[AV-C] 自保测试 2023

Jirehlov1234

https://www.av-comparatives.org/ ... certification-test/

有四款产品参加了测试
CrowdStrike Falcon Enterprise
ESET PROTECT Entry
Kaspersky Endpoint Security for Business
Palo Alto Networks Cortex XDR Prevent

全部满分通过

tdsskiller

emmm现在r3还真不简单，r0看看急救箱和火绒的下场就行了，死的透透的

ANY.LNK

tdsskiller 发表于 2023-5-24 14:19
emmm现在r3还真不简单，r0看看急救箱和火绒的下场就行了，死的透透的

印象中只有少数的安全软件在内核中挂钩或者过滤了危险的函数例如ZwProcessTerminate等，而且需要虚拟化环境支持且默认不开启

之前拿某些内核工具测试的时候确实有但不多的安全软件能抗下来

感觉现在不少的安全软件在降低内核对抗的强度，想当年国内的安全软件在对彼此和Rootkit的内核对抗的强度、花样几乎是群魔乱舞……

GreatMOLA

ANY.LNK 发表于 2023-8-13 22:28
印象中只有少数的安全软件在内核中挂钩或者过滤了危险的函数例如ZwProcessTerminate等，而且需要虚拟化环 ...

那时候卡巴也不落下风，经常蓝屏都是卡巴导致的。

gostrmao

有这么差吗

tdsskiller

gostrmao 发表于 2023-8-14 12:25
有这么差吗

针对R3的自保现在都不错，而且现在的主动防御和云基本能免疫99%的抄袭avkiller和脚本小子，除了那1%的内鬼和初见杀，所以没必要去牺牲稳定性来弄过多的保护。人家直接给你上勒索了，你自保再好，自己没事重要文件全遭殃了，不如多点工夫研究对付勒索和一些潜在的初见杀

tdsskiller

ANY.LNK 发表于 2023-8-13 22:28
印象中只有少数的安全软件在内核中挂钩或者过滤了危险的函数例如ZwProcessTerminate等，而且需要虚拟化环 ...

现在国内流行签名黑名单，只要加载得早一切自保都是白搭。一个WHQL木马在BOOT阶段启动，加上签名黑名单，什么自我保护都是白搭，这种只能用急救箱做后手穿透