主防测试

，就一个.

可能是我曾经被这个样本害惨了的缘故，主防不能拦截此样本的杀软我一律不会用，因为我大学时代，就因为相信某某杀软双击无所畏惧，就实机双击，结果硬盘数据全部没有，曾经熬夜用笔记本6个小时辛辛苦苦写的毕业论文和E盘花了200块钱买的600多G的BT种子全他妈没有了，现在想想眼泪都包不住。并且硬盘需要整个格式化以后才能重新分区，再用PE重装系统，比起现在的什么注入类，偷偷加密类，挖矿类，这种病毒的威力来的太直接太猛烈了，同样类型的彩虹猫人家好歹会提醒你MBR被锁了，这个样本就是一瞬间，你的硬盘什么都没有了。还是那句话，查杀再厉害也有失手的时候，有些东西，还得靠主防或者HIPS。

如果你的杀软有主防 请双击测试 需要右键管理员身份运行样本才可以触发样本行为 如果你的主防无法防御此样本，那么勒索MBR一类的（国内的有最近的彩虹猫，很久以前的江民炸弹）包括在未入库之前你都是危险的，过主防的可以考虑换掉了。


测试标准 关闭杀软文件监控，开启行为监控，右键管理员运行样本，不蓝屏算防御成功，但凡是蓝屏无论杀软是否弹出拦截对话，都算失败，因为凡是MBR分区表的蓝屏就再也开不了机了，真的，不信你试试，GPT分区表的除外，但是目前还有大量用户使用的都是MBR，家用PC硬盘2TB够用了。
GPT目前多用于MAC（苹果）和硬盘大于2TB的win用户。


我测试过的结果有  

卡巴SW可以完美拦截  G Data的BB可以完美拦截  迈克菲的Real Protect 可以完美防御拦截  金山毒霸的铠甲可以完美拦截  ESET HIPS开交互模式可以拦截

WD最新版 开启内核隔离 开启防勒索 改MD5 双击被过  FS关闭监控只开启DG双击被过  比特梵德老以前的ATC时代可以成功防御（估计跟那时候有独立IDS组件有关），新版本ATD双击被过。  360国际版双击被过 。


没主防的杀软就不用测试了，BD 红伞 引擎已经入库。


附迈克菲Real Protect击杀日志

改MD5过迈克菲扫描

双击提示请求系统资源不足，随后主防杀之  注意报Real Protect-LS!开头的是本地主防，所有的云主防对这种样本都没卵用，等不到跑了行为再反馈（没这个机会）。

威胁
执行的操作        清理
威胁类别        检测到恶意软件
威胁事件 ID        35107
威胁已被处理        是
威胁名称        Real Protect-LS!971d7142f1aa
威胁严重性        严重
威胁时间戳        2018年6月10日 下午7:24
威胁类型        特洛伊木马程序

源
源访问时间        2018年6月10日 下午7:24
源创建时间        2018年4月12日 上午7:34
源文件大小        51288
源主机名        DESKTOP-G697795
源修改时间        2018年4月12日 上午7:34
源进程名称        C:\WINDOWS\SYSTEM32\SVCHOST.EXE
源用户名        System

目标
目标哈希        971d7142f1aa0620b6336aa1cdc8f7ce
目标主机名        DESKTOP-G697795
目标名        试试就试试.EXE
目标路径        D:\360极速浏览器下载\双击有惊喜




样本


密码123

欢迎各位使用其他带有主防的杀软参与测试 您将有机会获得谢谢参与或者试试就试试

vm001

UEF的一样挂挂

pal家族

卡巴可以拦截 吗？？？？。。。行为这么少怎么会拦截，
我这里可是直接BSOD了，不过楼上说gpt分区也gg，我倒是没事情。。。

a445441

微点拦截后蓝屏

改md5，虚拟机测试BDF：
1.非管理员权限运行：ATD拦截
2.管理员权限运行，虚拟机蓝屏，MBR被破坏

看来BDF应该用的是新版ATD了，不过这个ATD是真的迷不知道2019会不会再改

pal家族

霄栋 发表于 2018-6-10 21:16
改md5，虚拟机测试BDF：
1.非管理员权限运行：ATD拦截
2.管理员权限运行，虚拟机蓝屏，ATD miss

我这非管理员运行，程序就像没运行一样，像是闪退

2605276004x

楼主一口气测了这么多杀软，就不去测了，Kaspersky

pal家族 发表于 2018-6-10 21:18
我这非管理员运行，程序就像没运行一样，像是闪退

拿家庭版测试了下，BDTS2018，非管理员运行，确实会被ATD拦截

然而并没有什么luan用，管理员运行，GG


我这里非管理员运行，没有报错信息，样本被隔离，BDF隔离区显示原因是AVC（主防报毒，如果是监控应该显示OnAccess）。
管理员运行，直接蓝屏，重启后虚拟机无法启动，MBR被破坏。由于恢复了快照，没有截图

2605276004x

pal家族 发表于 2018-6-10 21:01
卡巴可以拦截 吗？？？？。。。行为这么少怎么会拦截，
我这里可是直接BSOD了，不过楼上说gpt分区也gg，我 ...

据我观察的上一次的，GPT，卡巴就蓝屏，MBR就拦截我尝试去找找那帖子----->https://bbs.kafan.cn/forum.php?m ... ;page=4#pid41988762

2605276004x 发表于 2018-6-10 21:26
据我观察的上一次的，GPT，卡巴就蓝屏，MBR就拦截我尝试去找找那帖子----->https://bbs.kafa ...

我测试也是这样的，MBR可拦截，GPT会蓝屏，不过不会被破坏就是了