卡巴对银狐的防御水平现在怎么样了

anthonyqian

驭龙 发表于 2024-12-7 19:01
关键是近期的银狐，谁杀都有难度，这银狐更新太快了，唉，感觉也就EDR才有可能防的好一点

ESET可以。

ESET最近新加了Win64/Agent.EXB的检测，基本上可以覆盖这一类样本。

大蜘蛛也在最近加了一个Trojan.Siggen30.17399的检测，好像强度略低于ESET的，但也还行

anthonyqian

编辑

GDHJDSYDH

con16 发表于 2024-12-7 19:16
比起無力反擊MD好就行

我没记错的话，样本区有银狐运行后干掉MD进程重启后MD突起反杀银狐的案例，不清楚是不是ELAM发力的原因。反正卡巴和BD在银狐驱动成功加载后会尝试回滚对抗（病毒吧群有个用Kaspersky Standard的网友因为卡巴与银狐对抗回滚把系统滚炸了而求救），而我印象中除了这俩以外就只有MD在银狐加载后还有一定程度上的反抗能力（指重启反杀），其它家杀毒软件要是被干了似乎真就再起不能。

GDHJDSYDH

驭龙 发表于 2024-12-7 19:45
是的，除非是MDB以上级别的MD才有高强度自我保护，不然很容易被干掉。

如果是零容忍级别的MD，很大新 ...

感觉可以用HMPA和冰盾来弥补MD的短板，如果没记错的话，添加MD排除和禁用MD等操作也在Mitre Att&ck战术里

驭龙

inhh1 发表于 2024-12-7 21:15
bd企业版要手改策略 不改策略完蛋
改了策略可以有效防止漏洞驱动，哪怕是他们重签的也可以防
exe的银狐 ...

国产的EPP，效果确实是不算理想，也就是卫士现在还在想办法对抗银狐，可惜跟32楼说的差不多，正规厂商被微软限制，加上不能影响用户体验，所以要考虑的太多，不能放开手脚，而黑团队就可以肆无忌惮的针对安全软件，这也是很无奈的地方

驭龙

anthonyqian 发表于 2024-12-7 21:35
ESET可以。

ESET最近新加了Win64/Agent.EXB的检测，基本上可以覆盖这一类样本。

对，ESET一旦添加新的基因特征，就通吃一段时间内的银狐变体，过一段时间银狐过了这个特征，ESET杀的就差一点，不过好在ESET提取特征还算勤快，所以效果一直名列前茅，除了卡巴和ESET，其他的在银狐面前还是差一点

ジ蓅暒划过づ

驭龙 发表于 2024-12-7 22:15
对，ESET一旦添加新的基因特征，就通吃一段时间内的银狐变体，过一段时间银狐过了这个特征，ESET杀的就差 ...

Avast好像也不错

驭龙

ジ蓅暒划过づ 发表于 2024-12-7 22:16
Avast好像也不错

没关注。

另外回复你楼上的话题，我早就跟你说实机不要测毒吧，所以卡巴翻车了，哈哈

驭龙

kaba777 发表于 2024-12-7 21:05
企业版的产品覆盖面太小，估计国内大部分企业用的都是个人版或者国产EDR，讨论MDB这些国外的产品恐怕意义 ...

用火力全开的MD和ASR规则，再加上MDE P2授权的话，应该算得上是普通用户能用到的比较高级的安全产品了

MDE是不容易被加白的

lsop1349987

我记得之前某个新的驱动vt初扫好像只有大蜘蛛报了，drweb基本上是拦加驱（行为防护默认级别，蜘蛛对这种驱动好像比较敏感），询问用户允许后依然会拦。卡巴主防很强，云黑很快，但是好像单靠主防有漏的时候。另外我比较好奇avast对付银狐怎么样，扫不出来前提下虚拟机测双击一直没成功过，avast也没反应，不知道是什么问题。