火绒纯主防测试

空伐Void

火绒设置，只保留恶意行为监控。

https://bbs.kafan.cn/thread-2202225-1-1.html样本地址，一共9个样本


4d1eeb527a61391ddcf30b0f9d6d9f96369e0179c1e1a65da5da33a196a991d4   运行后自删除，任务管理器被屏蔽

4180c4c11e631a7545d40dadb74280c00f53271a75b113c387bb87adaf2cecf7      运行后驻留进程，MISS

a4c780c8b6ecb7d73f7498a4a46286cf2a2ecc6f378e2ba89deea06591c3cc04        运行后自删除，MISS


afc3ca66bbf0359b8ae70f84db06e9f72cedc39e3a3f407363fcf0aa7a6544c0          运行后自删除，MISS


dcda70b5cc63629dd2760dbc76ffda0bedefd0ee92af4d4e3740acc7dd2eaff2        运行后驻留进程，MISS


ed51269c3602786ff6ddef3a808d8178d26e4e5960f4ac7af765e4bd642128dd       MISS


ae86309bae815b29cb7723033bacccb53fd7159791c27c7a93dc341b16f26b21      MISS


d2a13735e132b5821acfeee676daf8726c9be11be2bb31571c5dacf82278aa37      MISS


fdc755d5ad9b9f7b17bd085ac73e232ba0cf01e87b3898859b5450824968a933     MISS

最终结果：

主防杀：0
漏：9
无法运行：0

761773275

测主防，你怎样也得测20个吧，

空伐Void

761773275 发表于 2021-2-19 16:09
测主防，你怎样也得测20个吧，

没必要测那么多

396805331

空伐Void 发表于 2021-2-19 16:12
没必要测那么多

确实跟测的多少没直接关系。

但既然要测主防。对样本的选择还是要有的吧？

同样的恶意行为，测100个和2个有啥区别呢？

更何况你这9个样本，有明显恶意行为的恐怕只有一个：

ed51269c3602786ff6ddef3a808d8178d26e4e5960f4ac7af765e4bd642128dd

其他的安装消息钩子，反沙箱检测，算不上什么直接的恶意行为吧？

不搞清楚样本的行为是啥，测什么主防呢？

空伐Void

396805331 发表于 2021-2-19 16:34
确实跟测的多少没直接关系。

但既然要测主防。对样本的选择还是要有的吧？

测主防就是要随机挑选

396805331

空伐Void 发表于 2021-2-19 16:53
测主防就是要随机挑选

你所谓的随意挑选，就是从一个样本包里面拿出来的样本吗？

同一个样本包里面是同类型的样本可能更大吧？

对于这种手动点点的主防测试，不先看样本的行为没有任何意义。

除非样本数目海量，样本取样足够接近真实环境，直接统计防护结果才有意义。

空伐Void

396805331 发表于 2021-2-19 17:17
你所谓的随意挑选，就是从一个样本包里面拿出来的样本吗？

同一个样本包里面是同类型的样本可能更大吧 ...

这些样本没行为？360扫出来的是什么？

761773275

空伐Void 发表于 2021-2-19 17:20
这些样本没行为？360扫出来的是什么？

我建议你多学习下再发

761773275

396805331 发表于 2021-2-19 17:17
你所谓的随意挑选，就是从一个样本包里面拿出来的样本吗？

同一个样本包里面是同类型的样本可能更大吧 ...

我当时就是想说如果不是同一类型的样本就靠数量

396805331

空伐Void 发表于 2021-2-19 17:20
这些样本没行为？360扫出来的是什么？

静态扫描查行为？

麻烦去微步云看下行为记录。

接近半数是没有高危行为的。

部分所谓的高危行为也只有安装消息钩子。

另外请正面回答下：

你所谓的随意挑选，就是从一个样本包里面拿出来的样本吗？