最后由 zmyx279323199 于 2017-11-17 18:41 编辑

关键是没见过管家主防弹窗，这回终于见过了

[杀软评测] 联网状态下测试腾讯电脑管家主防

评分

评分