对于前几天看到的绕过自我保护方法的测试

huicuan

你该测试下国内的微点啊，期待

温馨小屋

wohaofan1200 发表于 2020-2-24 15:48
B开头的在我心目中的高大形象破碎
PS：本来觉得他家不仅常规引擎做得牛，主防也先进得不行，现在看 ...

B开头的常规引擎这几年越来越虚 ，对于越来越火爆多用于APT攻击的ofiice/Poershell这类脚本/无文件攻击样本miss率很高，卡巴的引擎启发能在不入库的情况下干掉大多数这类东西，在AVC的增强测试里也发现对于他们构造的无文件攻击很多都是靠疯狂入库防住的，ATD存在感堪忧

温馨小屋

huicuan 发表于 2020-2-24 15:49
你该测试下国内的微点啊，期待

运行VS编译的程序需要装运行库，我发现先装微点再装运行库是不可行的，微点扫描延迟太高，会导致安装程序文件释放延迟变得特别高，到最后就会出现https://bbs.kafan.cn/thread-2166317-1-1.html这里的问题，提示拒绝访问，神奇的是我把微点关了他的扫描服务还在卡文件，令人窒息。卸载了微点之后装运行库特别快就装完了。


上来把procexp杀了，这可是正牌微软工具，直接就杀了。。。






虽然没有PPL，但是微点应该做了去除权限处理

swizzer

温馨小屋 发表于 2020-2-24 16:33
运行VS编译的程序需要装运行库，我发现先装微点再装运行库是不可行的，微点扫描延迟太高，会导致安装程序 ...

别说微点，智量也会杀process explorer，不过仅限查看lsass的dll的时候，也并不会隔离源文件
p.s.大大如果有时间方不方便测下智量

温馨小屋

swizzer 发表于 2020-2-24 16:39
别说微点，智量也会杀process explorer，不过仅限查看lsass的dll的时候，也并不会隔离源文件
p.s.大大如 ...

智量很稳，比微点流畅多了

微点会在刚开启的时候杀掉，我刚看了一下智量，看lsass的dll也没有杀

swizzer

温馨小屋 发表于 2020-2-24 16:48
智量很稳，比微点流畅多了

微点会在刚开启的时候杀掉，我刚看了一下智量，看lsass的dll也没有杀 ...

看来是修改了···我以前问官人（https://bbs.kafan.cn/thread-2171774-1-1.html），他还很确定的说就应该杀掉

wohaofan1200

温馨小屋 发表于 2020-2-24 16:03
B开头的常规引擎这几年越来越虚 ，对于越来越火爆多用于APT攻击的ofiice/Poershell这类脚本/无文件攻击样 ...

学习了，感谢大神

微软爱苹果

卡巴斯基 YES

huicuan

温馨小屋 发表于 2020-2-24 16:03
B开头的常规引擎这几年越来越虚 ，对于越来越火爆多用于APT攻击的ofiice/Poershell这类脚本/无文件攻击样 ...

你的意思，微点能防御成功

温馨小屋

huicuan 发表于 2020-2-25 18:55
你的意思，微点能防御成功

我上次用微点还是10多年前，不清楚它能不能防御这些攻击，我不抱什么希望