Board logo

标题: 08年各杀软主动防御简单测试 [打印本页]
作者: canius     时间: 2008-2-4 15:05    标题: 08年各杀软主动防御简单测试

发这篇测试报告前,先说明下。
0.所谓知己知彼,学安全的不知道黑客怎么干的怎么行,因此学习一下。
1.所有杀软基本都是升级到最新的(现在不算新了,不过也差不多)
2.所有的试验都是在Vmware Workstation下,克隆多个xp professional后完成的,如果和实际硬件平台有什么区别,请大家告诉我。
3.用到的黑客软件有,类似灰鸽子的上兴远控(也许是变种,好像都是Delphi编的),还用了个理论上更容易被主防拦下的flux,中文叫军刺,好像挺有名。一个国内的一个国外,呵呵。都是用了很典型的黑客攻击手段,还不是驱动级的流氓呢。这次主要测试远程控制类的,黑客比较常用的,不过不能代表全部。
4.原本我不是想要测试主动防御,只是想学习下当今流行的小黑们的招,学了3天后把上兴这个服务端做了次彻底的免杀,免杀对象就用virustotal的检测报告好了(报毒的我都没贴出来)
AntiVir                  7.6.0.61        2008.02.01        -
Authentium          4.93.8        2008.02.01        -
AVG                7.5.0.516        2008.02.01        -
DrWeb                4.44.0.09170        2008.02.02        -
eSafe                7.0.15.0        2008.01.28        -
eTrust-Vet        31.3.5504        2008.02.01        -
FileAdvisor        1                2008.02.02        -
Fortinet        3.14.0.0        2008.02.02        -
McAfee        5221                2008.02.01        -
NOD32v2        2845                2008.02.02        -
Panda                9.0.0.4        2008.02.01        -
Rising                20.29.22.00        2008.01.30        -
Sophos        4.26.0                2008.02.02        -
Sunbelt        2.2.907.0        2008.02.02        -
Symantec        10                2008.02.02        -
TheHacker        6.2.9.205        2008.02.01        -
VirusBuster        4.3.26:9        2008.02.01        -
金山,江民也做了免杀,virustotal里没有这2家。
以上少数杀软本来就不杀,有些是经我修改后不报毒的。
对卡巴我没有搞定,其他我试验的都成功了的。


粗略的学习后发现,免杀越来越傻瓜化大众化了。正如某杀软的广告说的,老的特征码的方法越来越满足不了大家的安全需求了。因此我想看看现在杀软主动防御的效果。可是在网上找了下发现测试的报告非常少,有篇是瑞星和微点的,用熊猫变种的测试,瑞星完败的。还有个测试瑞星的,黑软是用小猪(不知道是什么东西),貌似瑞星打不过小猪,大家百度上搜一下就能找到。不过测试的杀软都不全面。我就索性自己来个对杀软的主防测试吧。(虽然只用了2个来测试,有些还是用1个,但是多少能看出杀软主防的功力吧,大家自己斟酌,不放心不相信的自己做测试)

引用以前一篇文章的一段话:

/*
列举几个我所知道的,对外宣传使用了主动防御系统的软件!
1.诺顿网络安全特警NIS2006
2.卡巴斯基kis6.0
3.瑞星
4.金山毒霸KAV2005
5.江民KV2005
6.超级巡警AST V3.0
7.东方微点
*** 这样看来,国内的主动防御技术的应用超过了国外,应该自豪了!!
*/

