来自搞二进制安全的朋友的一手消息：

1. Windows defender 的启发式查杀非常强，但能用证书绕过去，搞一个带可信签名的程序来做 loader windows defender 就直接无视了。属于存量恶意软件进不来，专门搞你的新勒索软件你躲不过，用已有技术写的木马病毒基本上任何逻辑都能被查出来，除非你搞到个证书。
2. 国内最强 360，联网特征库十分阴间。是字面上的十分钟就能把新样本报到全网。假如你搞事情忘了断网，过 10 分钟你同事都会过来宣布恭喜你搞的成果没了。而且 360 不信任系统证书库，所以绕 defender 的办法过不了 360
3. 现在这个时代任何安全软件都玩微软和 360 玩剩下的

如果你只是想禁用网络访问，又不想养蛊，那资源监控+防火墙规则足够了，我选择加一条自定义规则