本帖最后由 PanzerVIIIMaus 于 2020-9-18 18:40 编辑
2345安全卫士,几年前就听说了,那时上课的时候总能看见学生们下个小软件小游戏之类的东西的时候捆绑带进来
在一年多前帮别人解决中毒的问题的时候发现他只装了这个玩意儿
我一看可以啊,还有OEM的红伞
然而实际上并没有什么用,当时的2345卫士即便带上OEM引擎,不论联网断网,就是无法识破任何伪装,蠕虫和2345正和谐共处
我无法理解这种玩意儿到底是干什么用的,当时一边这样想着,转手间就帮别人换上了正儿八经的杀毒软件
史称《2345之耻》
最近在论坛听说2345安全卫士怎么怎么样,
还跟别人小争了一下
彳亍 口巴,那今天我就来做一些实际上并没有技术含量的简测,
【敬告】
这不是评测贴,因此,不作侦测、防护简测结果的常规化评价,若将本帖作其他用途(包括但不限于作为评测贴、作为引用资料或数据等)看待或使用而引发了问题,本人概不负责
本帖简测可能有疏漏或错误,但不会因发帖后发现了任何问题而进行重测、加测
设置数个主要观察点,包括
①扫描观察,主要观察扫描类型(该观察点主要观察判断文件类型的基准等策略,以及不同种类扫描、不同引擎扫描时的策略差异)
②清除观察,主要观察对受感染文件清除能力的有无,以三个单种感染样本作测试(该观察点若不通过,则视为没有清除能力)
③按访问扫描/执行扫描观察,复制或双击一些2345自研引擎即可扫描侦测的威胁,观察文件监控策略以及引擎策略,需要强调的是:该观察点不讨论其他防护层(包括行为主防)、也不讨论防护结果
并进行评价,观察点可能根据情况作更多拓展或变化,而且观察顺序不一定按以上进行。
其他信息:VMW虚拟机Windows 7 x64,补丁至2020;2345安全卫士V6.2(build 12741);防护设置保持默认;测试时确保联网
①【扫描观察】
主要观察扫描类型(该观察点主要观察判断文件类型的基准等策略,以及不同种类扫描、不同引擎扫描时的策略差异)
首先看一下含文首《2345之耻》的样本:
自研引擎、联网,上!
自定义扫描下,2345侦测到了所有威胁本体
如果使用全盘扫描,2345仍旧会侦测到所有威胁本体
如果使用快速扫描,只有.exe之类可执行文件后缀的2个本体受到侦测,可知在快速扫描时,2345仅通过拓展名识别文件
衍生物lnk快捷方式(全部为同一种)检出为0,或可认为2345没有对常见的欺骗性蠕虫传播手段进行侦测手段的优化
如果启用OEM红伞引擎,则可检出所有衍生物lnk快捷方式
我试着去寻找2345可扫描侦测的威胁,以方便进行详尽的按访问扫描/执行扫描观察,这里选用一代经典:WannaCry2.0
结果是“通过”,但有数个疑点
·全盘扫描不过三五分钟,但该项目的首次侦测时间长达16秒
·报毒名为通用名称
·10小时后再次进行首次扫描测试,过程、结果无变化
或表明该项目由本地引擎侦测,2345云端未发挥作用,但我没有兴趣对本地引擎做简测
②【清除观察】
主要观察对受感染文件清除能力的有无,以三个单种感染样本作测试(该观察点若不通过,则视为没有清除能力)
使用经典的“白蚁”感染类病毒作测试
结果:2345不具备可用的对受感染文件的清除能力
③【按访问扫描/执行扫描观察】
回想一下按访问扫描观察,当我把混杂着其他文件的《2345之耻》样本文件夹拖拽进虚拟机的时候,没有反应,如果我将文件改拓展名,也不会有反应,
如果是作为可执行文件执行,则有侦测,
如果作为文件或者多个文件而非整个文件夹拖拽进虚拟机时,有侦测
双击一个样本,样本会释放出衍生物,但不会有敏感动作
在扫描中侦测到一个.tmp的衍生物(其余11个是其它样本)
双击WannaCry样本,样本会释放出衍生物,而且作出行为
释放出大量衍生文件,释放出来的一些可执行文件被拦截并删除
WannaCry看上去并不直接执行自身,这很好地规避了威胁本体【图中"wcry.exe"】因浅显的执行扫描而被直接拦截的情况
综合各种因素,个人对2345的扫描、按访问扫描/执行扫描策略总结如下:
| 2345安全卫士
| 扫描引擎
| 自研全套+(可选)Avira(关于扫描策略:全盘/自定义扫描时或按类型判断对象,快速扫描时按拓展名判断对象)
| 执行扫描
| 是(仅自研引擎)
| 按访问扫描
| 仅文件创建时(仅自研引擎;根据文件拓展名判断对象;不对以文件夹等单位进行创建的文件进行扫描)
|
④【拓展描述】
2345对于WannaCry的拦截情形 对于部分拓展名为可执行文件的衍生物拦截,但未拦截本体:
未能抑制WannaCry的实际执行,其它样本包中的文档被加密
未能抑制WannaCry相关进程的存在,但因为衍生物被拦截的缘故,WannaCry也无法弹出胁迫信息窗口
虽然WannaCry至此应当失去了活性,但在此前,目标文件已被悉数加密
需要注意的是,2345似乎并没有针对活动威胁的处置手段,如果通过全盘扫描等进行清除,也不会抑制威胁进程的存在
劫后余生(全盘扫描,尝试新复制文件并重启电脑,没有遭到加密,WannaCry理应失去活性(与其说失去活性,难道不更像是Mission Completed?)
Q:用2345去对抗WannaCry是不是难了点?为什么你要选用WannaCry呢?
A:我本以为选用一款威胁很简单地,直到我先后我参考了数个样本集【22x (2020-08-20)、106x(20200720)、8x(20170513)】,不是我选用WannaCry,是WannaCry选用我,我没必要在样本区翻来翻去,来为难自己:
⑤【定位解析】
不讨论侦测率或防护率,当前的2345安全卫士也并不适合作为健全的防病毒软件使用,因其侦测策略过于稚(zhì)嫩(zhàng),
有兴趣的饭友可以使用2345安全卫士作为清理辅助工具,或者作为辅助型的红伞手动扫描仪也比较具备可用性
在这里我要指责某些人的观——
算了,我不指责了,Nobody knows……安全……二三四五
| 
发表于 2020-9-17 04:24:23
楼主