我也不清楚到底有哪些杀软有主防,反正之前做免杀的那些里除了这7个外,都没有主防。



下面是测试:
1.诺顿网络安全特警NIS2007
Norton Internet Security 版本 15.0.0.60
首先拿诺顿开刀。 看了看界面里没有用到"主动防御"的字眼。我只从它的某些广告里看到过"主动防御",不过其实是SONAR,是启发式的。算了,姑且测试一下。
    先用上兴的服务端,norton的特征库里本来就没(汗),运行后,弹出操作系统的错误:遇到意外关闭,可能norton是从较底层进行主动防御的结果(听说symatec知道微软源代码),可norton没跳出来说是自己的功劳,没办法,能力不足无法理解。
    换flux,norton报毒直接杀了,因此关了norton的实时防护,来测试主动防御,运行后norton还是没反应,木马成功运行,不过windows自带的数据执行保护(DEP)跳出来强关了exploer.exe。接下来就是反复的开桌面,关桌面。。。这时木马已经残留在系统中,别想用norton杀干净了。
    不甘心,又试了试上兴,居然能运行了。。后来经对比发现norton的主动防御(如果有)是基于实时防护打开的基础上的,也就是说norton的实时防护不仅仅作用于静态文件,因此无论如何都得开着了。因此上述上兴木马的测试是正确的。而要对flux的测试需要重做。而且必须做做一下对norton的免杀。
    把flux病毒手工清理干净,禁了DEP,做完免杀,打开实时防护,运行病毒,跟第一次运行flux一样,就是少了DEP,桌面还是无限跳,木马的客户端能看到"肉鸡"一上一下,可见木马大部分已经扎根在系统里了。这有可能是免杀做失败了,也可能是norton的防御,懒得深究了。
小结: Norton的主动防御非我心目中的主动防御,SONAR用在静态查杀,就是一启发式,或许再加个网络2字不管它了。总之用norton的如果被此类黑客软件攻击,用户一定会心惊肉跳的。Norton的主动防御测试完毕,测试算是失败了,不是norton失败,是我到现在还没搞清楚norton有没有真正的主动防御,看着上兴的结果,好像有一点吧,如果有的话,这样的主动防御我是不放心的。

2.卡巴斯基kav7.0.0.125,(虽然不是kis,同样也有主动防御)。
第一个测试就很郁闷,这个要好好对待了。常看到有人说卡巴的主动防御不是特别好,那就实测一下。
卡巴就方便多了,关文件保护,开主动防御,没norton的麻烦了。
启动flux,卡巴报警,内容大致如下:
进程试图注册拷贝为一个自启动对象。此行为是典型的木马。
我看这是典型的注册表监控,不是我测试重点。
木马成功拦截。
启动上兴,卡巴报警,内容如下:
已检测到可疑系统活动。具体内容是说物理内存访问,ModifyRegValue操作违规吧,这次没flux这么坚决了。
紧接着再来一条报警如下:
进程试图注入到另外一个进程。这个行为是典型的恶意程序。详细信息也写得很清楚,不细说了。
小结,总算卡巴都防御了,虽然要用户判断,还不错。
多说一句,卡巴有个致命弱点,注册时间到期就罢工了,许多黑客都利用这一点改时间躲过卡巴主动防御。建议大家用卡巴就去弄个360安全卫士出的锁时间的名叫360TimeProt,我试过的确有效。

3.瑞星2008
国内杀软老大,高调推出主动防御,认真测试一下。
看瑞星的介绍,它的主动防御分为多层,主动防御项里主要起作用的我看是系统加固,恶意行为检测和隐藏进程检测。其他几个需要用户添加规则。好了,关闭实时监控,主动防御全开。
运行flux,跳出报警,大多是修改注册表什么的,不过都是在木马完成注入ie之后,木马部分激活,重启前黑客可完全控制系统,重启后由于瑞星刚才的拦截,病毒残废,不过残留在系统内。手工清理完病毒。
运行上兴,瑞星马上报告,主动防御,修改内核数据/device/phiscalmemory,我以为成功拦截,可惜木马同样成功运行,这时黑客想干嘛就干嘛。最可怕的是,用户还以为成功拦截了一个木马呢。
为谨慎起见,我把所有主动防御的强度全开到最高(原来是推荐的中等),还是老样子,死心了。
小结,结合那个小猪和熊猫的测试结果,可以说目前瑞星2008的主动防御是半桶水,就在那里晃了,根本不完善。主特征辅主防,觉得作辅助还不够格,不如大大方方的说没有主防呢。

