其他论坛一个病毒样品 测试下你的杀毒软件能力
本帖最后由 yangjiangh 于 2024-7-7 10:36 编辑这个是一个木马样品 不要在实体机测试运行
实体机下载后 不去解包运行 是没关系的
解包和运行请在虚拟机中测试
原来对ESET杀毒软件很信任的 测试这个样品时
下载后解压 对文件用ESET服务器版查杀 竟然查不出木马病毒
双击运行该木马文件 ESET服务器版也是安静的没任何反应
吓得我赶紧将电脑杀毒软件换了
一起测试了多个杀毒软件的查杀能力
ESET最新服务器版 efsw_nt64_11.0.12012.0 而且是联网情况下查杀
对木马样本 没任何反应 不查杀 也不拦截其危险行为
然后测试ESET的HIPS自定义规则 增加 启动新的应用 规则
但是这个会很扰民 因为系统内的软件和都需要启动新的应用程序
需要有一定的系统知识 人为判断处理 默认好像是没人为处理后自动在10秒内拒绝
而且对木马样本运行后产生的三个木马文件不查杀 不阻止运行 不拦截 也不提示HIPS其实是个行为管控规则 不是杀毒能力
HIPS和麦咖啡企业版的自定义规则一样 是一个行为管控规则 适合熟悉的玩家
测试诺顿企业版SEP14.3R9
在联网的情况下利用特征云库直接查杀木马样本
在不联网的情况下 不能查杀木马样本 双击运行木马样本 也不进行阻止
运行木马样本产生的3个木马文件 也不查杀 也不拦截这3个木马文件的任何恶意行为
测试Trellix Endpoint Security10.7.0.6390.7(原麦咖啡被收购后的企业版)
不对样本查杀 双击运行样本后 不会产生木马文件
发现是"自适应威胁防护"直接将样本危险行为拦截了
但是做好事不留名 没有日志事件和提示
在对"自适应威胁防护"启用观察模式时 就会有事件日志 但这个模式下不拦截木马行为
而且Trellix也有自定义规则 比ESET的HIPS更强大 适合资深玩家
但是安装Trellix占用系统资源比较大 电脑配置不好的会感觉系统运行卡
听说全盘扫描一次后不会那么卡
测试卡巴斯基21.17
不联网的情况下 能直接查杀木马样本
然后测试不装任何杀软的情况下 直接运行木马样本
在C:\Windows\System32产生3个木马文件后 再安装卡巴进行查杀
目前卡巴不直接查杀删除这3个产生的木马文件 但是会阻止这3个文件的恶意运行行为
总结:Trellix有行为分析等能力,但是"自适应威胁防护"没有事件日志也不提示直接就默默阻止了
卡巴还是比较强,能够通过行为分析预防未知木马病毒
{:5_291:}感谢分享,建议断网测试,特征云库很不靠谱的~~个人还是推荐HIPS tedrick 发表于 2024-7-7 00:47 https://i.pcbeta.com/static/image/common/back.gif
感谢分享,建议断网测试,特征云库很不靠谱的~~个人还是推荐HIPS
SE.P确.实.是.通.过联.网.特.征云..库.来.查.杀.的
断.网.情.况下SE.P没.反.应
而.且在.断.网.情况下 木.马.运.行.了 S.EP.也.没.行.为分.析
卡.巴.就.可.以.通.过.行.为分.析.进.行拦.截 yangjiangh 发表于 2024-7-7 10:57 https://i.pcbeta.com/static/image/common/back.gif
SE.P确.实.是.通.过联.网.特.征云..库.来.查.杀.的
断.网.情.况下SE.P没.反.应
而.且在.断.网.情况下 木 ...
没有测试微软自带的杀毒能力? 以前用过江民、瑞星、金山、360、卡巴斯基、nod32,最后还是一直用卡巴斯基,感觉界面比较友好,杀毒能力也是这几个当中最厉害的 lgj2097 发表于 2024-7-7 16:47 https://i.pcbeta.com/static/image/common/back.gif
没有测试微软自带的杀毒能力?
测试过了不对运行样本后产生的木马的任何行为进行查杀和拦截
现在样本应该是所有的杀软都入库了 能查杀样本了
如果杀毒软件没有行为分析能力 对木马是没啥作用的 在出现一个新的木马 它就睁眼瞎了 没人测下国产的杀毒吗 感谢分享,我来测试一下 sinfee 发表于 2024-7-11 21:28 https://bbs.pcbeta.com/static/image/common/back.gif
感谢分享,我来测试一下
应该文件的MD5等全部入库了 现在测试不准 意义不大
页:
[1]