【已更新第一期】Windows Defender 最新版本测试

hez2010

最近使用 Windows Defender，发现这个东西很有意思。而且防御也非常的有趣，很多样本区扫描没有报毒的样本，双击运行一阵子后突然报毒，连同注册表、进程、衍生物等一并隔离掉。这让我对 Windows Defender 的防御产生了极大的兴趣。

因此我决定，明年年初，中美合拍... 呸，，接下来一段时间，我将在 Windows 10 19H1 版本上测试几轮 Windows Defender 的扫描+防御能力，样本将选取部分卡饭样本包。

大家有什么要求或者建议可以提出来。

测试配置
全新安装的 Windows 10 19H1，随官方 19H1 版本更新
Windows Defender 默认设置 + 开启内核隔离、PUA（PUAProtection） 和网络保护（EnableNetworkProtection）
组策略保持默认
VC++ Runtime 2008~2019 齐全
.NET Framework 2.0 3.5 4.7.2 齐全

Windows Defender 详细配置：

1. AttackSurfaceReductionOnlyExclusions          :
   
2. AttackSurfaceReductionRules_Actions           :
   
3. AttackSurfaceReductionRules_Ids               :
   
4. CheckForSignaturesBeforeRunningScan           : False
   
5. CloudBlockLevel                               : 1
   
6. CloudExtendedTimeout                          : 1
   
7. ComputerID                                    : 1E4BEEE3-CF76-4F9B-B29F-3194D5BF35D9
   
8. ControlledFolderAccessAllowedApplications     :
   
9. ControlledFolderAccessProtectedFolders        :
   
10. DisableArchiveScanning                        : False
    
11. DisableAutoExclusions                         : False
    
12. DisableBehaviorMonitoring                     : False
    
13. DisableBlockAtFirstSeen                       : False
    
14. DisableCatchupFullScan                        : True
    
15. DisableCatchupQuickScan                       : True
    
16. DisableEmailScanning                          : True
    
17. DisableIntrusionPreventionSystem              :
    
18. DisableIOAVProtection                         : False
    
19. DisablePrivacyMode                            : False
    
20. DisableRealtimeMonitoring                     : False
    
21. DisableRemovableDriveScanning                 : True
    
22. DisableRestorePoint                           : True
    
23. DisableScanningMappedNetworkDrivesForFullScan : True
    
24. DisableScanningNetworkFiles                   : False
    
25. DisableScriptScanning                         : False
    
26. EnableControlledFolderAccess                  : 0
    
27. EnableLowCpuPriority                          : False
    
28. EnableNetworkProtection                       : 1
    
29. ExclusionExtension                            :
    
30. ExclusionPath                                 :
    
31. ExclusionProcess                              :
    
32. HighThreatDefaultAction                       : 0
    
33. LowThreatDefaultAction                        : 0
    
34. MAPSReporting                                 : 2
    
35. ModerateThreatDefaultAction                   : 0
    
36. PUAProtection                                 : 1
    
37. QuarantinePurgeItemsAfterDelay                : 90
    
38. RandomizeScheduleTaskTimes                    : True
    
39. RealTimeScanDirection                         : 0
    
40. RemediationScheduleDay                        : 0
    
41. RemediationScheduleTime                       : 02:00:00
    
42. ReportingAdditionalActionTimeOut              : 10080
    
43. ReportingCriticalFailureTimeOut               : 10080
    
44. ReportingNonCriticalTimeOut                   : 1440
    
45. ScanAvgCPULoadFactor                          : 50
    
46. ScanOnlyIfIdleEnabled                         : True
    
47. ScanParameters                                : 1
    
48. ScanPurgeItemsAfterDelay                      : 15
    
49. ScanScheduleDay                               : 0
    
50. ScanScheduleQuickScanTime                     : 00:00:00
    
51. ScanScheduleTime                              : 02:00:00
    
52. SevereThreatDefaultAction                     : 0
    
53. SharedSignaturesPath                          :
    
54. SignatureAuGracePeriod                        : 0
    
55. SignatureDefinitionUpdateFileSharesSources    :
    
56. SignatureDisableUpdateOnStartupWithoutEngine  : False
    
57. SignatureFallbackOrder                        : MicrosoftUpdateServer|MMPC
    
58. SignatureFirstAuGracePeriod                   : 120
    
59. SignatureScheduleDay                          : 8
    
60. SignatureScheduleTime                         : 01:45:00
    
61. SignatureUpdateCatchupInterval                : 1
    
62. SignatureUpdateInterval                       : 0
    
63. SubmitSamplesConsent                          : 1
    
64. ThreatIDDefaultAction_Actions                 :
    
65. ThreatIDDefaultAction_Ids                     :
    
66. UILockdown                                    : False
    
67. UnknownThreatDefaultAction                    : 0
    
68. PSComputerName                                :
    

复制代码

顺带说一句，Windows 10 19H1 又漂亮又好用，而且在虚拟机里面跑都感觉非常流畅。
来张纪念照：


先来个小小的预热
样本来源：https://bbs.kafan.cn/thread-2146721-1-1.html
查杀 Windows Defender 仅检出 2.exe，漏掉 1.exe


双击运行！

任务管理器中成功出现病毒进程并且病毒进程开始占用 CPU（~50%）
等待大约10秒钟 Windows Defender 报警：



再等待10秒钟左右，病毒进程消失在任务管理器中，病毒文件被删除，打开 Windows Defender 查看威胁详情：



漂亮的云杀。

评测记录
第一期：https://bbs.kafan.cn/thread-2148442-1-1.html

c68111c

支持

christina7358

WD有点卡EXE啊，不知道这个毛病好没有

nbafatherlolsky

这个玩意有个文件夹防护 打开后TIM就GG了

maomao110

christina7358 发表于 2019-4-7 19:48
WD有点卡EXE啊，不知道这个毛病好没有

放心  没有好  

christina7358

maomao110 发表于 2019-4-7 20:08
放心  没有好

还是猫猫哥，深得偶心啊

Jerry.Lin

不管防御如何屌，机学的高误报和卡EXE的鬼性能我是认了

maomao110

christina7358 发表于 2019-4-7 20:09
还是猫猫哥，深得偶心啊

不敢当不敢当  

小Q机器人

微软的内测版伤了我好几次了，现在搞得我只敢用企业版了。不过现在几乎每周微软还在给我邮箱发送测试版的介绍

ELOHIM

支持楼主个。用WD的用户太多。不然云不会响应这么快的吧。