查看: 10769|回复: 14
收起左侧

[杀软评测] 智量主防 极简 评测

[复制链接]
swizzer
发表于 2020-3-14 09:49:10 | 显示全部楼层 |阅读模式
本帖最后由 swizzer 于 2020-4-14 11:41 编辑

一、前言
           想做这个测试很久了,前几天恰好装了Hyper-V,就利用周末时间测了一下。


二、测试环境
           不多说,看图
             2020-03-14_093718.png
三、测试方法
       关闭基础监控进行双击,每双击一个样本,检查+重置虚拟机一次。
四、测试结果
           见图片
2020-03-14_093920.png
emmm···应该是14为WIBD:HEUR.MalBehavior.B,13未提示防御但系统干净,但做表格时打错了···看官们注意一下···

剔除无效样本(火绒剑监控无行为+系统检查无文件&注册表变动)后,总成绩=100%.
五、总结
         智量主防拦截率非常之高,对不同威胁类型均可有效侦测(看报毒名里的那个RootKit)。美中不足的是缺少对注册表项的回滚,使得系统设置在被破坏后无法恢复。但由于拦截点靠前,所以这种情况较少发生。



测试用样本来源:https://www.lanzous.com/i25nv4f
感谢@记录微笑 提供的样本!




            

评分

参与人数 2分享 +2 人气 +1 收起 理由
LSPD + 1 版区有你更精彩: )
屁颠屁颠 + 2 感谢提供分享

查看全部评分

记录微笑
发表于 2020-3-14 10:11:09 | 显示全部楼层
其实智量官方也承认,他们的主防和引擎是有联动的,引擎扫描杀双击基本都杀,无论有没有行为

所以测试智量主防其实很难做到只测行为防护部分。
swizzer
 楼主| 发表于 2020-3-14 10:16:02 | 显示全部楼层
本帖最后由 swizzer 于 2020-3-14 10:31 编辑
记录微笑 发表于 2020-3-14 10:11
其实智量官方也承认,他们的主防和引擎是有联动的,引擎扫描杀双击基本都杀,无论有没有行为

所以 ...

好像是联动引擎扫描释放的文件并计入主防打分,但本体是不会被引擎扫描的。@智量官方
我测试时用火绒剑看了看,基本恶意行为展开30%-60%左右就会被杀。而且···在样本区我试过,智量扫描第一时间不报,双击基本都能杀掉的

评分

参与人数 1人气 +1 收起 理由
YorkWaugh + 1 版区有你更精彩: )

查看全部评分

记录微笑
发表于 2020-3-14 11:10:29 | 显示全部楼层
swizzer 发表于 2020-3-14 10:16
好像是联动引擎扫描释放的文件并计入主防打分,但本体是不会被引擎扫描的。@智量官方
我测试时用火绒剑 ...

有好几次双击过几秒智量主防杀了,但是关掉智量双击的话那个文件是无法运行的,直接报错退出
swizzer
 楼主| 发表于 2020-3-14 11:39:53 | 显示全部楼层
记录微笑 发表于 2020-3-14 11:10
有好几次双击过几秒智量主防杀了,但是关掉智量双击的话那个文件是无法运行的,直接报错退出

我还没有碰到过我这里扫描杀而双击报错的,智量都不杀...
swizzer
 楼主| 发表于 2020-3-14 11:44:36 来自手机 | 显示全部楼层
记录微笑 发表于 2020-3-14 11:10
有好几次双击过几秒智量主防杀了,但是关掉智量双击的话那个文件是无法运行的,直接报错退出

话说好像咖啡的SS报法也有此情况,我给样本加壳加废了跑不起来,主防还杀...
记录微笑
发表于 2020-3-14 12:01:06 | 显示全部楼层
swizzer 发表于 2020-3-14 11:44
话说好像咖啡的SS报法也有此情况,我给样本加壳加废了跑不起来,主防还杀...

SS是主防学习的报法,有的时候相似的特征会触发

报SS的时候基本都是因为云延迟
智量官方
发表于 2020-3-14 21:13:27 | 显示全部楼层
swizzer 发表于 2020-3-14 10:16
好像是联动引擎扫描释放的文件并计入主防打分,但本体是不会被引擎扫描的。@智量官方
我测试时用火绒剑 ...

文件的静态威胁程度是会被主防考虑的,但是动态行为占的比重会更高一点,本体也会被扫描的.
智量官方
发表于 2020-3-14 21:15:03 | 显示全部楼层
记录微笑 发表于 2020-3-14 11:10
有好几次双击过几秒智量主防杀了,但是关掉智量双击的话那个文件是无法运行的,直接报错退出

有可能是程序在出错的时候启动了WerFault.exe, 如果又安装有其它安全软件,可能会导致出错程序有向WerFault.exe的内存写入动作从而被主防判定恶意。正常情况下没有行为是不会报的
记录微笑
发表于 2020-3-14 21:35:23 | 显示全部楼层
智量官方 发表于 2020-3-14 21:15
有可能是程序在出错的时候启动了WerFault.exe, 如果又安装有其它安全软件,可能会导致出错程序有向WerFau ...

智量主防是在程序跑起来之前报的毒
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 10:45 , Processed in 0.126683 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表