【KaFan-Test】卡饭安全实验室杀软评测 2022 Q1

至尊神行太保

山上石 发表于 2022-3-24 18:28
质量是原来的瑞星团队不

火绒是，智量不到哪支团队

jlsplbr

感谢分享

tjr57

我同时用了ESET和智量，智量主防，ESET文件查杀

ll496514761

智量的UI实在是太难看了。。。

wuhao1314

智量表现真的不错...

2485957129

761773275 发表于 2022-2-27 21:56
商业化弄个好看的UI不难吧

用心做产品，用脚做UI

瓦里哇卡

360不参加此次试验？
腾讯也不参加？

kakenhi

感觉本测试没抓住重点。建议添加以下测试内容，从技术层面上增加说服力。
不然我会觉得做测试的是托 (是不是智量的托不知道，但看起来很像是火绒的托www)
（文中已有的测试方法不赘述，比如计划任务持久化）

1. 持久性方法
* 通过注册表的常见/罕见启动项实现持久化。
* 通过自启动目录实现持久化。
* 通过创建系统服务实现持久化。
* 通过修改已有系统服务/启动项对应的可执行程序实现持久化。
* 通过向已有系统服务/启动项对应可执程序目录中写入劫持/缺失dll实现持久化。

2. 防卫规避技术
* 通过CreateRemoteThread/QueueUserApc方法创建远程线程逃避进程链监控。
* 通过syscall创建远程线程逃避进程链监控。
* 通过创建挂起的进程并修改寄存器上下文创建傀儡进程。
* 通过.NET Assembly反射式运行已知/混淆后的恶意C#程序集。
* 通过常规方式申请可执行内存运行已知/混淆后的恶意PE映像。
* 通过常规方式申请可执行内存运行混淆后的恶意shellcode。
* 通过镂空.NET DLL映像可执行内存运行已知的恶意PE映像。
* 通过文件二重身技术加载并运行已知的恶意PE映像。
* 加载网上泄露的有效/过期签名签署的测试驱动程序。
* 白利用已曝光/未曝光驱动程序结束杀软进程。

3. 社会工程学技术
* 访问水坑网站，下载并执行伪装为FlashPlayer安装包的测试程序。
* 执行伪装成文档并使用常见/罕见方式运行测试载荷的.lnk快捷方式文件。

4. 凭据盗窃
* 利用procdump保存lsass内存映像。
* 利用测试程序保存lsass内存映像。
* 利用ssp技术加载测试dll保存lsass内存映像。
* 利用键盘钩子实现的键盘记录程序。
* 利用GetAsyncKeyState实现的键盘记录程序。
* 顶层窗口、剪切板、屏幕录像监控程序。
* 通过WTSQueryUserToken偷取已登录用户会话令牌，并创建拥有令牌安全上下文的新进程。
* 通过OpenProcessToken偷取已登录用户会话令牌，并在线程内模拟令牌安全上下文。

5. 权限提升
* 已知的绕过UAC获取高特权方法。
* 一些常用的普通账户/Web服务账户提权方法(如：烂土豆)。

以下进程类型都应分别进行完整的测试：

1. 灰进程
* 没有签名，且不在杀软白名单中的测试用EXE程序。EXE文件流行度很低。
* 常见于攻防演习。

(====以下进程的父进程都是explorer.exe/services.exe====)

2. 白利用进程
* 带签名的第三方EXE程序，通过劫持/缺失方式加载了测试用DLL程序。EXE程序未被曝光过(用新找的白利用而不是老古董来测试)，DLL文件流行度很低。
* 常见于攻防演习、APT攻击。

3. 共享服务进程
* 通过rundll32、svchost共享进程服务加载了测试用DLL程序。DLL文件流行度很低。
* 常见于攻防演习、APT攻击。

4. 白进程 (伪)
* 带有效签名的测试用EXE程序(签名被盗已曝光)。
* 常见于攻防演习、APT攻击。

5. 白进程
* 带有效签名的测试用EXE程序(签名被盗未曝光)、利用漏洞加载了恶意代码的程序。
* 常见于高级APT攻击。
* (为完成该项测试可能需要购买签名)

最后，建议增加参测选手：

1. 360安全卫士-32位系统或64位系统开启核晶模式
2. 360安全卫士-64位系统未开启核晶模式
3. 2345安全卫士
4. Sophos
5. Windows Defender


建议增加的选手在以上测试中会非常有看头，可能会刷新大家的某些认知
另外做内存测试时要注意一下，有些杀软要手动做一下快速扫描才能检测到，比如卡巴。普通用户无需担心，这种内存扫描会每隔几小时自动运行一次。

yexo

kakenhi 发表于 2022-4-16 01:41
感觉本测试没抓住重点。建议添加以下测试内容，从技术层面上增加说服力。
不然我会觉得做测试的是托 (是不 ...

能否推荐一些能有效防御上述攻击的安全软件，谢谢

kakenhi

yexo 发表于 2022-4-17 07:01
能否推荐一些能有效防御上述攻击的安全软件，谢谢

所有都全部有效肯定没有。。

企业：

主要针对国内攻防演习的话，360安全卫士，开启核晶模式。前提是灰进程，以上提到的大部分都能防御。(攻防演习一般都是灰进程)，恶意可执行内存除外。不过其他的都防到了，光是恶意可执行内存能干的事情不多。可以同时开启Windows Defender，这样可以定期扫描内存。记住开了核晶模式的360和没开的是两个不同的东西。

要防御apt风险的话，建议卡巴，这是性价比最高，防御维度相对全面，又最适合国情的(欧美的比较敏感还有制裁风险)。如果可以考虑欧美，能搞到的话是猎鹰最好，个人觉得比较优秀的还有bd gravity zone。Sophos也行，主要特长是对恶意可执行内存非常敏感。

个人机： 花钱：卡巴。不花钱：Windows Defender。
WD默认模式比卡巴防御强度差一些，组策略开攻击面减小的话，防御强度各有千秋但没卡巴那么智能。个人觉得WD默认模式比国内除了360以外的一切个人版杀软、管家强。