KnowBe4 Ran Simulator

anthonyqian

swizzer 发表于 2022-4-12 00:04
MT原帖测试，智量是满分通过

https://malwaretips.com/threads/wisevector-free-ai-driven-secur ...

根据MT上这个帖子https://malwaretips.com/threads/ ... are-knowbe4.113200/，你的结果和他的是一致的~

智量官方

anthonyqian 发表于 2022-4-12 14:16
根据MT上这个帖子https://malwaretips.com/threads/wisevector-stopx-vs-0-day-ransomware-knowbe4.11320 ...

很明显不一致啊，那个用户是关闭智量高级防护后出现的未通过结果，如果不关闭高级防护，智量是可以全部拦截的。而Swizzer同学并未关闭高级防护.

1094947421

swizzer 发表于 2022-4-12 14:09
我测试时一直开启着基础监控，而且拿锁库的和更新后的都测试了一遍，但是都不成功

最好重新安装一下智量，装着智量同时再装上别的杀软再卸载之后智量会出毛病，以前是不自启了后来修好了，上回装个管家国际版卸载以后重启，智量自动更新两次之后两个小时都没更新，重启电脑也不自动更新，手动更新第一次必定一直卡住不能成功，第二次手动才能成功，不是每天，而是每回第一次。重装智量之后别折腾就一直好好的。
以前装360tse，然后再装个瑞星，卸载瑞星，360tse监控就失效了，重启电脑也是失效的。

anthonyqian

智量官方 发表于 2022-4-12 14:21
很明显不一致啊，那个用户是关闭智量高级防护后出现的未通过结果，如果不关闭高级防护，智量是可以全部拦 ...

那你们的产品需要提高稳定性。。。

智量官方

swizzer 发表于 2022-4-12 14:01
没有的

我们用新的虚拟机，重新下载安装了这个模拟器，结果是全部拦截。测试之前加了三个文件为信任。

swizzer

复原快照测试了下，使用的智量的静态特征日期为2022/2/17，主防特征日期为2022/4/7（最新，这些信息可以从录屏开头dat文件夹中文件的修改日期看出）

确认无法防护，但是依然跟https://malwaretips.com/threads/wisevector-stopx-vs-0-day-ransomware-knowbe4.113200/有一些出入。这个帖子中出现的WIBD:HEUR.Ransom.H报法我这里均未复现。

我认为是智量在某个时间段更新了静态特征导致的结果不同，这可能说明了静态特征是会影响到勒索防护/主防判定的？
或者说WIBD:HEUR.MalBehavior.E00报法就是与静态特征联动？




完整录屏 https://pan.huang1111.cn/s/BvyDu6




@智量官方  @anthonyqian

lvzhiwei

Hibike 发表于 2022-4-12 14:03
所以按您的看法，就算别的用户在样本区at了官方，官方也不能出现，否则就算蹲点，对吗

我觉得您有点较真哦，用户@，官方当然可以出现，官方维护自己公司的产品是理所当然的事，至于我说的看到官方出现，就会认为官方蹲点也只代表我个人看法，我可能没有仔细往前翻看到有人@官方，然后看到官方出现，如果别人没有看到有人@官方，官方就出现，让人认为官方蹲点也是有可能的，官方蹲点这个有什么不好吗，说明官方重视卡饭蹲点样本。如果有人认为我说的话有损什么，我个人表示道歉。

Hibike

lvzhiwei 发表于 2022-4-12 14:47
我觉得您有点较真哦，用户@，官方当然可以出现，官方维护自己公司的产品是理所当然的事，至于我说的看到 ...

我的话可能让您感到困扰了，对此我先表歉意。

我可能没有仔细往前翻看到有人@官方

在这个帖子中确实是如此。
我当然不认为您说的话有损什么，可能还是我对于坛友查看帖子的精细度过于苛求了吧。如有冒犯，再次深表歉意。

lvzhiwei

Hibike 发表于 2022-4-12 14:59
我的话可能让您感到困扰了，对此我先表歉意。

没事，刚刚看了一下，确实看到了。但是个人建议有时候您对论坛的人过于苛求这个，怎么说呢？有要求可以出个公告，然后看看反应。样本区这个毕竟不是专业的人，测试的人应该大部分都不是从事安全行业的吧，就是兴趣爱好开测的。当然有适当要求是可以的。

1159614431

智量官方 发表于 2022-4-12 14:27
我们用新的虚拟机，重新下载安装了这个模拟器，结果是全部拦截。测试之前加了三个文件为信任。

重新试了一下，无法拦截