(10.12)横向测评：12款安全软件对以cobalt strike框架为基础的防御测试(Test 02))

22222221

(10.12)横向测评：12款安全软件对以cobalt strike框架为基础的防御测试(Test 02))
一、测试说明

本次测试国内外消费者端（即个人版）杀毒软件面对以cobalt strike为基础的完整攻击链条防御能力（上线——获取登录密码——持久化，条件所限不进行横向移动测试，见谅）

二、受测杀毒软件名单（一）国内组

1.智量终端安全

2.腾讯电脑管家

3.火绒安全6.0

4.360 安全卫士 + 360 杀毒（开核晶）

（二）国外组

1.Microsoft Defender

2.Dr Web space beta

3.Avira Free

4.Avast Free

5.Kaspersky Free

6.Sophos Home

7.Hitmanpro.Alert

8.ESET（ESET Internet Security）

三、测试情况

样本一 APC 将DLL注入 WPS

样本二 vehsyscall加载shellcode

样本三 白加黑加载

这三个样本的shellcode配置，以cobalt strike为基础，启用sleepmask，beacon使用stageless，indirect，WinInet，xor加密。窃取密码分为直接运行sharplocker或net内存执行，均拦截才算成功持久化通过替换FileCoAuth.exe来实现

[size=12.0000pt]四、测试表格

五 测试情况

智量终端安全

样本二miss

评分：2/3

腾讯电脑管家
完全miss

评分：0/0

360安全卫士（你怎么了，才拦截一个……）

评分：1/3

火绒安全（同360）
只拦截最后一个

defender

评分：0

Dr Web
我不理解这是怎么查杀我的bin文件的……

评分：2/3

Avira

最后一个miss

评分：2/3

Avast（您今天也身体不适?）

评分：1/3

卡巴斯基（只杀了一个……）

评分：1/3

Sophos home(你为什么会得0分？？？？？？)

最好笑的是HMPA能够拦截

最后一位ESET

就最后一个miss
评分：2/3

秋殇别恋@练

最逆天的就是sop了，hmpa能杀，sop不行，这砍引擎砍的就离谱

微微的笑

小红伞这么强

22222221

微微的笑 发表于 2025-10-12 14:55
小红伞这么强

APC发力这一块

驭龙

理论上Avira beta应该是唯一三杀的了，因为avast刚刚好杀第三个样本，而Avira beta有avast的algo引擎，当然这是理论上的结果。

如果楼主把样本分享一下，我就可以测试一下Avira beta是不是三杀
============================================

不对，刚刚看截图avast不是引擎杀的第三个样本，而是反漏洞组件，那Avira beta可能也没戏了

22222221

驭龙 发表于 2025-10-12 15:28
理论上Avira beta应该是唯一三杀的了，因为avast刚刚好杀第三个样本，而Avira beta有avast的algo引擎，当然 ...

反漏洞保护k的 所以没戏（）

驭龙

22222221 发表于 2025-10-12 15:42
反漏洞保护k的 所以没戏（）

看截图发现了，不过你可以私信一下我3号样本吗？我去虚拟机中测一下

tihs

秋殇别恋@练 发表于 2025-10-12 14:55
最逆天的就是sop了，hmpa能杀，sop不行，这砍引擎砍的就离谱

sophos现在主防就是不如HMPA，我自己测过很多次，猜测是为了降低误报吧

另外建议增加BD免费版

ii88

哇塞，我的ESET+360或者ESET+火绒组合，全是三杀！  

22222221

tihs 发表于 2025-10-12 15:59
sophos现在主防就是不如HMPA，我自己测过很多次，猜测是为了降低误报吧

另外建议增加BD免费版

用不上……