[品鉴] CYNET的测试与分析

KeBugCheckEx

在MITRE Enterprise 2025的测试中前三分别是
CrowdStrike,Cynet,Cybereason




而CYNET的成绩可谓是 一摆到头
对了，图"赏"请看[测评] MITRE满分选手Cynet——当神秘的实验室皇帝遇上真实战场




既然如此，就让我们好好品鉴一下这个"满分战神"吧

1. 安装
这东西安装的时候就一堆bug,而且安装非常慢

而且，它的安装脚本还会无限重试


我这里脚本直接崩了，所以它没能无限重试

然后

虽然不知是何意味，但是我想这应该不能算是一个特性(

2.品鉴
从安装完那一刻起，我就已经不想拿样本去测了
所以，我直接提取了它的驱动，简单分析了一下
首先

它的驱动直接把日志编译到了Release中

其次

它直接硬编码驱动版本

还有

你这怕不是拿Example改的吧

本来，我想看看它的ImageLoad通知
然后一搜导入表
发现它根本没有ImageLoad通知

然后我立马复制了个ARK(Anti-Rootkit)到虚拟机，果然不出我所料

加载驱动直接一路绿灯

然后我去控制台搜索了一下事件

发现貌似并没有驱动加载的事件(我不太会用Cynet这个控制台,可能有误,总之我没搜到)




到这里我就已经不想测了
最后我随便用了一个老得不能再老的手法
成功给他kill掉了

对了

如你所见，这是它的勒索诱捕(应该是吧)，而且，它拉得到处都是

Windows目录里都有





好了就这样吧，我受不了了，这东西太垃圾了
这边给到拉完了！

aikafans

看到结尾，真给我笑抽了，辛苦了兄弟