McAfee ENS云主防的测试

记录微笑

一，前言
     我从McAfee ENS 10.7的beta版开始就开始研究他的主防ATP。而在10.7转正之后，我发现他的ATP也加强了不少。今天就给大家带来ENS的纯云主防测试
（PS：关于为什么只测云主防，是因为ATP在程序运行起来之后完全靠云主防进行防御。这样测试可以模拟遭遇新病毒的情况）

二，测试环境
Windows7 SP1虚拟机，打了必要的补丁



主程序版本是McAfee ENS 10.7.753.8，为目前最新版，ATP规则更新到最新。




测试包采用BD系五款杀软主防测试中的样本包，便于比较。样本包下载链接已经在下方给出。




三，成绩计算公式：
拦截总数/20


四，结果：

样本编号	拦截情况
1	√
2	√（McAfee规则拦截）
3	√
4	√
5	×
6	√
7	×
8	×
9	×
10	√
11	×
12	×
13	√
14	√
15	√
16	√
17	√
18	√
19	√
20	×

五，测试结果：
13/20=65%


六，总结
    McAfee的Real Protect主防最近确实有所加强，但是可以看到，在没有AMSI的系统上对无文件威胁的防护确实比较差，在有AMSI的Windows10最新版上会稍稍好些。同时，对于MBR类的病毒防御也较差，这也是云主防的通病，相信如果我开了ATP的基于客户端的扫描可以有效缓解这种情况。在回滚方面，ATP非常强悍，不仅可以恢复被删除和修改的文件，删除衍生物和修复注册表项，还可以将病毒生成的所有文件夹也一同删除。可以说回滚后系统的状态几乎和运行病毒前一样。而且因为是企业版，所以对文件的备份也非常上心。McAfee对所有的被修改的和删除的文件提供了至少6个小时的本地备份，在这期间只要云端识别了勒索软件就可以随时回滚，并且无需担心那些运行之后立即重启机器的威胁，因为ATP会在重启后继续任何没有完成的回滚任务。


    McAfee的主防要成为顶尖主防还有很长的路，但是目前来说主防较之前已有很大的进步。希望McAfee可以继续加强主动防御，为端点提供更好的保护！


七，截图
（PS：我尽量多截了些，若有缺少请见谅）


八，测试用样本包
https://www.lanzous.com/i25nv4f

九，BD系五款杀软主防测试传送门：
https://bbs.kafan.cn/thread-2134962-1-1.html

hklwk

测试支持一下

grantzoo

mcafee企业版和个人版的主防有区别吗？？？

记录微笑

grantzoo 发表于 2020-2-25 22:34
mcafee企业版和个人版的主防有区别吗？？？

企业版的自定义项较多，个人版无法自定义

裂空我爱杰

路过支持。看这个成绩好像还不错

grantzoo

记录微笑 发表于 2020-2-25 22:35
企业版的自定义项较多，个人版无法自定义

从实际使用来看，两者的区别大吗？？？

记录微笑

grantzoo 发表于 2020-2-26 11:03
从实际使用来看，两者的区别大吗？？？

差不多

只是个人版好像没有增强修复，回滚方面会稍微弱些

grantzoo

记录微笑 发表于 2020-2-26 11:05
差不多

只是个人版好像没有增强修复，回滚方面会稍微弱些

看你昨天做的测试，好象就是样本2是规则拦截，其他都是主防拦截的，个人版应该也能拦截的

记录微笑

grantzoo 发表于 2020-2-26 11:14
看你昨天做的测试，好象就是样本2是规则拦截，其他都是主防拦截的，个人版应该也能拦截的

个人版没有增强修复，无法回滚被勒索修改和删除的文件。

这个功能是企业版特有。

grantzoo

记录微笑 发表于 2020-2-26 11:16
个人版没有增强修复，无法回滚被勒索修改和删除的文件。

这个功能是企业版特有。

非常感谢你的回复