4.金山毒霸KAV2008
kav2008界面上明确说了恶意行为拦截需要文件实时防毒同时开启。。没办法,懒得弄免杀flux了,只有上兴的免杀。
防御全开,启动上兴,没任何拦截措施,木马成功进入。
小结,不做评论。

5.江民KV2008
关监控,开主动防御。
启动flux,老套的注册表拦截,然后是木马成功运行,和瑞星的区别就是拦截的项目少一些。
启动上兴,没任何反应,这里不如瑞星,但是木马运行的结果半斤八两,都是拦截失败。
小结,没啥好说的。

6.超级巡警AST V4.0
这个明确写有主动防御。
我关了实时监控,开启发预警和主动防御,详细设置都设为报告并记录。
启动flux,跳出窗口说某父进程创建子进程,是否同意。我点禁止,拦下了。
启动上兴,结果同上。
小结,无法区别是否是恶意行为,对有点水平的人来说是个手工查杀的好工具,对很多不太懂的用户来说就是一麻烦。
如果设置只记录不报告的话,就是一个加强版日志记录器。

7.东方微点micropoint
主防御辅特征的防毒软件。
启动flux,报告为未知恶意软件(看来特征库里没有,真可怜啊,倒也方便了我),并告知在system32下创建某某exe程序,建议删除。木马被拦截。
启动上兴,结果同上,还是被拦截。
我并不惊讶,微点的确没令人失望。也许微点1年前就有如此能力了,可惜。
令我惊讶的是,我做重复测试的时候,刚放入木马服务端还没运行,微点就拦截了。原来微点有本地生成特征码的技术,这一点很是有创意。这时我感到对微点的测试刚刚开始,我放入了所有我做的上兴小变种(每个变种都是对某一杀软的免杀),结果全部因为特征码被拦截,看来自动提取特征码初步认定是有效的。

总结,所有拦截成功的杀软,还要担心下误杀率。测试只针对主动防御,各杀软都有自己的优缺点。
做主防测试好累啊,开了无数次虚拟机,到处找杀毒软件和更新安装,怪不得测试报告那么少。抱歉没有贴图没有录像,不直观,请大家凑合着看吧,贴了图就太长了- -b 。另外,刚又搜到这篇测试报告,里面也有主动防御,顺便贴出来,觉得很可笑。http://www.jd-bbs.com/viewthread.php?tid=1479932
如果哪位高手有其他主防测试报告,希望拿出来分享。
                                                                                                                          2008-02-04 by canius

[ Last edited by canius on 2008-2-4 at 15:29 ]
作者: dd131224     时间: 2008-2-4 19:33
卡巴的还可以,新版本已经解决时间BUG了,国内的杀软只是急着出主动防御,其实都没有过关的,我很支持微点,如果微点多点高级用户的设置就好了
作者: athrunl     时间: 2008-2-4 22:29
和其他的杀毒软件相比微点还是个孩子!
可以让微点吸取其他杀软的教训~优点就算了
我们微点有最好的优点~主动防御!
把自己的优点做的最好!哪天在全球的杀软评测中给咱中国也拿个第一!
作者: hello     时间: 2008-2-5 13:03    标题: 各大杀软PK熊猫烧香

