Board logo

标题: (转)最新的狙剑071206对东方微点和瑞星2008 [打印本页]
作者: qq200878     时间: 2007-12-8 13:01    标题: (转)最新的狙剑071206对东方微点和瑞星2008

补充测试【二】
经测试,微点与低版本的狙剑可能存在冲突,所以进行此次补充测试,
使用最新的狙剑071206对东方微点和瑞星2008再次进行对比测试。

ps:测试以前,我先关掉了狙剑的主动防御功能,所以测试过程中没有狙剑主动防御的提示。

第一回合:测试狙剑的结束进程
首先进行的测试是结束进程,本测试对于瑞星的效果前边已经介绍过了,
为了保证公平,我使用了新版本的狙剑对瑞星2008重新测试,
最终结果与前边的测试一致,瑞星被无情的Kill了!
微点的表现如何呢?右击MPMon.exe,选择结束进程,监控主进程被杀死。。。
继续,杀死MPSVC1.exe,奇迹发生了,数秒以后,MPMon.exe又复活了!
一不做,二不休,结束MPSVC.exe,这个可是微点的命根子啊!!!
居然成功的结束了???不过其他进程并没有消失,如图。

  

2007-12-7 18:25

继续,依次结束MPMon.exe、MPSVC1.exe和MPSVC2.exe,遗憾的是,微点没能再次复活……
本回合结束,我宣布,东方微点小胜瑞星2008!

第二回合:测试狙剑的“暂停进程运行”
这个是之前没有测试过的,还是先从瑞星开始吧!右击RavMon.exe,点暂停进程运行,
瑞星简直就是千篇一律,还是那句老话“XXX触发了API类规则”,操作被拦截




2007-12-7 18:25

看来行不通,没关系,再试试其他的进程!
CCenter.exe、RavStub.exe和RavMonD.exe的反应相同,出现下边的提示。




2007-12-7 18:25

不过RavTask.exe可就没有那么幸运了,他可被狙剑成功的暂停了!
既然暂停了RavTask.exe,接下来试试拷进来一个病毒样本吧!

  


2007-12-7 18:25

看来实时监控并没有失效!也就是说,暂停进程运行这一关,瑞星通过!

再来看看微点的表现如何!
右击微点监控主进程MPMon.exe,暂停进程运行,结果微点真的被暂停了。。。
最明显的特征就是右下角的小点不动了……
继续,暂停MPSVC1.exe、MPSVC2.exe、MPSVC.exe,结果全部失败,提示和瑞星的相同。
接下来运行一个微点已知的木马样本试试看!




2007-12-7 18:25

呵呵,微点的防御并没有失效!
那么,对于未知木马的反应又会如何呢?我们来加壳试试看!
首先用北斗4.1压缩,然后用超级加花器添加花指令,
因为微点的病毒库并不完美,所以这样处理过的木马微点已经无法识别了!
我运行了处理过的木马,结果系统的explorer假死,任务管理器也无法结束,
但是木马并没有造成破坏!也就是说,微点成功的拦截了未知木马,但是却造成了系统死机!
用狙剑恢复微点的进程以后,微点报告了未知木马!

  

2007-12-7 18:25

由此看来,微点对于“暂停进程运行”的操作处理方法欠佳,可能造成系统死机。
我宣布,本回合,瑞星小胜微点

[ Last edited by qq200878 on 2007-12-8 at 14:22 ]
作者: qq200878     时间: 2007-12-8 13:02
东方微点VS瑞星2008【一】【07-12-07更新补充测试】
声明:本文章只从技术角度阐述微点与瑞星各自的优缺点,不涉及其他内容。
且此文章中的评论仅代表我个人观点,与点饭论坛(http://www.mpfans.org/)无关。
转载请注明出处!

第一篇,自我保护的比拼!

