简单测试智量2.0

Jerry.Lin

1、静态检出：跟1.+版本没啥区别，很少能过，加壳，非PE文件（OFFICE，脚本）亦是如此
日志：

1. 2019-04-14 10:28:59|C:\Users\shadow_test\Desktop\WiseFax-0304201958032204.exe|Heur.ML.PE.B
   
2. 2019-04-14 10:29:15|C:\Users\shadow_test\Desktop\fotovideoforyou.exe|Heur.ML.PE.B
   
3. 2019-04-14 10:29:16|C:\Users\shadow_test\Desktop\good.exe|Heur.ML.PE.B
   
4. 2019-04-14 10:29:33|C:\Users\shadow_test\Desktop\ASPACK\fotovideoforyou.exe|Heur.ML.PE.B
   
5. 2019-04-14 10:29:35|C:\Users\shadow_test\Desktop\ASPACK\good.exe|Heur.ML.PE.B
   
6. 2019-04-14 10:29:36|C:\Users\shadow_test\Desktop\ASPACK\WiseFax-0304201958032204.exe|Heur.ML.PE.B
   
7. 2019-04-14 10:29:37|C:\Users\shadow_test\Desktop\PEC\fotovideoforyou.exe|Heur.ML.PE.B
   
8. 2019-04-14 10:29:37|C:\Users\shadow_test\Desktop\PEC\good.exe|Heur.ML.PE.B
   
9. 2019-04-14 10:29:38|C:\Users\shadow_test\Desktop\PEC\WiseFax-0304201958032204.exe|Heur.ML.PE.B
   
10. 2019-04-14 10:36:45|C:\Users\shadow_test\AppData\Local\Microsoft\Windows\INetCache\IE\TF60VK10\CAY_FC[1].exe|Heur.ML.PE.A
    
11. 2019-04-14 10:36:51|C:\Users\shadow_test\AppData\Local\Temp\70y43ju60.exe|Heur.ML.PE.A
    
12. 2019-04-14 10:41:33|C:\Users\shadow_test\Desktop\Required Amazon trading guideline.xls|Trojan.Generic
    
13. 2019-04-14 10:43:00|C:\Users\shadow_test\AppData\Roaming\Microsoft\2000.exe|Trojan.Ransom.Generic
    
14. 2019-04-14 10:43:03|C:\Users\shadow_test\AppData\Roaming\Microsoft\2000.exe|Trojan.Ransom.Generic
    
15. 2019-04-14 10:47:58|C:\Users\shadow_test\Desktop\xorist_mcafe1e.exe|Heur.ML.PE.A
    
16. 2019-04-14 10:47:59|C:\Users\shadow_test\Desktop\xorist_mcafee.exe|Heur.ML.PE.B
    
17. 2019-04-14 10:48:36|C:\Users\shadow_test\Desktop\Fatturazione_Elettronica__invio_copia__611728.docm|HEUR.Office.ML.A
    
18. 2019-04-14 10:48:55|C:\Users\shadow_test\Desktop\iYcT-VecTlIVR1eW6hx_NjylxULT-zmI|HEUR.Office.ML.A
    
19. 2019-04-14 10:50:34|C:\Users\shadow_test\Desktop\TA505\Required Amazon trading guideline.xls|Trojan.Generic
    
20. 2019-04-14 10:50:37|C:\Users\shadow_test\Desktop\TA505\1.dll|Heur.ML.PE.A
    
21. 2019-04-14 10:52:32|C:\Users\SHADOW~1\AppData\Local\Temp\BNZ.5cb2a06d965f6c\Fatturazione_Elettronica__invio_copia__611728.docm|HEUR.Office.ML.A

复制代码

2、动态检出：
2.0增强了主防，从目前测试来看，效果还是很好的，包含衍生物清除，关联分析，暂无发现有文件/注册表项回滚
测试内容：后门，勒索，脚本（fileless），宏文档，漏洞攻击文档
测试方法：关闭文件实时监控
测试结果：去除部分跑不出的样本，其余全部拦截，并清除关联文件（没有误伤到正常文件，如清除.doc及关联衍生物.exe OFFICE仍可正常运行）
值得注意的是，从日志上看，测试的勒索报毒均为行为分析报毒，貌似没有触发勒索诱捕或文档保护功能
关于主防拦截点：相对于卡巴，比较靠前，几个动作出了就报了，这点和趋势很像，不知道误报控制如何。

1. 2019-04-14 10:52:49|C:\Users\SHADOW~1\AppData\Local\Temp\BNZ.5cb2a07e96a166\Fatturazione_Elettronica__invio_copia__611728.docm|WIBD:HEUR.Trojan.AA01
   