本人曾用熊猫烧香暴发前1个月的各版本的杀软做测试.
1卡巴,表现还行.病毒运行后拦住了第一个,第二个也能带毒查杀
2瑞星,表现差劲.病毒运行后变起动不了."熊猫"白花花一片
3微点,令人兴奋.全部拦住
4江民,不尽人易.虽然发现,却无法分析
一家之言,仅供参考
作者: xjr1952     时间: 2008-2-5 15:48
感谢楼上几位的测试,我彻底放心了!
谢谢微点!!
作者: 方与圆     时间: 2008-2-5 16:33
支持微点!微点是好样的!!!!
作者: qq2008444     时间: 2008-2-5 21:04
1.诺顿网络安全特警NIS2007        SONAR
2.卡巴斯基kis7.0        HIPS
3.瑞星        HIPS+广谱   (小东有发过过瑞星主防的录象,大家可以找来看看)
4.金山毒霸KAV2008             可疑文件检查器改装
5.江民KV2008   (没测试过不清楚)
6.超级巡警AST V4.0         纯粹一个HIPS,运行什么都报,但是就是拦不下DLL等
7.东方微点              行为分析,误报较多,稳定性一般,其他的大家都知道了
作者: nasdaq     时间: 2008-2-6 14:03
是原创不?
作者: canius     时间: 2008-2-6 16:59
当然是我原创啦 见笑。。没啥技术含量
作者: xwems     时间: 2008-2-7 11:52
相信东方微点。
中国人的防毒软件才是世界第一。
作者: qq2008444     时间: 2008-2-7 12:45


  Quote:
Originally posted by xwems at 2008-2-7 11:52:
相信东方微点。
中国人的防毒软件才是世界第一。

金山毒霸、江民KV2008、超级巡警AST V4.0、瑞星也是MADE IN CHINA。。。
而且世界第一这个称号夸张了
微点在主防方面的确是有突破,但是其他方面仅仅是SOSO。。。
作者: cq46377731     时间: 2008-2-7 16:35
病毒木马和人一样,坏人不干坏事,别人也无权抓住它
作者: ht_235     时间: 2008-2-8 20:23
参考一下,呵呵
作者: 8383745687     时间: 2008-2-13 09:49
相信微点会走向世界的
作者: tttt     时间: 2008-2-13 10:02    标题: 支持微点

支持微点
作者: iaxxx     时间: 2008-2-14 01:08


  Quote:
Originally posted by hello at 2008-2-5 13:03:
本人曾用熊猫烧香暴发前1个月的各版本的杀软做测试.
1卡巴,表现还行.病毒运行后拦住了第一个,第二个也能带毒查杀
2瑞星,表现差劲.病毒运行后变起动不了."熊猫"白花花一片
3微点,令人兴奋.全部拦住
...

还PK熊猫烧香啊
PK 机器狗了吧
作者: 情缘V堕落     时间: 2008-2-14 15:43
看贴完毕,顶下,不看了
作者: genius_bc     时间: 2008-2-14 23:08
呵呵
不知道是不是托
不过我支持微点!!
作者: hyoyq     时间: 2008-2-15 16:03
喜欢用微点啦,不错,支持
作者: cncsf     时间: 2008-2-18 09:14
果然是微点好,就是老是偶尔有误报发生!~
作者: 在天之鸟     时间: 2008-2-18 16:34
总体来说微点还是不错的,我的电脑都换成微点了
作者: gxrsprite     时间: 2008-3-2 19:01
在卡饭看过了 觉得很能说明杀软能力
作者: han     时间: 2008-3-5 18:25
使用中发现微点不错,不说全部,但能让人轻松很多。

根据一次中毒的情况看,微点对未知病毒的行为记录(特征本地提取)多数表现为积极的,但也有负面的时候。比如将一个微点未入库的病毒制作成自解压运行包,执行微点会提示未知病毒,此时你若认可它是病毒,那么今后这个自解压包就没有商量的是病毒,问题是往往这一行为(即自解压立即执行)也会提示。这就是说,微点本地特征提取不仅包括程序ASC2码,而且也包括相应的行为。
作者: LeeH2010     时间: 2008-3-8 15:19
微点才是中国顶级防毒软件的代表!
作者: meieg     时间: 2008-3-10 13:13
E~~~对于微点的强大不予任何的怀疑!!

[ Last edited by meieg on 2008-3-10 at 13:19 ]



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn