查看: 20303|回复: 42
收起左侧

[杀软评测] Windows Defender 病毒双击测试!第一期

  [复制链接]
hez2010
发表于 2019-4-30 19:32:50 | 显示全部楼层 |阅读模式
本帖最后由 hez2010 于 2019-4-30 19:35 编辑

大家好,这里是 Windows Defender 测试第一期

由于最近一直找不到好的样本,于是就无限期拖更了23333
不过怕大家等的太急了,于是就先用卡饭上的一些样本进行测试。

测试配置
https://bbs.kafan.cn/thread-2146724-1-1.html


样本来源
1. https://bbs.kafan.cn/thread-2148435-1-1.html
2. https://bbs.kafan.cn/thread-2146788-1-1.html

由于,Windows Defender 无法单独控制防御和监控开关,因此采用先扫描,将扫描检出的样本剔除,双击剩余样本的方式进行测试。


评测过程
首先我们放3个样本上去
文件列表.png
使用 Windows Defender 进行扫描
扫描结果.png
发现扫描仅检出1x,还剩下两个供我们双击测试。

运行第一个样本
双击后 explorer 卡住大约 1 秒种,然后 Windows Defender 报警,同时病毒启动失败。
1.png
防御成功

运行第二个样本
运行情况同第一个样本
2.png
防御成功


然后我们解压卡饭病毒测试包第50期后进行扫描,剩余文件如下(我给里面每一个文件单独建立了文件夹):
文件列表2.png


只剩下6个样本,我们逐个双击测试

运行第一个样本
3.png
防御成功

运行第二个样本

4.png
样本成功的跑了起来,但是过了3秒钟自行退出,没有发生任何事情,并且手工对比系统文件列表、启动项等注册表关键项目没有任何变化,视为无效样本,防御成功。

运行第三个样本

5.png
样本运行中途报“非法访问”后退出,猜测:1. 可能是无效样本 2. Windows Defender 内核隔离或漏洞缓解的影响导致样本无法正常获取关键内存地址,出现非法访问异常。防御成功。

运行第四个样本

6.png
此样本双击后 explorer 卡住了大概 3 秒钟,然后 Windows Defender 报毒并阻止了文件运行。
7.png
防御成功

运行第五个样本

8.png
9.png

双击后报 PUA,防御成功。

运行第六个样本

10.png
运行后 explorer 卡住大约 1 秒后 Windows Defender 报毒,病毒无法启动,防御成功。

评测结果和总结
所测试的 Windows Defender 单纯扫描无法检出的 9 个样本,运行测试 100% 防御。

不过我很奇怪,这个防御为什么看上去感觉跟文件监控差不多,感觉像是在杀已知病毒?
而如果只是监控杀已知病毒的话,为什么之前扫描却不报毒?

于是我打开了事件查看器一探究竟:
sig.png
sig2.png
如上图所示,翻译一下就是“Windows Defender 反病毒使用了动态安全智能服务获取了额外的安全智能来帮助保护电脑”,然后有两个智能类型“反间谍”和“反病毒”,动态安全智能类型均为“安全智能更新”。

直接翻译过来感觉怪怪的,具体地说,就是,在用户双击病毒运行前 Windows Defender 使用了它的安全智能服务,现场获得了额外的动态更新,因此成功的防御了病毒。评测中我运行样本前卡住的那几秒,经推测应该是 Windows Defender 云端现场分析并以秒级的响应返回了结果判定要运行的程序为恶意程序,因此进行了拦截。
这两项出现在了每一次的报毒前,也就是说我运行了 9 个样本,去除无效的 2 个样本,剩余 7 个样本每次运行前 Windows Defender 都现场从云端的智能服务获得了额外的动态更新。

最后,感觉。。。Windows Defender 好强啊。。。

下一期将会找一些扫描和双击瞬间都不报毒的样本,来测一下在 Windows Defender 的智能服务没有及时返回判定结果的条件下,防御能力到底如何。

评分

参与人数 11原创 +1 分享 +3 人气 +20 收起 理由
为你心碎 + 3 加分鼓励
iha40999 + 1 加分鼓励
Ventureminking + 1 是18XX版的WD吗?还是19XX的
ELOHIM + 3 66666666
wjy19800315 + 3 版区有你更精彩: )

查看全部评分

兔子大大
头像被屏蔽
发表于 2019-4-30 20:34:24 | 显示全部楼层
Windows Defender帅帅帅帅 帅帅帅
Jerry.Lin
发表于 2019-4-30 21:00:41 | 显示全部楼层
WD主要是性能问题,其他做得蛮好的,最近第三方测评的误报也压下来了
B100D1E55
发表于 2019-5-3 14:48:36 | 显示全部楼层
本帖最后由 B100D1E55 于 2019-5-3 14:59 编辑

从描述来看应该是在那几秒内把文件静态特征向量和云端模型比对了,类似红伞APC那种模式(之前一直有人跟我安利这功能但是我一直懒得去测试)
估计AVC近期那个Malware Protection Test里面微软online detection和online protection rate差距悬殊就是这个原因。只有在文件要执行的时候才会查云端模型,所以算入后者的防护而不是前者。
小草猫
头像被屏蔽
发表于 2019-5-3 15:08:05 来自手机 | 显示全部楼层
我记得瑞星也能造成这样的防御

评分

参与人数 1魅力 -2 收起 理由
记录微笑 -2 无视警告,多次宣传同一款软件

查看全部评分

EnZhSTReLniKoVa
发表于 2019-5-5 10:15:48 来自手机 | 显示全部楼层
很久就说过,wd普通版已经可以使用企业版的一些功能,当时没人信。自从用了WdATP,卡饭都很少登录了
Jerry.Lin
发表于 2019-5-5 18:13:01 | 显示全部楼层
君陌潇 发表于 2019-5-5 10:15
很久就说过,wd普通版已经可以使用企业版的一些功能,当时没人信。自从用了WdATP,卡饭都很少登录了

WDATP可以免费用?
asdx145266
发表于 2019-5-5 22:43:12 | 显示全部楼层
君陌潇 发表于 2019-5-5 10:15
很久就说过,wd普通版已经可以使用企业版的一些功能,当时没人信。自从用了WdATP,卡饭都很少登录了

能介绍一下吗
howardlee
发表于 2019-5-6 08:44:49 | 显示全部楼层
如果从云端获取分析结果的,那断网会有什么样的结果?请楼主试试,谢谢!
为你心碎
发表于 2019-5-6 10:17:23 | 显示全部楼层
191196846 发表于 2019-5-5 18:13
WDATP可以免费用?

好像得注册账户
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:08 , Processed in 0.133029 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表