年终杀软横评——本地主防测试（锁库测试）

swizzer

咖啡的主防99%都在云端。（大概是实时上传行为日志并获取云端打分结果）
本地仅有的Real Protect-LS报法，目前看来也不像是主防，更像是某种动态启发（因为会在样本跑起来之前杀掉），但是这又跟官方的说明矛盾···

aiqinghe

swizzer 发表于 2021-12-31 14:48
咖啡的主防99%都在云端。
本地仅有的Real Protect-LS报法，目前看来也不像是主防，更像是某种动态启发（因 ...

现在咖啡的云拉黑也太多了。想测联网状态下咖啡的主防，样本不太好筛关掉病毒库测双击有效果吗？咖啡主防和特征码是联动的吗

onedrive

aiqinghe 发表于 2021-12-30 22:51
现在咖啡的云拉黑也太多了。想测联网状态下咖啡的主防，样本不太好筛关掉病毒库测双击有效果吗？咖 ...

md5改一下，就可以了。咖啡新样本老是月神，改一下md5月神就过了。

swizzer

aiqinghe 发表于 2021-12-31 14:51
现在咖啡的云拉黑也太多了。想测联网状态下咖啡的主防，样本不太好筛关掉病毒库测双击有效果吗？咖 ...

跟特征码应该没有联动···但是MES的自适应威胁防护里有Suspect拉黑报法，而且拉黑速度极快，的确不容易测试咖啡主防。。。

可以试试改Hash，但是很有可能会被Real Protect-PENG4！报法给识别出来。而且这个报法看起来也不像是典型的行为分析···因为我以前试过，suspect杀的样本改hash后，全是这种报法，并且是刚执行就杀掉了。。。

bbszy

隔山打空气 发表于 2021-12-30 20:35
其实我第一次看诺顿的时候就看见他的SONAR主动防护了，然后去网上一查是声纳的英文

后来看论坛人称唢 ...

之前诺顿用的技术归博通了，以后的诺顿可能没有之前铁壳的技术了，就靠收购来的这几家了。

隔山打空气

bbszy 发表于 2021-12-31 15:13
之前诺顿用的技术归博通了，以后的诺顿可能没有之前铁壳的技术了，就靠收购来的这几家了。

好吧...但愿诺顿未来也能变好

aiqinghe

swizzer 发表于 2021-12-31 14:56
跟特征码应该没有联动···但是MES的自适应威胁防护里有Suspect拉黑报法，而且拉黑速度极快，的确 ...

我试着去整一整

aiqinghe

bbszy 发表于 2021-12-31 15:13
之前诺顿用的技术归博通了，以后的诺顿可能没有之前铁壳的技术了，就靠收购来的这几家了。

诺顿现在的sonar和ips技术不知道还能有多久发展

love642108192

大佬，本地主防有没有测试MDE的数据

aiqinghe

love642108192 发表于 2021-12-31 16:58
大佬，本地主防有没有测试MDE的数据

MDE的主防对云依赖还挺高的找到足够的能过MDE的样本不太好搞