查看: 9389|回复: 37
收起左侧

[一般话题] 【已更新第一期】Windows Defender 最新版本测试

  [复制链接]
hez2010
发表于 2019-4-7 19:08:14 | 显示全部楼层 |阅读模式
本帖最后由 hez2010 于 2019-4-30 19:37 编辑

最近使用 Windows Defender,发现这个东西很有意思。而且防御也非常的有趣,很多样本区扫描没有报毒的样本,双击运行一阵子后突然报毒,连同注册表、进程、衍生物等一并隔离掉。这让我对 Windows Defender 的防御产生了极大的兴趣。

因此我决定,明年年初,中美合拍... 呸,,接下来一段时间,我将在 Windows 10 19H1 版本上测试几轮 Windows Defender 的扫描+防御能力,样本将选取部分卡饭样本包。

大家有什么要求或者建议可以提出来。

测试配置
全新安装的 Windows 10 19H1,随官方 19H1 版本更新
Windows Defender 默认设置 + 开启内核隔离、PUA(PUAProtection) 和网络保护(EnableNetworkProtection)
组策略保持默认
VC++ Runtime 2008~2019 齐全
.NET Framework 2.0 3.5 4.7.2 齐全

Windows Defender 详细配置:
  1. AttackSurfaceReductionOnlyExclusions          :
  2. AttackSurfaceReductionRules_Actions           :
  3. AttackSurfaceReductionRules_Ids               :
  4. CheckForSignaturesBeforeRunningScan           : False
  5. CloudBlockLevel                               : 1
  6. CloudExtendedTimeout                          : 1
  7. ComputerID                                    : 1E4BEEE3-CF76-4F9B-B29F-3194D5BF35D9
  8. ControlledFolderAccessAllowedApplications     :
  9. ControlledFolderAccessProtectedFolders        :
  10. DisableArchiveScanning                        : False
  11. DisableAutoExclusions                         : False
  12. DisableBehaviorMonitoring                     : False
  13. DisableBlockAtFirstSeen                       : False
  14. DisableCatchupFullScan                        : True
  15. DisableCatchupQuickScan                       : True
  16. DisableEmailScanning                          : True
  17. DisableIntrusionPreventionSystem              :
  18. DisableIOAVProtection                         : False
  19. DisablePrivacyMode                            : False
  20. DisableRealtimeMonitoring                     : False
  21. DisableRemovableDriveScanning                 : True
  22. DisableRestorePoint                           : True
  23. DisableScanningMappedNetworkDrivesForFullScan : True
  24. DisableScanningNetworkFiles                   : False
  25. DisableScriptScanning                         : False
  26. EnableControlledFolderAccess                  : 0
  27. EnableLowCpuPriority                          : False
  28. EnableNetworkProtection                       : 1
  29. ExclusionExtension                            :
  30. ExclusionPath                                 :
  31. ExclusionProcess                              :
  32. HighThreatDefaultAction                       : 0
  33. LowThreatDefaultAction                        : 0
  34. MAPSReporting                                 : 2
  35. ModerateThreatDefaultAction                   : 0
  36. PUAProtection                                 : 1
  37. QuarantinePurgeItemsAfterDelay                : 90
  38. RandomizeScheduleTaskTimes                    : True
  39. RealTimeScanDirection                         : 0
  40. RemediationScheduleDay                        : 0
  41. RemediationScheduleTime                       : 02:00:00
  42. ReportingAdditionalActionTimeOut              : 10080
  43. ReportingCriticalFailureTimeOut               : 10080
  44. ReportingNonCriticalTimeOut                   : 1440
  45. ScanAvgCPULoadFactor                          : 50
  46. ScanOnlyIfIdleEnabled                         : True
  47. ScanParameters                                : 1
  48. ScanPurgeItemsAfterDelay                      : 15
  49. ScanScheduleDay                               : 0
  50. ScanScheduleQuickScanTime                     : 00:00:00
  51. ScanScheduleTime                              : 02:00:00
  52. SevereThreatDefaultAction                     : 0
  53. SharedSignaturesPath                          :
  54. SignatureAuGracePeriod                        : 0
  55. SignatureDefinitionUpdateFileSharesSources    :
  56. SignatureDisableUpdateOnStartupWithoutEngine  : False
  57. SignatureFallbackOrder                        : MicrosoftUpdateServer|MMPC
  58. SignatureFirstAuGracePeriod                   : 120
  59. SignatureScheduleDay                          : 8
  60. SignatureScheduleTime                         : 01:45:00
  61. SignatureUpdateCatchupInterval                : 1
  62. SignatureUpdateInterval                       : 0
  63. SubmitSamplesConsent                          : 1
  64. ThreatIDDefaultAction_Actions                 :
  65. ThreatIDDefaultAction_Ids                     :
  66. UILockdown                                    : False
  67. UnknownThreatDefaultAction                    : 0
  68. PSComputerName                                :
复制代码

顺带说一句,Windows 10 19H1 又漂亮又好用,而且在虚拟机里面跑都感觉非常流畅。
来张纪念照:


先来个小小的预热
样本来源:https://bbs.kafan.cn/thread-2146721-1-1.html
查杀 Windows Defender 仅检出 2.exe,漏掉 1.exe


双击运行!

任务管理器中成功出现病毒进程并且病毒进程开始占用 CPU(~50%)
等待大约10秒钟 Windows Defender 报警:



再等待10秒钟左右,病毒进程消失在任务管理器中,病毒文件被删除,打开 Windows Defender 查看威胁详情:



漂亮的云杀。

评测记录
第一期:https://bbs.kafan.cn/thread-2148442-1-1.html

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 8经验 +40 分享 +3 人气 +13 收起 理由
飞碟1234 + 1 文体两开花,弘扬中华文化
HEMM + 3 看不懂!请重写一遍~
屁颠屁颠 + 40 + 3 版区有你更精彩: )
莒县小哥 + 1 加分鼓励
为你心碎 + 3 加分鼓励

查看全部评分

c68111c
发表于 2019-4-7 19:37:00 | 显示全部楼层
支持
christina7358
发表于 2019-4-7 19:48:05 | 显示全部楼层
WD有点卡EXE啊,不知道这个毛病好没有
nbafatherlolsky
发表于 2019-4-7 20:07:22 | 显示全部楼层
这个玩意有个文件夹防护 打开后TIM就GG了
maomao110
发表于 2019-4-7 20:08:08 | 显示全部楼层
christina7358 发表于 2019-4-7 19:48
WD有点卡EXE啊,不知道这个毛病好没有

放心  没有好  
christina7358
发表于 2019-4-7 20:09:57 | 显示全部楼层

还是猫猫哥,深得偶心啊
Jerry.Lin
发表于 2019-4-7 20:17:51 | 显示全部楼层
不管防御如何屌,机学的高误报和卡EXE的鬼性能我是认了
maomao110
发表于 2019-4-7 20:30:51 | 显示全部楼层
christina7358 发表于 2019-4-7 20:09
还是猫猫哥,深得偶心啊

不敢当不敢当  
小Q机器人
发表于 2019-4-7 20:38:40 | 显示全部楼层
微软的内测版伤了我好几次了,现在搞得我只敢用企业版了。不过现在几乎每周微软还在给我邮箱发送测试版的介绍
ELOHIM
发表于 2019-4-8 08:48:41 | 显示全部楼层
支持楼主个。用WD的用户太多。不然云不会响应这么快的吧。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 18:33 , Processed in 0.137483 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表