微点交流论坛

标题: 模拟恶意软件攻击的安全测试工具发布，微点不错啊 [打印本页]

作者: bilizzard 时间: 2008-5-1 22:42 标题: 模拟恶意软件攻击的安全测试工具发布，微点不错啊

转贴来自深蓝http://soft.deepin.org/read.php?tid=649564

Comodo最近推出了全新的PC安全检测套装，可以模拟恶意软件的多种攻击方式，并由此判断用户所使用的计算机安全产品在现实生活中的防护能力。套装包含5种安全及HIPS（主机防御系统）的功能性测试。HIPS测试中软件各使用了两套不同的方法模拟RootKit安装和DLL注入。软件同时支持BITS服务劫持测试。BITS服务允许程序通过被信任的服务宿主（svchost.exe）从网络下载程序。

如果你的防火墙通过测试，则会有CLT.exe修改系统文件的警告，Comodo Firewall Pro会把这一结果显示给用户。

另外要通知各位，即便你的系统通过了这些测试，也仅仅局限在这两项测试中，并不能表明系统已经处于绝对安全状态。赶快试试这个只有22KB的小工具吧。

Comodo官网提供该软件相关信息

详细介绍：http://personalfirewall.comodo.com/cltinfo.html

直接下载：http://download.comodo.com/securitytests/CLT.zip

我自己测试了，瑞性和微点，结果如下，瑞性第一个，第二个，第三个没反映，第四个第五个有反映，并提示此程序出现错误，但第二次仍然能打开
微点第一个就有反映，直接把此程序删除了，很好，很强大
以后就用微点了

[ Last edited by bilizzard on 2008-5-1 at 22:44 ]

作者: wantcm 时间: 2008-5-2 06:24
深度也见过有人用这个软件测微点。

他一运行微点就报警了，然后他把这软件加为可信。再然后微点就不报了。

再再然后他就开始BS微点的能力。。。。。。我对他很无语。。。。。。

作者: qq200878 时间: 2008-5-2 08:34
微点不能防御2-5号测试,分开测试微点无反映

作者: wantcm 时间: 2008-5-2 09:45

Quote:

Originally posted by qq200878 at 2008-5-2 08:34:
微点不能防御2-5号测试,分开测试微点无反映

微点是没有反应，但是不代表微点不能防御，这要先了解一下微点的运行原理。
微点和HIPS最大的不同是，HIPS主要针对程序的某个恶意行为进行报警，或者通过设置规则对某几个恶意行为的简单组合进行预警。而微点则是对程序一系列的行为进行分析，来判断此程序是否为恶意程序。
所以微点对单一行为不敏感，因为很多可能被病毒利用的程序行为在非病毒软件中也有使用，所以某程序的某个单一行为并不代表它就是病毒。
可以这么说，所有病毒使用到的技术，普通软件也都用到过，技术本身不是恶意的，只是有人恶意的使用了。
因为此测试中的2至5的程序行为并没有达到病毒的标准，所以微点不报警。

那么微点能不能防？我特意做了个测试。运行此软件，先进行2.3.4.5这几个测试，微点无一报警，再测试第一个，微点报警了。
但是仔细看看报警提示框，微点报警的文件有5个之多，也就是所有的5个测试生成的文件都被拦截了！

可惜图忘了保留，再测试，因为该软件已经加入了微点的临时特征库，所以再次测试直接删了，没有更多的提示。
想要复现则需要重装微点，我嫌麻烦，就不装了，想测试的自己弄吧，别直接测试第一个，否则微点加了临时特征就不会出现同时报5个文件的报警框了。
另外也别加可信，加了可信更看不到。

[ Last edited by wantcm on 2008-5-2 at 09:52 ]

作者: wantcm 时间: 2008-5-2 09:51
测试1好比一把枪，微点报警
测试2是木炭，虽然可能被做成火药，但是微点不报警
测试3是硫磺，虽然可能被做成火药，但是微点不报警
测试4是硝石，虽然可能被做成火药，但是微点不报警
测试4是铜块，虽然可能被做成弹丸，但是微点不报警
测试1.2.3.4.5组合一起，就是枪加火药加弹丸，成了有威胁的武器了，所以微点一刀切的全给拦了。

作者: 微点卫士 时间: 2008-5-2 10:51
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.KAFAN\桌面\CLT.EXE
是否阻止该进程继续运行?

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.KAFAN\桌面\CLT.EXE
可疑程序生成以下文件:
1) C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.KAFAN\LOCAL SETTINGS\TEMP\TMPB.TMP
2) C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.KAFAN\LOCAL SETTINGS\TEMP\TMPC.TMP
3) C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.KAFAN\LOCAL SETTINGS\TEMP\TMPD.TMP
是否阻止该进程继续运行?

作者: 微点卫士 时间: 2008-5-2 10:51
怎么系统文件被替换了?怒

作者: 囚中城 时间: 2008-5-2 11:18
TMPB.TMP
临时文件吧

作者: jaber 时间: 2008-5-2 11:20
替换了什么文件？

作者: bilizzard 时间: 2008-5-2 11:32
不好意思，微点我直接运行了第一个，就被删除了，后面几个没测试哦

作者: 微点卫士 时间: 2008-5-2 12:11

Quote:

Originally posted by jaber at 2008-5-2 11:20:
替换了什么文件？

我也不知道诶，怎么弹出需要插入XP光盘的对话框了:(
生成BEEP.sys的驱动:mad:

作者: qq200878 时间: 2008-5-2 13:50

Quote:

Originally posted by wantcm at 2008-5-2 09:45:

微点是没有反应，但是不代表微点不能防御，这要先了解一下微点的运行原理。
微点和HIPS最大的不同是，HIPS主要针对程序的某个恶意行为进行报警，或者通过设置规则对某几个恶意行为的简单组合进行预警。而微点 ...

W版,这个玩意儿2-5号主要是生成BEEP.STS.NEW BEEP.SYS BEEP.SYS_OLD这三个测试文件.微点的日志里有记录生成文件,但是没有删除.几个临时文件都是第1测试生成的

[ Last edited by qq200878 on 2008-5-2 at 13:53 ]

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn