火绒纯主防测试

显示全部楼层 · 发表于 2021-2-19 17:54:25

396805331 发表于 2021-2-19 17:52
静态扫描查行为？

麻烦去微步云看下行为记录。

我没有必要去专门挑那种有行为的来测试，9X里面都是病毒，为什么不能测主防？有衍生物就是没防住，说那么多做什么？

显示全部楼层 · 发表于 2021-2-19 17:55:49

761773275 发表于 2021-2-19 17:36
我当时就是想说如果不是同一类型的样本就靠数量

大力出奇迹~

显示全部楼层 · 发表于 2021-2-19 17:58:36

本帖最后由高价回收穷鬼盾于 2021-2-19 18:04 编辑

主防你得有动作才能检测啊运行后直接退出，啥动作都没有，扫描在文件实时监控里。
你用什么触发主防？

刚才没打完就发出去了

显示全部楼层 · 发表于 2021-2-19 17:59:01

高价回收穷鬼盾发表于 2021-2-19 17:58
1

禁用任务管理器不是动作？

显示全部楼层 · 发表于 2021-2-19 18:03:49

空伐Void 发表于 2021-2-19 17:54
我没有必要去专门挑那种有行为的来测试，9X里面都是病毒，为什么不能测主防？有衍生物就是没防住，说那么 ...

所以你是最后测完9个最后扫一遍？漏洞百出。

如果只有2个产生了衍生物，其他的7个只是启动等待条件触发没有行为怎么算？

没防住2个，还是没防住9个？

这不就是需要先搞清楚样本有什么行为再去测试么？

显示全部楼层 · 发表于 2021-2-19 18:05:12

空伐Void 发表于 2021-2-19 17:59
禁用任务管理器不是动作？

我把包下下来，虚拟机运行并没禁用任务管理器
还有你不会把系统加固也关了吧？

显示全部楼层 · 发表于 2021-2-19 18:06:06

396805331 发表于 2021-2-19 18:03
所以你是最后测完9个最后扫一遍？漏洞百出。

如果只有2个产生了衍生物，其他的7个只是启动等待条件触 ...

你说得对，下次测试要更严谨些

显示全部楼层 · 发表于 2021-2-19 18:07:24

本帖最后由 396805331 于 2021-2-19 18:08 编辑

空伐Void 发表于 2021-2-19 17:59
禁用任务管理器不是动作？

不先搞清楚那些有恶意行为那些没有恶意行为，结果怎么算。

我再添加2万个等待触发的样本，没执行任何操作，是不是都算没防住？

显示全部楼层 · 发表于 2021-2-19 19:08:36

不明觉厉

显示全部楼层 · 发表于 2021-2-19 22:20:22

空伐Void 发表于 2021-2-19 17:54
我没有必要去专门挑那种有行为的来测试，9X里面都是病毒，为什么不能测主防？有衍生物就是没防住，说那么 ...

没行为杀个鸟啊，有些病毒会检测环境，或者联网接受数据，不符合发作条件就会直接退出，并无恶意行为，主防就不会有反应。但是在符合条件的情况下会有恶意操作，所以杀软会入库。

另外看了看火绒的报毒名，backdoor这类木马基本都是静待外联的，动作很小，卡巴和BD的主防对这类不会立即发作的病毒miss率也很高，要测勒索比较合适，都有明确行为，很少出现玄学情况。

选取的病毒样本最好先确定样本有效，单个帖子里样本重复情况会比较严重，最好选择不同贴的样本。

[分享] 火绒纯主防测试