楼主: vaedzy
收起左侧

[杀软评测] 【KaFan-Test】卡饭安全实验室杀软评测 2022 Q1

  [复制链接]
至尊神行太保
发表于 2022-3-25 12:58:53 | 显示全部楼层
山上石 发表于 2022-3-24 18:28
质量是原来的瑞星团队不

火绒是,智量不到哪支团队
jlsplbr
发表于 2022-3-26 23:32:34 | 显示全部楼层
感谢分享
tjr57
发表于 2022-3-27 20:05:47 | 显示全部楼层
我同时用了ESET和智量,智量主防,ESET文件查杀
ll496514761
发表于 2022-4-8 10:39:53 | 显示全部楼层
智量的UI实在是太难看了。。。
wuhao1314
发表于 2022-4-9 21:38:27 | 显示全部楼层
智量表现真的不错...
2485957129
发表于 2022-4-11 10:52:06 | 显示全部楼层
761773275 发表于 2022-2-27 21:56
商业化弄个好看的UI不难吧

用心做产品,用脚做UI
瓦里哇卡
发表于 2022-4-15 08:34:32 | 显示全部楼层
360不参加此次试验?
腾讯也不参加?
kakenhi
发表于 2022-4-16 01:41:16 | 显示全部楼层
本帖最后由 kakenhi 于 2022-4-16 02:50 编辑

感觉本测试没抓住重点。建议添加以下测试内容,从技术层面上增加说服力。
不然我会觉得做测试的是托 (是不是智量的托不知道,但看起来很像是火绒的托www)
(文中已有的测试方法不赘述,比如计划任务持久化)

1. 持久性方法
* 通过注册表的常见/罕见启动项实现持久化。
* 通过自启动目录实现持久化。
* 通过创建系统服务实现持久化。
* 通过修改已有系统服务/启动项对应的可执行程序实现持久化。
* 通过向已有系统服务/启动项对应可执程序目录中写入劫持/缺失dll实现持久化。

2. 防卫规避技术
* 通过CreateRemoteThread/QueueUserApc方法创建远程线程逃避进程链监控。
* 通过syscall创建远程线程逃避进程链监控。
* 通过创建挂起的进程并修改寄存器上下文创建傀儡进程。
* 通过.NET Assembly反射式运行已知/混淆后的恶意C#程序集。
* 通过常规方式申请可执行内存运行已知/混淆后的恶意PE映像。
* 通过常规方式申请可执行内存运行混淆后的恶意shellcode。
* 通过镂空.NET DLL映像可执行内存运行已知的恶意PE映像。
* 通过文件二重身技术加载并运行已知的恶意PE映像。
* 加载网上泄露的有效/过期签名签署的测试驱动程序。
* 白利用已曝光/未曝光驱动程序结束杀软进程。

3. 社会工程学技术
* 访问水坑网站,下载并执行伪装为FlashPlayer安装包的测试程序。
* 执行伪装成文档并使用常见/罕见方式运行测试载荷的.lnk快捷方式文件。

4. 凭据盗窃
* 利用procdump保存lsass内存映像。
* 利用测试程序保存lsass内存映像。
* 利用ssp技术加载测试dll保存lsass内存映像。
* 利用键盘钩子实现的键盘记录程序。
* 利用GetAsyncKeyState实现的键盘记录程序。
* 顶层窗口、剪切板、屏幕录像监控程序。
* 通过WTSQueryUserToken偷取已登录用户会话令牌,并创建拥有令牌安全上下文的新进程。
* 通过OpenProcessToken偷取已登录用户会话令牌,并在线程内模拟令牌安全上下文。

5. 权限提升
* 已知的绕过UAC获取高特权方法。
* 一些常用的普通账户/Web服务账户提权方法(如:烂土豆)。

以下进程类型都应分别进行完整的测试:

1. 灰进程
* 没有签名,且不在杀软白名单中的测试用EXE程序。EXE文件流行度很低。
* 常见于攻防演习。

(====以下进程的父进程都是explorer.exe/services.exe====)

2. 白利用进程
* 带签名的第三方EXE程序,通过劫持/缺失方式加载了测试用DLL程序。EXE程序未被曝光过(用新找的白利用而不是老古董来测试),DLL文件流行度很低。
* 常见于攻防演习、APT攻击。

3. 共享服务进程
* 通过rundll32、svchost共享进程服务加载了测试用DLL程序。DLL文件流行度很低。
* 常见于攻防演习、APT攻击。

4. 白进程 (伪)
* 带有效签名的测试用EXE程序(签名被盗已曝光)。
* 常见于攻防演习、APT攻击。

5. 白进程
* 带有效签名的测试用EXE程序(签名被盗未曝光)、利用漏洞加载了恶意代码的程序。
* 常见于高级APT攻击。
* (为完成该项测试可能需要购买签名)

最后,建议增加参测选手:

1. 360安全卫士-32位系统或64位系统开启核晶模式
2. 360安全卫士-64位系统未开启核晶模式
3. 2345安全卫士
4. Sophos
5. Windows Defender


建议增加的选手在以上测试中会非常有看头,可能会刷新大家的某些认知
另外做内存测试时要注意一下,有些杀软要手动做一下快速扫描才能检测到,比如卡巴。普通用户无需担心,这种内存扫描会每隔几小时自动运行一次。

评分

参与人数 2人气 +4 收起 理由
大明湖畔的乾隆 + 3 精品文章
yexo + 1 版区有你更精彩: )

查看全部评分

yexo
发表于 2022-4-17 07:01:07 | 显示全部楼层
kakenhi 发表于 2022-4-16 01:41
感觉本测试没抓住重点。建议添加以下测试内容,从技术层面上增加说服力。
不然我会觉得做测试的是托 (是不 ...

能否推荐一些能有效防御上述攻击的安全软件,谢谢
kakenhi
发表于 2022-4-21 23:19:53 | 显示全部楼层
yexo 发表于 2022-4-17 07:01
能否推荐一些能有效防御上述攻击的安全软件,谢谢

所有都全部有效肯定没有。。

企业:

主要针对国内攻防演习的话,360安全卫士,开启核晶模式。前提是灰进程,以上提到的大部分都能防御。(攻防演习一般都是灰进程),恶意可执行内存除外。不过其他的都防到了,光是恶意可执行内存能干的事情不多。可以同时开启Windows Defender,这样可以定期扫描内存。记住开了核晶模式的360和没开的是两个不同的东西。

要防御apt风险的话,建议卡巴,这是性价比最高,防御维度相对全面,又最适合国情的(欧美的比较敏感还有制裁风险)。如果可以考虑欧美,能搞到的话是猎鹰最好,个人觉得比较优秀的还有bd gravity zone。Sophos也行,主要特长是对恶意可执行内存非常敏感。

个人机: 花钱:卡巴。不花钱:Windows Defender。
WD默认模式比卡巴防御强度差一些,组策略开攻击面减小的话,防御强度各有千秋但没卡巴那么智能。个人觉得WD默认模式比国内除了360以外的一切个人版杀软、管家强。

评分

参与人数 1人气 +3 收起 理由
yexo + 3 赞一个!

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 17:58 , Processed in 0.123004 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表