2025AV-C高级威胁防护测试

微微的笑

看了一下，没人分享。Advanced Threat Protection Test 2025 - Consumer - AV-Comparatives

机翻：本次测试中使用的15种测试场景简要介绍如下：

1.这种威胁是通过鱼叉式钓鱼链接引入的。会传递一个恶意二进制文件（.EXE），该程序使用加密或编码的壳码，使用用户模式解钩以规避防御，利用伪装模拟合法二进制，重命名系统工具，携带无效代码签名，并执行无阶段的Meterpreter负载以建立指挥控制。
2.这种威胁是通过有效的账户引入的。会传递一个恶意混淆的JavaScript文件（.JS），使用编码壳码并执行分阶段的Meterpreter负载以建立命令和控制。
3.这种威胁是通过鱼叉式钓鱼附件引入的。会交付一个恶意控制面板小程序（.CPL），该程序使用加密或编码的壳码，应用用户模式脱钩以规避防御，并执行无阶段的Meterpreter负载以建立指挥控制。
4.这种威胁是通过信任关系引入的。一个恶意的Visual Basic文件（.VBS）被交付，使用加密壳码并执行分阶段的Meterpreter有效载荷以建立指挥和控制。
5.这种威胁是通过可移除介质复制引入的。一个恶意的屏幕保护程序文件（.SCR）交付的代码使用加密或编码壳码，应用ETW补丁以规避防御，利用伪装模拟合法二进制，重命名系统工具，携带无效代码签名，并延迟执行无阶段Meterpreter负载以建立指挥控制。
6.这种威胁是通过鱼叉式钓鱼链接引入的。一个编译后的HTML文件（.CHM）被交付，使用加密或编码的壳码，并以延迟的方式向远程进程注入分级商业有效载荷以建立指挥控制。
7.这种威胁是通过有效的账户引入的。一个恶意混淆的HTA文件（.HTA）被交付，使用编码壳码并执行分级商业有效载荷以建立指挥控制。
8.这种威胁是通过鱼叉式钓鱼附件引入的。会交付一个恶意控制面板小程序（.CPL），使用编码壳码，应用用户模式脱钩以规避防御，使用诱饵文件模拟合法软件安装，并执行无阶段商业负载以建立指挥控制。
9.这种威胁是通过信任关系引入的。一个恶意的shell快捷方式文件（.LNK）使用编码壳码，并执行分级商业有效载荷，利用certutil.exe建立指挥控制。
10.这种威胁是通过可移除介质复制引入的。一个以MS-DOS快捷方式文件形式出现的恶意二进制文件（.PIF）文件使用加密或编码的壳码，应用用户模式解钩以规避防御，利用伪装模拟合法二进制，重命名系统工具，携带无效代码签名，并延迟执行无阶段商业负载以建立指挥控制。
11.这种威胁是通过鱼叉式钓鱼链接引入的。会传递一个恶意二进制文件（.EXE），该文件使用加密或编码的壳码，应用用户模式解钩以规避防御，利用伪装模拟合法二进制文件，重命名系统工具，携带无效代码签名，并执行分阶段的帝国负载以建立指挥控制。
12.这种威胁是通过有效的账户引入的。一个恶意混淆的VBS文件（.VBS的交付方式使用加密的壳码，并执行分阶段的帝国有效载荷以建立指挥与控制。
13.这种威胁是通过鱼叉式钓鱼附件引入的。会交付一个恶意控制面板小程序（.CPL），使用加密的壳码，使用诱饵文件模拟合法软件安装，并执行分阶段的帝国负载以建立指挥控制。
14.这种威胁是通过信任关系引入的。它是一个恶意可执行文件，形式为 DLL 文件（.DLL），使用编码的壳码试图禁用 ETW，并执行分阶段的帝国有效载荷，以建立指挥控制，并使用rundll32.exe执行。
15.这种威胁是通过可移除介质复制引入的。一个编译后的HTML文件（.CHM）被交付，使用加密的壳码，并延迟执行分阶段的帝国有效载荷以建立指挥和控制。

注：pre：执行前，on：执行时，post：执行后（即注入内存）

kim545

https://bbs.kafan.cn/thread-2286299-1-1.html是不是这个

微微的笑

kim545 发表于 2025-11-25 17:24
https://bbs.kafan.cn/thread-2286299-1-1.html是不是这个

居然还有这个板块，闻所未闻，好吧， 重复贴，

paul_guo

avast avg居然分开了吗

kim545

paul_guo 发表于 2025-11-25 23:00
avast avg居然分开了吗

norton也分开了，avast和avg还有norton都一样的结果

aikafans

看这个结果，avg or avast or norton 配合avria（gen当中比较独立的存在），防护能力top级别

驭龙

aikafans 发表于 2025-11-26 11:10
看这个结果，avg or avast or norton 配合avria（gen当中比较独立的存在），防护能力top级别

这个测试的时候，Avira还没有启用algo引擎，正如我在上面二楼链接中的帖子说的那样，如果Avira是使用双引擎的版本，成绩会更好

利刀1937

驭龙 发表于 2025-11-26 12:19
这个测试的时候，Avira还没有启用algo引擎，正如我在上面二楼链接中的帖子说的那样，如果Avira是使用双引 ...

下次换新版本，成绩就好了。

驭龙

利刀1937 发表于 2025-11-26 12:25
下次换新版本，成绩就好了。

你不要诱惑我去玩Avira了，我才下定决心准备长期用卡巴的。

哈哈，开个玩笑，别介意。

说真的，Avira查杀确实是可以了，但综合实力还是比不过卡巴的，只是卡巴最近好像掉链子了，双击PDM杀的样本，拉黑也慢了很多，很多饭友都有这种感觉了，不知是什么原因导致的卡巴拉黑慢了

PanzerVIIIMaus

驭龙 发表于 2025-11-26 13:03
你不要诱惑我去玩Avira了，我才下定决心准备长期用卡巴的。

哈哈，开个玩笑，别介意。

难道几个月前卡巴提到的“不可言说的机制修改”修改了客户端对云端的轮询“降本增效”是认真的？