病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 小心所谓“远程强制视频”软件我遇到的C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM故障 »

2008年各杀软主动防御简单测试

发这篇测试报告前,先说明下:

0.所谓知己知彼,学安全的不知道黑客怎么干的怎么行,因此学习一下。

1.所有杀软基本都是升级到最新的(现在不算新了,不过也差不多)

2.所有的试验都是在Vmware Workstation下,克隆多个xp professional后完成的,如果和实际硬件平台有什么区别,请大家告诉我。

3.用到的黑客软件有,类似灰鸽子的上兴远控(也许是变种,好像都是Delphi编的),还用了个理论上更容易被主防拦下的flux,中文叫军刺,好像挺有名。一个国内的一个国外,呵呵。都是用了很典型的黑客攻击手段,还不是驱动级的流氓呢。这次主要测试远程控制类的,黑客比较常用的,不过不能代表全部。

4.原本我不是想要测试主动防御,只是想学习下当今流行的小黑们的招,学了3天后把上兴这个服务端做了次彻底的免杀,免杀对象就用virustotal的检测报告好了(报毒的我都没贴出来)
AntiVir                  7.6.0.61        2008.02.01        -
Authentium          4.93.8        2008.02.01        -
AVG                7.5.0.516        2008.02.01        -
DrWeb                4.44.0.09170        2008.02.02        -
eSafe                7.0.15.0        2008.01.28        -
eTrust-Vet        31.3.5504        2008.02.01        -
FileAdvisor        1                2008.02.02        -
Fortinet        3.14.0.0        2008.02.02        -
McAfee        5221                2008.02.01        -
NOD32v2        2845                2008.02.02        -
Panda                9.0.0.4        2008.02.01        -
Rising                20.29.22.00        2008.01.30        -
Sophos        4.26.0                2008.02.02        -
Sunbelt        2.2.907.0        2008.02.02        -
Symantec        10                2008.02.02        -
TheHacker        6.2.9.205        2008.02.01        -
VirusBuster        4.3.26:9        2008.02.01        -
金山,江民也做了免杀,virustotal里没有这2家。
以上少数杀软本来就不杀,有些是经我修改后不报毒的。
对卡巴我没有搞定,其他我试验的都成功了的。

粗略的学习后发现,免杀越来越傻瓜化大众化了。正如某杀软的广告说的,老的特征码的方法越来越满足不了大家的安全需求了。因此我想看看现在杀软主动防御的效果。可是在网上找了下发现测试的报告非常少,有篇是瑞星和微点的,用熊猫变种的测试,瑞星完败的。还有个测试瑞星的,黑软是用小猪(不知道是什么东西),貌似瑞星打不过小猪,大家百度上搜一下就能找到。不过测试的杀软都不全面。我就索性自己来个对杀软的主防测试吧。(虽然只用了2个来测试,有些还是用1个,但是多少能看出杀软主防的功力吧,大家自己斟酌,不放心不相信的自己做测试)

/*
列举几个我所知道的,对外宣传使用了主动防御系统的软件!
1.诺顿网络安全特警NIS2006
2.卡巴斯基kis6.0
3.瑞星
4.金山毒霸KAV2005
5.江民KV2005
6.超级巡警AST V3.0
7.东方微点
*/

我也不清楚到底有哪些杀软有主防,反正之前做免杀的那些里除了这7个外,都没有主防。

下面是测试:

1.诺顿网络安全特警NIS2007

Norton Internet Security 版本 15.0.0.60

首先拿诺顿开刀。 看了看界面里没有用到"主动防御"的字眼。我只从它的某些广告里看到过"主动防御",不过其实是SONAR,是启发式的。算了,姑且测试一下。

先用上兴的服务端,norton的特征库里本来就没(汗),运行后,弹出操作系统的错误:遇到意外关闭,可能norton是从较底层进行主动防御的结果(听说symatec知道微软源代码),可norton没跳出来说是自己的功劳,没办法,能力不足无法理解。

换flux,norton报毒直接杀了,因此关了norton的实时防护,来测试主动防御,运行后norton还是没反应,木马成功运行,不过windows自带的数据执行保护(DEP)跳出来强关了exploer.exe。接下来就是反复的开桌面,关桌面。。。这时木马已经残留在系统中,别想用norton杀干净了。

不甘心,又试了试上兴,居然能运行了。。后来经对比发现norton的主动防御(如果有)是基于实时防护打开的基础上的,也就是说norton的实时防护不仅仅作用于静态文件,因此无论如何都得开着了。因此上述上兴木马的测试是正确的。而要对flux的测试需要重做。而且必须做做一下对norton的免杀。

把flux病毒手工清理干净,禁了DEP,做完免杀,打开实时防护,运行病毒,跟第一次运行flux一样,就是少了DEP,桌面还是无限跳,木马的客户端能看到"肉鸡"一上一下,可见木马大部分已经扎根在系统里了。这有可能是免杀做失败了,也可能是norton的防御,懒得深究了。

小结: Norton的主动防御非我心目中的主动防御,SONAR用在静态查杀,就是一启发式,或许再加个网络2字不管它了。总之用norton的如果被此类黑客软件攻击,用户一定会心惊肉跳的。Norton的主动防御测试完毕,测试算是失败了,不是norton失败,是我到现在还没搞清楚norton有没有真正的主动防御,看着上兴的结果,好像有一点吧,如果有的话,这样的主动防御我是不放心的。

2.卡巴斯基kav7.0.0.125,(虽然不是kis,同样也有主动防御)。

第一个测试就很郁闷,这个要好好对待了。常看到有人说卡巴的主动防御不是特别好,那就实测一下。

卡巴就方便多了,关文件保护,开主动防御,没norton的麻烦了。

启动flux,卡巴报警,内容大致如下:

进程试图注册拷贝为一个自启动对象。此行为是典型的木马。

我看这是典型的注册表监控,不是我测试重点。

木马成功拦截。

启动上兴,卡巴报警,内容如下:

已检测到可疑系统活动。具体内容是说物理内存访问,ModifyRegValue操作违规吧,这次没flux这么坚决了。

紧接着再来一条报警如下:

进程试图注入到另外一个进程。这个行为是典型的恶意程序。详细信息也写得很清楚,不细说了。

小结,总算卡巴都防御了,虽然要用户判断,还不错。

多说一句,卡巴有个致命弱点,注册时间到期就罢工了,许多黑客都利用这一点改时间躲过卡巴主动防御。建议大家用卡巴就去弄个360安全卫士出的锁时间的名叫360TimeProt,我试过的确有效。

3.瑞星2008

国内杀软老大,高调推出主动防御,认真测试一下。

看瑞星的介绍,它的主动防御分为多层,主动防御项里主要起作用的我看是系统加固,恶意行为检测和隐藏进程检测。其他几个需要用户添加规则。好了,关闭实时监控,主动防御全开。

运行flux,跳出报警,大多是修改注册表什么的,不过都是在木马完成注入ie之后,木马部分激活,重启前黑客可完全控制系统,重启后由于瑞星刚才的拦截,病毒残废,不过残留在系统内。手工清理完病毒。

运行上兴,瑞星马上报告,主动防御,修改内核数据/device/phiscalmemory,我以为成功拦截,可惜木马同样成功运行,这时黑客想干嘛就干嘛。最可怕的是,用户还以为成功拦截了一个木马呢。

为谨慎起见,我把所有主动防御的强度全开到最高(原来是推荐的中等),还是老样子,死心了。

小结,结合那个小猪和熊猫的测试结果,可以说目前瑞星2008的主动防御是半桶水,就在那里晃了,根本不完善。主特征辅主防,觉得作辅助还不够格,不如大大方方的说没有主防呢。

4.金山毒霸KAV2008

kav2008界面上明确说了恶意行为拦截需要文件实时防毒同时开启。。没办法,懒得弄免杀flux了,只有上兴的免杀。

防御全开,启动上兴,没任何拦截措施,木马成功进入。

小结,不做评论。

5.江民KV2008

关监控,开主动防御。

启动flux,老套的注册表拦截,然后是木马成功运行,和瑞星的区别就是拦截的项目少一些。

启动上兴,没任何反应,这里不如瑞星,但是木马运行的结果半斤八两,都是拦截失败。

小结,没啥好说的。

6.超级巡警AST V4.0

这个明确写有主动防御。

我关了实时监控,开启发预警和主动防御,详细设置都设为报告并记录。

启动flux,跳出窗口说某父进程创建子进程,是否同意。我点禁止,拦下了。

启动上兴,结果同上。

小结,无法区别是否是恶意行为,对有点水平的人来说是个手工查杀的好工具,对很多不太懂的用户来说就是一麻烦。

如果设置只记录不报告的话,就是一个加强版日志记录器。

7.东方微点micropoint

主防御辅特征的防毒软件。

启动flux,报告为未知恶意软件(看来特征库里没有,倒也方便了我),并告知在system32下创建某某exe程序,建议删除。木马被拦截。

启动上兴,结果同上,还是被拦截。
 

我并不惊讶,微点的确没令人失望。也许微点1年前就有如此能力了。

令我惊讶的是,我做重复测试的时候,刚放入木马服务端还没运行,微点就拦截了。

原来微点有本地生成特征码的技术,这一点很是有创意。这时我感到对微点的测试刚刚开始,我放入了所有我做的上兴小变种(每个变种都是对某一杀软的免杀),结果全部因为特征码被拦截,看来自动提取特征码初步认定是有效的。

总结:所有拦截成功的杀软,还要担心下误杀率。测试只针对主动防御,各杀软都有自己的优缺点。

做主防测试好累啊,开了无数次虚拟机,到处找杀毒软件和更新安装,怪不得测试报告那么少。抱歉没有贴图没有录像,不直观,请大家凑合着看吧,贴了图就太长了。

转自:雨林木风论坛http://bbs.ylmf.com/read.php?tid=581284&u=941470

评:转载不代表完全同意其观点,但是不错的参考,不是说购买软件的参考,是了解杀毒软件技术的参考。
 


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/135.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog.闽ICP备09000343号

闽公网安备 35010202000133号