发这篇测试报告前,先说明下:
0.所谓知己知彼,学安全的不知道黑客怎么干的怎么行,因此学习一下。
1.所有杀软基本都是升级到最新的(现在不算新了,不过也差不多)
2.所有的试验都是在Vmware Workstation下,克隆多个xp professional后完成的,如果和实际硬件平台有什么区别,请大家告诉我。
3.用到的黑客软件有,类似灰鸽子的上兴远控(也许是变种,好像都是Delphi编的),还用了个理论上更容易被主防拦下的flux,中文叫军刺,好像挺有名。一个国内的一个国外,呵呵。都是用了很典型的黑客攻击手段,还不是驱动级的流氓呢。这次主要测试远程控制类的,黑客比较常用的,不过不能代表全部。
4.原本我不是想要测试主动防御,只是想学习下当今流行的小黑们的招,学了3天后把上兴这个服务端做了次彻底的免杀,免杀对象就用virustotal的检测报告好了(报毒的我都没贴出来)
AntiVir 7.6.0.61 2008.02.01 -
Authentium 4.93.8 2008.02.01 -
AVG 7.5.0.516 2008.02.01 -
DrWeb 4.44.0.09170 2008.02.02 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5504 2008.02.01 -
FileAdvisor 1 2008.02.02 -
Fortinet 3.14.0.0 2008.02.02 -
McAfee 5221 2008.02.01 -
NOD32v2 2845 2008.02.02 -
Panda 9.0.0.4 2008.02.01 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.02 -
Sunbelt 2.2.907.0 2008.02.02 -
Symantec 10 2008.02.02 -
TheHacker 6.2.9.205 2008.02.01 -
VirusBuster 4.3.26:9 2008.02.01 -
金山,江民也做了免杀,virustotal里没有这2家。
以上少数杀软本来就不杀,有些是经我修改后不报毒的。
对卡巴我没有搞定,其他我试验的都成功了的。
粗略的学习后发现,免杀越来越傻瓜化大众化了。正如某杀软的广告说的,老的特征码的方法越来越满足不了大家的安全需求了。因此我想看看现在杀软主动防御的效果。可是在网上找了下发现测试的报告非常少,有篇是瑞星和微点的,用熊猫变种的测试,瑞星完败的。还有个测试瑞星的,黑软是用小猪(不知道是什么东西),貌似瑞星打不过小猪,大家百度上搜一下就能找到。不过测试的杀软都不全面。我就索性自己来个对杀软的主防测试吧。(虽然只用了2个来测试,有些还是用1个,但是多少能看出杀软主防的功力吧,大家自己斟酌,不放心不相信的自己做测试)
/*
列举几个我所知道的,对外宣传使用了主动防御系统的软件!
1.诺顿网络安全特警NIS2006
2.卡巴斯基kis6.0
3.瑞星
4.金山毒霸KAV2005
5.江民KV2005
6.超级巡警AST V3.0
7.东方微点
*/
我也不清楚到底有哪些杀软有主防,反正之前做免杀的那些里除了这7个外,都没有主防。
下面是测试:
1.诺顿网络安全特警NIS2007
Norton Internet Security 版本 15.0.0.60
首先拿诺顿开刀。 看了看界面里没有用到"主动防御"的字眼。我只从它的某些广告里看到过"主动防御",不过其实是SONAR,是启发式的。算了,姑且测试一下。
先用上兴的服务端,norton的特征库里本来就没(汗),运行后,弹出操作系统的错误:遇到意外关闭,可能norton是从较底层进行主动防御的结果(听说symatec知道微软源代码),可norton没跳出来说是自己的功劳,没办法,能力不足无法理解。
换flux,norton报毒直接杀了,因此关了norton的实时防护,来测试主动防御,运行后norton还是没反应,木马成功运行,不过windows自带的数据执行保护(DEP)跳出来强关了exploer.exe。接下来就是反复的开桌面,关桌面。。。这时木马已经残留在系统中,别想用norton杀干净了。
不甘心,又试了试上兴,居然能运行了。。后来经对比发现norton的主动防御(如果有)是基于实时防护打开的基础上的,也就是说norton的实时防护不仅仅作用于静态文件,因此无论如何都得开着了。因此上述上兴木马的测试是正确的。而要对flux的测试需要重做。而且必须做做一下对norton的免杀。
把flux病毒手工清理干净,禁了DEP,做完免杀,打开实时防护,运行病毒,跟第一次运行flux一样,就是少了DEP,桌面还是无限跳,木马的客户端能看到"肉鸡"一上一下,可见木马大部分已经扎根在系统里了。这有可能是免杀做失败了,也可能是norton的防御,懒得深究了。
