本帖最后由 22222221 于 2025-10-6 08:27 编辑
国内外消费者端杀毒软件防御用户密码窃取攻击测试
一、测试说明 国内外消费者端(即个人版)杀毒软件面对以通过dump lsass.exe来获取登录密码的攻击防范如何呢?为保证公平性与可控性,所有杀毒软件均采用默认设置,更新至最新病毒库并重启一次。 二、受测杀毒软件名单(一)国内组 1.智量终端安全 2.腾讯电脑管家 3.金山毒霸 4.火绒安全6.0 5.360 安全卫士极速版(开核晶) (二)国外组 1.Microsoft Defender 2.Dr Web space beta 3.Avira Free 4.Avast Free 5.Kaspersky Free 6.Sophos Home 7.ESET(ESET Internet Security) 三、测试样本 样本一,利用DumpMinitool.exe这一合法工具进行dump 样本二,以xiebroc2为基础,利用sharpkatz进行dump 样本三,使用hidedump项目进行dump(项目链接:https://github.com/coleak2021/hidedump) 样本四,使用callbackdump项目进行dump (项目链接:https://github.com/seventeenman/CallBackDump) 样本五,cobalt strike白加黑注入notepad.exe上线,使用nanodump进行dump 四、测试表格省流
五、测试情况
1.智量终端安全 样本一,dump下来但是卡死了,无法回传(还真不是bug,我试了两次都这样) 样本二,直接杀
样本三杀 样本四,挺离谱的,虽然杀了但是dump文件发回来了……算半成功 并且能解析
样本五 智量果然还是挡不住白加黑+nanodump双连击  评分:3.5/5
2.腾讯电脑管家
完全miss 评分:0/5
3.金山毒霸
也是完全miss……
评分:0/5
4.火绒安全 前四个miss,第五个竟然拦截了…… 评分:1/5
5.360安全卫士极速版
(ps:经典全杀)
评分:5/5
6.Microsoft Defender 前三个样本还不错,不过到了后两个就不行了
7.Dr Web 挺奇怪的,有几个要么dump不下来要么dump的只有几kb,但是又没有拦截提示 样本一miss
样本二 dump不下来,算kill 样本三 0kb 算kill
样本四,这位落不了地……kill
样本五 kill 评分:4/5
8.Avira APC过来屠场的
评分:5/5
9.Avast 也是屠场的 样本二无回连
评分:5/5
10.Kaspersky 样本一0kb,防御成功
样本二 PDM发力 样本三也是落地但是只有几kb 样本四VHO杀 样本五,PDM
评分:5/5
10.Sophos Home(又是全杀)
评分:5/5
最后一位ESET
不是哥们?你怎么翻车了???被dump了
评分:4/5
| 
[复制链接]
发表于 
楼主
