【龟龟的图一乐测试】第一弹 #火绒

神龟Turmi

想了想 我已经两年没有正经的做过安全软件测试了
这次来整点活，顺便附上几个自己DIY的样本

事先声明：本测试不作为选择安全软件的推荐，且本测试只对测试样本负责

测试样本：
一.DIY样本VOL1（3X）
来自https://bbs.kafan.cn/thread-2181276-1-1.html的老古董自制APT，随意的改了一下md5（防拉黑）
MISS判定：运行后建立了C2连接

二.DIY样本VOL2（3X）
1.一个自己做的弱鸡勒索，基于Everything和7ZIP，遍历桌面和文档目录，但是会排除第一个子目录/最后一个子目录/隐藏目录，寻找指定格式的文件然后使用7ZIP加密压缩，算法为LZMA2，加密算法为AES256，密码随机生成，勒索信内容为明文解密密码，最后删除源文件
MISS判定：桌面和文档内的测试文件被加密
2.从某国产软件中发现可被利用的WFP驱动，带有WHQL签名，配合自制CLI实现替换SSL证书后重定向目标地址，中间人指定网站。为了避免失误导致样本流出的麻烦，本测试使用https://myip.ipip.net作为虚构的“银行网站”，但是如果本测试未通过，实际上任意网站的HTTPS流量都可以被窃取
MISS判定：根证书成功安装，驱动成功加载，访问虚构银行网站时被中间人攻击拿到明文传输数据

3.一个魔改TDI驱动，附有泄露的数字签名，加载后会导致安全软件断网，但是其他软件可以正常连接网络。驱动一旦加载不可能在系统运行时被卸载，所以只要加载成功且安全软件网络断开（更新失败）则视为防御失败。这个样本模拟的是现实中入侵前期针对性解决安全软件让各种反弹Shell可以安全落地的操作
MISS判定：驱动成功加载，安全软件无法联网，更新失败，云查杀连接失败

三.真实世界样本VOL1（10X）
均来自MalwareTips或卡饭样本区

测试评级标准
真实世界样本未检出->F
（这些真实世界样本都是经过挑选有明显行为的样本，且已经在网络中传播至少2天，如果出现MISS，那么这个安全软件在我看来没有起到应该有的作用）
当前系统中快速扫描出现误报->F
（我测试用的环境足够干净了，这还能误报，那不如学一下VoodooShield）
真实世界10/10，DIY样本0/6->B
（起到了保护作用，但是检测新威胁的能力有待提高）
真实世界10/10，DIY样本1~3/6->A
（有一定发现新威胁的能力了）
真实世界10/10，DIY样本4~5/6->S
（在我看来是个一流水平的安全软件了）
真实世界10/10，DIY样本6/6->S+
（希望我弃坑之前有一家能达到）

===测试开始分界线===
扫描：13X（真实世界10/10，DIY第一辑3/3，DIY第二辑0/3）


DIYVOL2.1（勒索）双击：MISS，文件被加密


DIYVOL2.2（中间人）双击：MISS，根证书安装成功，驱动加载成功，访问目标被重定向且浏览器无异常


DIYVOL2.3（拦截网络）双击：MISS，驱动加载成功，空路由重定向成功，火绒被断网，浏览器联网正常


===最终结果===
火绒 成绩：真实世界10/10 DIY3/6 评级：A

846472713

前排

holdings

等结果，只看得懂结果

ICzcz

前排支持龟大
目前的龟大做好的测试火绒好像都miss了。。。

swizzer

前排围观

神龟Turmi

swizzer 发表于 2022-3-24 19:03
前排围观

测完了 不用围观了（
比想象中好点 毕竟前三个样本一年多前测的时候火绒是1/3 现在是3/3 确实有进步

0595菜鸟

A级不错，，，

wajika

都没有拦截到 也是A？

wwwab

wajika 发表于 2022-3-25 08:21
都没有拦截到 也是A？

因为真实世界样本权重更高，而且火绒扫描都杀了别的杀软有漏的还得双击

trumping

神龟Turmi 发表于 2022-3-24 19:19
测完了 不用围观了（
比想象中好点 毕竟前三个样本一年多前测的时候火绒是1/3 现在是3/3 确实有进步

测瑞星V17收费版 选 交一个月的费