小结: Norton的主动防御非我心目中的主动防御,SONAR用在静态查杀,就是一启发式,或许再加个网络2字不管它了。总之用norton的如果被此类黑客软件攻击,用户一定会心惊肉跳的。Norton的主动防御测试完毕,测试算是失败了,不是norton失败,是我到现在还没搞清楚norton有没有真正的主动防御,看着上兴的结果,好像有一点吧,如果有的话,这样的主动防御我是不放心的。
2.卡巴斯基kav7.0.0.125,(虽然不是kis,同样也有主动防御)。
第一个测试就很郁闷,这个要好好对待了。常看到有人说卡巴的主动防御不是特别好,那就实测一下。
卡巴就方便多了,关文件保护,开主动防御,没norton的麻烦了。
启动flux,卡巴报警,内容大致如下:
进程试图注册拷贝为一个自启动对象。此行为是典型的木马。
我看这是典型的注册表监控,不是我测试重点。
木马成功拦截。
启动上兴,卡巴报警,内容如下:
已检测到可疑系统活动。具体内容是说物理内存访问,ModifyRegValue操作违规吧,这次没flux这么坚决了。
紧接着再来一条报警如下:
进程试图注入到另外一个进程。这个行为是典型的恶意程序。详细信息也写得很清楚,不细说了。
小结,总算卡巴都防御了,虽然要用户判断,还不错。
多说一句,卡巴有个致命弱点,注册时间到期就罢工了,许多黑客都利用这一点改时间躲过卡巴主动防御。建议大家用卡巴就去弄个360安全卫士出的锁时间的名叫360TimeProt,我试过的确有效。
3.瑞星2008
国内杀软老大,高调推出主动防御,认真测试一下。
看瑞星的介绍,它的主动防御分为多层,主动防御项里主要起作用的我看是系统加固,恶意行为检测和隐藏进程检测。其他几个需要用户添加规则。好了,关闭实时监控,主动防御全开。
运行flux,跳出报警,大多是修改注册表什么的,不过都是在木马完成注入ie之后,木马部分激活,重启前黑客可完全控制系统,重启后由于瑞星刚才的拦截,病毒残废,不过残留在系统内。手工清理完病毒。
运行上兴,瑞星马上报告,主动防御,修改内核数据/device/phiscalmemory,我以为成功拦截,可惜木马同样成功运行,这时黑客想干嘛就干嘛。最可怕的是,用户还以为成功拦截了一个木马呢。
为谨慎起见,我把所有主动防御的强度全开到最高(原来是推荐的中等),还是老样子,死心了。
小结,结合那个小猪和熊猫的测试结果,可以说目前瑞星2008的主动防御是半桶水,就在那里晃了,根本不完善。主特征辅主防,觉得作辅助还不够格,不如大大方方的说没有主防呢。
4.金山毒霸KAV2008
kav2008界面上明确说了恶意行为拦截需要文件实时防毒同时开启。。没办法,懒得弄免杀flux了,只有上兴的免杀。
防御全开,启动上兴,没任何拦截措施,木马成功进入。
小结,不做评论。
5.江民KV2008
关监控,开主动防御。
启动flux,老套的注册表拦截,然后是木马成功运行,和瑞星的区别就是拦截的项目少一些。
启动上兴,没任何反应,这里不如瑞星,但是木马运行的结果半斤八两,都是拦截失败。
小结,没啥好说的。
6.超级巡警AST V4.0
这个明确写有主动防御。
我关了实时监控,开启发预警和主动防御,详细设置都设为报告并记录。
启动flux,跳出窗口说某父进程创建子进程,是否同意。我点禁止,拦下了。
启动上兴,结果同上。
小结,无法区别是否是恶意行为,对有点水平的人来说是个手工查杀的好工具,对很多不太懂的用户来说就是一麻烦。
如果设置只记录不报告的话,就是一个加强版日志记录器。
7.东方微点micropoint
主防御辅特征的防毒软件。
启动flux,报告为未知恶意软件(看来特征库里没有,倒也方便了我),并告知在system32下创建某某exe程序,建议删除。木马被拦截。
启动上兴,结果同上,还是被拦截。
我并不惊讶,微点的确没令人失望。也许微点1年前就有如此能力了。
令我惊讶的是,我做重复测试的时候,刚放入木马服务端还没运行,微点就拦截了。
原来微点有本地生成特征码的技术,这一点很是有创意。这时我感到对微点的测试刚刚开始,我放入了所有我做的上兴小变种(每个变种都是对某一杀软的免杀),结果全部因为特征码被拦截,看来自动提取特征码初步认定是有效的。
总结:所有拦截成功的杀软,还要担心下误杀率。测试只针对主动防御,各杀软都有自己的优缺点。
做主防测试好累啊,开了无数次虚拟机,到处找杀毒软件和更新安装,怪不得测试报告那么少。抱歉没有贴图没有录像,不直观,请大家凑合着看吧,贴了图就太长了。
转自:雨林木风论坛http://bbs.ylmf.com/read.php?tid=581284&u=941470
评:转载不代表完全同意其观点,但是不错的参考,不是说购买软件的参考,是了解杀毒软件技术的参考。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/135.html