2. 2019-04-14 10:53:15|C:\Users\shadow_test\Desktop\ASPACK\4366918008_Apr_12_2019.js|WIBD:HEUR.Trojan.EB021
   
3. 2019-04-14 10:53:20|C:\Users\shadow_test\AppData\Local\Temp\gc3tv03sj.exe|WIBD:HEUR.Trojan.EB021
   
4. 2019-04-14 10:54:26|C:\Skyep\Skyep.bat|WIBD:HEUR.Trojan.KA
   
5. 2019-04-14 10:54:29|C:\Users\shadow_test\Desktop\示例样本2_1.xls.zip|WIBD:HEUR.Trojan.KA
   
6. 2019-04-14 10:56:08|C:\Users\shadow_test\Desktop\示例样本\1.js|WIBD:HEUR.Trojan.AA01
   
7. 2019-04-14 10:56:41|C:\Users\shadow_test\Desktop\1.exe|WIBD:HEUR.Ransom.F
   
8. 2019-04-14 10:57:15|C:\Users\shadow_test\Desktop\2.exe|WIBD:HEUR.Ransom.F
   
9. 2019-04-14 10:57:37|C:\Users\shadow_test\Desktop\xorist_mcafe1e.exe|WIBD:HEUR.Ransom.G
   
10. 2019-04-14 10:59:25|C:\Users\shadow_test\Desktop\1FLINT.EXE|WIBD:HEUR.Trojan.I02
    
11. 2019-04-14 11:00:00|C:\Users\shadow_test\Desktop\R456BMN_signed.exe|WIBD:HEUR.Trojan.I02
    
12. 2019-04-14 11:04:46|C:\Users\shadow_test\Desktop\TrojanVBInject.b.exe|WIBD:HEUR.Trojan.I02
    
13. 2019-04-14 11:05:53|C:\Users\shadow_test\Desktop\VirToolObfuscator.bh.exe|WIBD:HEUR.Trojan.I02
    
14. 2019-04-14 11:06:02|C:\Users\shadow_test\Desktop\RansomDatawait.a.exe|WIBD:HEUR.Trojan.KA
    
15. 2019-04-14 11:06:33|C:\Users\shadow_test\Desktop\HVMTrojanMalBehav.gen!A.exe|WIBD:HEUR.Trojan.I02
    
16. 2019-04-14 11:07:22|C:\Users\shadow_test\Desktop\TrojanSpyFormbook.a.exe|WIBD:HEUR.Trojan.I02
    
17. 2019-04-14 11:08:05|C:\Users\shadow_test\Desktop\word.exe|WIBD:HEUR.Ransom.G
    
18. 2019-04-14 11:08:52|C:\Users\shadow_test\Desktop\taskhost.exe|WIBD:HEUR.Trojan.I02
    
19. 2019-04-14 11:10:13|C:\Users\shadow_test\Desktop\f.l.a.s.h_Player.exe|WIBD:HEUR.Trojan.AB01
    
20. 2019-04-14 11:12:06|C:\Users\shadow_test\Desktop\LR20\zzbdrimp2939.exe|WIBD:HEUR.Trojan.AB01
    
21. 2019-04-14 11:12:14|C:\Users\shadow_test\Desktop\LR20\tgytutrc7290.exe|WIBD:HEUR.Trojan.AB01
    
22. 2019-04-14 11:12:54|C:\Users\shadow_test\Desktop\Britta_Hollermann_Bewerbungsunterlagen.doc.exe|WIBD:HEUR.Ransom.F
    
23. 2019-04-14 11:14:36|C:\Users\shadow_test\Desktop\1.exe|WIBD:HEUR.Trojan.AB01
    
24. 2019-04-14 11:15:51|C:\Users\shadow_test\Documents\dtiardhues.exe|WIBD:HEUR.Trojan.EB021
    
25. 2019-04-14 11:16:46|C:\Windows\system32\wbem\wmiprvse.exe|WIBD:Exploit.PowerShell.A001
    

复制代码

测试没有评估误报问题，结果仅具有参考性

个人感觉智量带给我最大的问题是……界面看起来像FakeAV

user51ty

期待好用！

天耀群星

支持测试，支持智量

wakin

好期待2.0的出现，不知道正式版这个月内是否会如期发布

761773275

智量加油, 就差一个漂亮的UI了

669787589

期待好用！

宁南笑一

期待2.0

sanhu35

界面像fakeav 牛了

Jomye

期待这个月的中旬的出现。

hup

老哥你是哪里来的包