Antivirus HIPS Test Tool6.0Beta.bat

meaqua

测试者 发表于 2021-7-9 10:42
得了吧，我这本来就是测主防的，免杀什么的压根都没做，而且我都说了，关闭文件监控

测试主防没啥问题，但是那个误报声明就很让人迷惑

Cel3mt

eternity. 发表于 2021-7-8 17:13
测试软件：火绒安全软件
软件版本：5.0.62.3
软件设置：默认（仅关闭文件实时监控）

没看明白1、2、3、4的测试环境区别是什么？同样的环境和步骤得到不一样的结果么？

eternity.

Cel3mt 发表于 2021-7-9 12:41
没看明白1、2、3、4的测试环境区别是什么？同样的环境和步骤得到不一样的结果么？

没有区别，测试完一个项目后会恢复系统至测试前的状态，再进行下一个项目的测试。
结果不同是因为各个测试项目本来就不同。

Cel3mt

eternity. 发表于 2021-7-9 13:36
没有区别，测试完一个项目后会恢复系统至测试前的状态，再进行下一个项目的测试。
结果不同是因为各个测 ...

好的，了解了，谢谢

ParanoiaSeal

测试杀毒软件：360 安全卫士 13（病毒库为 2021/07/11 的最新版）
测试环境：Windows 7 x64 旗舰版（未进行任何 Windows Update 更新，无补丁更新）
*测试过程中，1 GiB 的虚拟机 RAM 导致部分操作无法顺利进行，故跳过了部分
*至于跳过方法与步骤，在后文测试中提到

测试 1：360 安全卫士，网络+防护全开，直接运行（被拦截）
直接拦截。

测试 2：关闭文件查杀，仅测试主防
关闭项目：安全防护中心 - 系统防护体系 - 网络安全防护，重启后开始测试

（测试部分 1：选项 5，所有破坏）
成功拦截住 BCD, MBR 修改和删除文件的操作
但是对注册表的修改删除等操作没有任何拦截
运行一段时间后重启，猜测系统有部分功能因为注册表损坏而无法运行

详细举例：右下角电池功能（不清楚是电池电量与虚拟机交换的时候出现问题，还是注册表被破坏）
（之前测试时也出现过“未检测到电池”，但是不排除注册表损坏的可能性）
后来测试了 notepad，calc 等，均可正常使用。

（测试部分 2：选项 2 仅注册表）
注册表破坏时产生大量 cmd 窗口导致电脑卡死，但在期间 360 无响应，推断 360 对注册表拦截不好


测试 3：选项 5，运行 5s 后打开 360，查杀+系统急救箱全部扫描
因为注册表太浪费时间，所以测试的时候等待文件释放完，我将 ROAMING 中的 reg/regdel 等文件内容全部删除
对系统内存和病毒源目录自定义扫描，查杀到源文件
大约 10s 后，红色弹窗已经弹出，然后打开系统急救箱
修复了 MBR 和系统文件后，查杀之后重启

抢救失败。

总结：
理论来说，360 对于 MBR/BCD 修改和文件删除可以做到很好的防御
但是对于注册表修改来说显得比较无力
并且对于病毒发作后的抢救来说还是不太行

yfh

测试者 发表于 2021-7-8 16:35
报毒的是主程序，但是我主程序没有恶意代码呀

可能是主程序里的base64编码被杀软检测出恶意代码

00006666

360

双击     实时监控提示清除样本



点击允许本次执行后，拦截命令提示符程序运行