第一回合:小试身手,taskmgr上!
首先做一个可能没有意义的小测试,利用Windows任务管理器,
分别结束微点和瑞星的实时程序监控进程。
很遗憾,微点战败,微点被taskmgr无情的kill掉了。。。
再来看看瑞星的表现,如图,成功的拦截了taskmgr,并报告出发了API类规则。



2007-12-7 00:35



   

2007-12-7 00:35

我宣布,第一回合,瑞星2008胜出!

第二回合:用taskkill命令试试看~
首先来看看微点的表现,虽然没有给出任何提示,但是我们却看到cmd给出了冰冷的提示!
微点成功的躲开了taskkill的魔爪~




2007-12-7 00:35

再来看看瑞星2008的,依旧是出发API类规则,成功拦截!




2007-12-7 00:35




2007-12-7 00:35

不过值得注意的是,命令失败以后返回的信息是不同的,
微点的是“内存分配访问无效”,而瑞星则是“拒绝访问”。
这有什么区别呢?让我们结束一下冰刃的进程试试看!

   

2007-12-7 00:35

注意,冰刃是利用驱动来保护自身的!
也就是说,微点也采用了类似的手段来保护自身进程!
我宣布,第二回合,微点与瑞星平手,但是微点稍强一些!

第三回合:试试ntsd会发生什么!
先来看看瑞星吧,还是那句老话——出发了API类规则……
自身没有被ntsd结束!

  


2007-12-7 00:35

  


2007-12-7 00:35

再看看微点!



2007-12-7 00:35

我宣布,第三回合,微点和瑞星打成平手!

第四回合:好吧,试试Advanced Process Termination,
这个可是一个测试结束进程用的专业级软件!
首先看看微点的表现!




2007-12-7 00:35

注:打X表示进程没有被结束,打勾表示成功结束!
微点没有被结束!所有的测试都通过了!
再来看看瑞星的表现!

  


2007-12-7 00:35

在测试过程中,瑞星连续弹出了多个触发API类规则的提示,
不过遗憾的是,瑞星还是被APT利用“内核模式2”结束掉了……
注:“内核模式2”利用驱动实现杀死进程的功能!
我宣布,第四回合,瑞星惨败!

第五回合:老将出马——上冰刃!
先看看微点,用冰刃右击MPMon.exe,点Terminate Process,
刷新进程列表,微点监控主进程消失的无影无踪了……


  

2007-12-7 00:35

再来看看瑞星吧,以前听说瑞星不会被冰刃结束,不知道真的假的……




2007-12-7 00:35

Terminate Process后,瑞星的绿伞也消失了……
遗憾啊……
我宣布,第五回合,东方微点和瑞星2008双双战败!

[ Last edited by qq200878 on 2007-12-8 at 14:31 ]
作者: nasdaq     时间: 2007-12-8 13:40
莫图啊,楼主补图,版主加分
作者: qq200878     时间: 2007-12-8 14:38
收到论坛中部分朋友的反馈,
微点对于拥有GUI界面的已知进程管理程序的结束进程操作不予拦截,
所以特进行本次补充测试!

补充一:狙剑
狙剑,是一款国产的安全辅助工具,今天我就用狙剑来试试微点和瑞星的表现!
首先来试试瑞星!



点击结束进程以后,瑞星的小绿伞就直接消失了……
再来看看微点吧,双击狙剑的主程序,半天都没有出现程序界面,
我打开任务管理器一看究竟……
晕倒,两个狙剑的进程,PID不断的变化,始终没能启动,看来被微点拦截了……
无奈,我用任务管理器先结束掉微点的进程,启动狙剑,依然失败……
由于此测试无法正常进行,所以不做评论……

补充二:测试一下冷门的GUI界面任务管理器……
测试之前先看看瑞星和微点的进程树有何区别!




注:左边为瑞星,右边为微点。
可以看到,瑞星的实时监控主程序是explorer.exe的子进程,
而微点所有的进程都是services.exe的子进程!
对此我就不做评论了……
先看看瑞星的实际表现吧


点击结束进程,瑞星没有被杀死,
继续测试,尝试结束瑞星的所有进程,RavTask和RavStub被杀死了……


再看微点,首先结束监控主程序,成功!继续结束其他进程,意想不到的事情发生了!
当我结束MPSVC1或MPSVC2时,他们并没有被结束,但是MPMon却神奇的复活了!
但是当我尝试结束MPSVC的进程树时,我还是失望地看到微点被结束了……


我宣布,补充二,瑞星胜出。

补充三:再用WinProc试试看!
首先试试微点,点结束进程以后没有任何反应,刷新列表,进程还在!


然后是瑞星,同样没有被结束!


结论:看来只能说,这个工具不合格……

本次测试中,微点阻止了狙剑的运行,第三款工具不合格,
所以没有得出什么有用的结论……
作者: qq2008444     时间: 2007-12-8 19:50
狙剑?
What's this?
没见过
作者: LjhEARTH     时间: 2007-12-8 21:26
看了这样的评测,只有一个想法:微点真的没必要为进程管理人性化上做这么多工作了,因为很多用户不理解微点的这种苦心,严重的时候可能还会被一些人混淆视听,诬蔑微点的进程保护能力差。
作者: 黑之翼     时间: 2007-12-8 22:13
冰刃轻松关瑞星的全部进程,不过要关3次
作者: qq2008444     时间: 2007-12-8 22:23


  Quote:
Originally posted by LjhEARTH at 2007-12-8 21:26:
看了这样的评测,只有一个想法:微点真的没必要为进程管理人性化上做这么多工作了,因为很多用户不理解微点的这种苦心,严重的时候可能还会被一些人混淆视听,诬蔑微点的进程保护能力差。

我个人建议是提供选项
默认禁止进程被结束
作者: norman6810     时间: 2007-12-8 23:26


  Quote:
Originally posted by qq2008444 at 2007-12-8 22:23:

我个人建议是提供选项
默认禁止进程被结束

这个建议不错,希望官方能够考虑!
作者: 微点卫士     时间: 2007-12-9 09:00


  Quote:
Originally posted by norman6810 at 2007-12-8 23:26:

这个建议不错,希望官方能够考虑!

:mad:玩仙四这样的大型游戏我想关掉微点的。还是不要这么严格吧
作者: yiyefuwei     时间: 2007-12-9 15:32


  Quote:
Originally posted by 微点卫士 at 2007-12-9 09:00:

:mad:玩仙四这样的大型游戏我想关掉微点的。还是不要这么严格吧

玩仙剑4不要关微点吧,我都开微点玩的
作者: 千里走单骑     时间: 2007-12-10 00:38
呵呵。。。。造病毒的。。。。就是这样测试的。。。。。
作者: 微点放大是焦点     时间: 2007-12-13 03:27
不要再拿微点和瑞星比啦!都不是一个同类型的产品,有什么好比的.再说,虽然我喜欢微点.但是从纯粹用户角度来看,瑞星也没开罪过我什么.所以我并不讨厌他,故此我在能控制自己的主观意识的时候是反对故意拿微点和瑞星做优劣比较的.
作者: 孤独捷克     时间: 2007-12-13 12:02
进来看看o(∩_∩)o...
作者: xinglight     时间: 2007-12-13 14:33
我也测试过.,.微点....
作者: liuyanghe     时间: 2007-12-13 15:39


  Quote:
Originally posted by 微点放大是焦点 at 2007-12-13 03:27:
不要再拿微点和瑞星比啦!都不是一个同类型的产品,有什么好比的.再说,虽然我喜欢微点.但是从纯粹用户角度来看,瑞星也没开罪过我什么.所以我并不讨厌他,故此我在能控制自己的主观意识的时候是反对故意拿微点和瑞星做 ...

没有必要比,应该接受市场的认可。!让市场和大众去考验。!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn