微点交流论坛 - 主动防御 - 关于精睿小子病毒样本的再次测试

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 关于精睿小子病毒样本的再次测试

1/2

mamsds
银牌会员

积分 1373
发帖 1360
注册 2008-3-15
来自乌克兰

#1 关于精睿小子病毒样本的再次测试

Quote:

积分+6,以示奖励. by 046569

针对精睿小子上次样本引起的不必要的争论，本人在此认真地做了一次分析，但由于水平所限，分析中存在仅仅知道现象却不知道原因的问题。
首先见上次的分析贴
http://bbs.micropoint.com.cn/sho ... ghlight=&page=1
及上贴7楼提到的未被微点报毒的两个病毒文件updata update及上次争论的主要内容：关于dll的调用问题
使用的测试版微点为2009年8月版系统为windows xp sp2 另装有金山毒霸金山卫士（均完全未开启）
[url]

[/url]
有如下结论
1、updata.exe问题。手动运行之，微点会提示发现未知间谍程序并可以被成功清除，而非原文的没有发现。
[url]

[/url]
需要对比的是，拥有一年的技术改进时间及领先一年的病毒库的全球领先的杀软们居然几乎不报毒！virscan扫描结果如下
http://www.virscan.org/report/0f ... 07a8afed28f491.html
而最新的微点扫描则报毒（当然有可能是样本被提交的缘故，那个未找到的是被微点主防杀了）
[url]

[/url]

2、update.exe问题。手动运行它后，发现update会于system32生成dll文件jqsbsvm1.8.dll，然后通过一定的方法，使得其他应用程序启动均会加载jqsbsvm这个链接库（未知一），完成后退出。本身并未出现其他恶意行为。
因此，微点未提示病毒。
接着，我尝试运行其他程序，如foxit reader，该dll被加载通过对foxit reader 的行为观察，该dll并未进行有害操作。
[url]

[/url]
经过扫描，金山毒霸认为其为病毒病毒Win32.Troj.FillChar.io 处理成功（操作：删除）
而微点杀毒则提示未发现病毒。
接着，尝试运行qq，qq亦加载了该dll，输入密码登陆时未出现不正常联网。
故，本人猜测该dll是设计为仅能被特定病毒调用但后来由于一些情况被更改了用途，但不成功（未知二）。

由此可见几点：
1、微点成功报出第一个病毒，且通过一年前的微点与其他杀毒软件的对比，可以体现主动防御的巨大优越性。微点未能报出第二个病毒，也从反面说明了微点确实是使用行为技术——没有行为就没有报警。
2、云安全有一定效果，金山的扫描应该是有进步的，微点如果有足够的资金应该搞。
3、精睿小子说该样本为卡饭论坛“随手挑的”，可见卡饭样本区的水平不足，未能给出真实可靠的测评数据。由本次比较深入的分析表明，该样本虽有病毒特征，但在依靠本组样本其他程序中并未能表现出行为，微点的原理是是行为分析而不是启发式，不报警是正常现象。卡饭论坛使用该类未能做出行为的病毒进行测试不够严谨客观，对于扫描引擎该类样本还可以比较引擎的虚拟机、启发式、云安全的实际水平，而对于微点则毫无意义，但客观上却降低了广大网民对微点的评分。

（针对微小点（估计原精锐小子）2-4楼）第二次发帖

1、楼下的批评很有道理，我重申一次，本人水平非常有限。楼下不用重复这个问题。我水平有限~但是人的水平都是有限的，所以大家应该互相体谅才是。
2、针对楼下的意见，我觉得马上装一台win7出来再测一次~装系统需要时间，而考虑虚拟机的效率就更需要时间，请稍等。

3、另外请楼下注意，其余病毒已被原帖测试过会被微点拦截的，我只挑了两个上次争议大的来做，希望回帖的人看清楚。
4、希望回帖者可以看清原帖，大蜘蛛已被收录入virscan，扫描未发现，红伞也被加入，扫描发现病毒，NOD32未被收录，没有经过扫描。
5、我只听过程序在win xp 下正常而在win vista（而不是vita，不要急躁~）/7下出错，从未听过居然会在win vista/7下正常，win xp下出错，但为了尽量公正客观，还是执行本贴第二条。
6、不可否认，HIPS类的防御对99.9%的普通用户没有任何意义，因此一般我的测评不考虑包括HIPS和所谓“交互式”的非智能主动防御。而除了这类防御和智能主防（微点类型，可能sonar也算得上，本人没测过，没发言权），就只剩扫描啦，因此，楼下这条站不住脚。
7、补充数据：
测试平台： Vmware 7.1；windows xp sp2；虚拟RAM：512MB；虚拟CPU个数：1；CPU频率 2.5Ghz；
补丁数：无；
病毒数量：总量：2；有行为量：1
拦截率：总拦截率：50%；有意义拦截率：100%
另如下图，NOD32于上述环境使用所谓的全球领先的启发式侦测率为0%，其病毒库为2010年的。

8、任何人不用激动，公道摆在那里，不是大声就行的，要讲道理。如果不是心虚，就没有必大声，没有必要说不文明的语言。

第三次发帖 Win7下测试

既然小子希望形式上的规范，那我就规范点
测试平台： Vmware 7.1；windows 7 家庭高级版；虚拟RAM：1500MB；虚
拟CPU个数：1；CPU频率 2.8Ghz；

补丁数：无；
病毒数量：总量：2；有行为量：0 可于win7运行量：0
拦截率：总拦截率：0%；有意义拦截率：被0除无意义
当然，如果你说你的win7不是家庭高级版而是初级版、家庭基本版、专业版、企业版、旗舰版或者说你是windows vista什么什么版或者是说你的虚拟机是virtualbox的那我就真没办法了。

这次反过来，先说update.exe。
上次微点没拦截的update这次甚为丢脸，居然完全无法运行！win7的兼容性虽说比不上xp，但肯定比vista好才是。现在我已经开始怀疑小子是否自己做过测试了。上图！有图有真相

当然也就完全不可能释放什么dll了，再次有图有真相，加载dl系按名称排序的，ik之间没有j开头的。

第三次有图有真相
可以看出完全没有可疑进程，因此程序正如windows所提示的，完全无法运行，微点提示其直接退出了~

再来说说updata
这次这个居然没被拦截！
先上图！

如上图可见，不知出了什么错误，再如下图，该进程退出了，未释放什么dll。

综上按卡饭论坛及小子的测试规则，本次微点拦截率为0%！！！
完毕~

写在后面：
1、通过三次测试告诉我一个道理，做事就怕认真。只要认真做，我们就会接近真理，事实证明，微点在本系列测试中表现优秀，没有任何可以批评的。相信大家可以看到，除非无理取闹（特别是说P图的！），否则这次的测试应该是成功的，微点再次通过了考验，我对微点的信任又上升的一个档次。

2、另外，一个显而易见的事实是，基于行为的分析毫无疑问是比扫描（不包括云安全）优秀的，他们根本不是一个档次。2009年的微点成功侦测的病毒而全球领先的36款杀毒软件居然仅有寥寥几款发现问题，这无疑暴露了特征比对原理的巨大缺陷。

3、小子可以继续反驳，但是就我看如果你不耍赖应该没什么问题可以探讨了吧？

4、在本不宽裕的跑win7的电脑上再跑个win7+xp真实一种折磨~害得我把小工具、视觉效果、微点杀毒、金山卫士、qq、打印机驱动、金山快盘、微点防火墙都停了~
[/color]

[ Last edited by mamsds on 2010-8-8 at 19:37 ]

※ ※ ※ 本文纯属【mamsds】个人意见，与【微点交流论坛】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.

2010-8-6 16:54

微小点
新手上路

积分 13
发帖 13
注册 2010-8-6

#2

测试规则：

---------------------------测试平台、补丁状况、病毒数量、拦截率、系统版本、

---------------------------起码的测试程序和条件都没说明，很不规范！楼主就单单凭这些测试说明的么？能说明什么呢？只能说明在XP下的效果。另外楼主单单用微点否定其他杀软，又凭什么呢，用09年的杀软测试过么？

俺一直都用NOD32，用09年的NOD32测试了么，就说其他杀软不行，只能说楼主测试水平有限吧。

---------------------------因为有些病毒是在特定系统下才起作用的，比如Vista、

win7。单单在XP下测试不能说明什么问题，现在用win7的人越来越多了，俺还

是关注win7下的结果！杀毒软件如果只是在XP才能拦截那么这个杀软也是失败

的。
---------------------------那篇文章中有10几个样本，楼主貌似只是测试了其中的一个

病毒而已，就妄下结论。

--------------------------只要好一点的启发式杀软即使用09年的也同样会拦截，微点拦截不代表什么。红伞、NOD32、大蜘蛛都用09年的测试了么？估计也会拦截的。

[ Last edited by 微小点 on 2010-8-6 at 19:12 ]

※ ※ ※ 本文纯属【微小点】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-8-6 19:04

微小点
新手上路

积分 13
发帖 13
注册 2010-8-6

#3

-------------------既然微点工程师说微点没有拦截肯定是有道理的，因为精睿小子用的是

Vita系统，你们来搞个XP测试，还在这里妄下结论，俺沉默了。。。。。。

------------------还有一点，楼主只是随便用其他杀软在线扫描一下就说明其他杀软

不行么？你的意思是其他杀软只有扫描功能，都没有本地防御功能是吧？本地防

护会不会拦截呢？这些都没测试过就随便出口成章盲目否定人家？

[ Last edited by 微小点 on 2010-8-6 at 19:25 ]

※ ※ ※ 本文纯属【微小点】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-8-6 19:20

微小点
新手上路

积分 13
发帖 13
注册 2010-8-6

#4

俺啥也不懂只是小白一个，随便路过就过来看看，对楼主的测试一笑而过。

※ ※ ※ 本文纯属【微小点】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-8-6 19:27

星光HEAVEN
中级用户

积分 494
发帖 492
注册 2009-8-3

#5

对楼主的测试有意见可以提，但是为啥要用马甲？毛爷爷说，背地里打枪是不道德的。。。

※ ※ ※ 本文纯属【星光HEAVEN】个人意见，与【微点交流论坛】立场无关※ ※ ※

期待主防2.0！

2010-8-6 20:27

微小点
新手上路

积分 13
发帖 13
注册 2010-8-6

#6

请问楼主：“病毒数量：总量：2；有行为量：1 拦截率：总拦截率：50%；有意义拦截率：100% ”

拦截的是哪个文件呢？恐怕不是第一个了吧，其他杀软的本地防御你测试了么？随便扫描一下不能说明问题，有些杀软没扫描到，但是本地防御一样可以拦截的。

你只给了一个答案，具体过程谁也没看见，win7下连微点报毒的截图都没有，不排除杜撰的可能性。你为何不截图呢？可以叫大家都在win7下测试一下这个文件！

※ ※ ※ 本文纯属【微小点】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-8-6 21:14

mamsds
银牌会员

积分 1373
发帖 1360
注册 2008-3-15
来自乌克兰

Quote:

Originally posted by 微小点 at 2010-8-6 21:14:
请问楼主：“病毒数量：总量：2；有行为量：1 拦截率：总拦截率：50%；有意义拦截率：100% ”

拦截的是哪个文件呢？恐怕不是第一个了吧，其他杀软的本地防御你测试了么？随便扫描一下不能说明问 ...

我的win7还没有配置好，你能不能等一下~
拦截到的就是有行为的那个~
就是有意义的那个~而且LS没听到我的话么！！！我已经说过！非智能主动防御对一般用户没有意义！就是杀软公司推卸责任的工具！难道这不好理解吗！难道这么显然的道理你都不认同吗！
我一直认为只有讲道理的人才有可能说赢我，因为公道自在人心~不知LS认同不认同~

[ Last edited by mamsds on 2010-8-6 at 21:42 ]

※ ※ ※ 本文纯属【mamsds】个人意见，与【微点交流论坛】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.

2010-8-6 21:23

zai13
新手上路

积分 20
发帖 20
注册 2010-4-24

#8

那天，我用微点杀毒，扫出一堆病毒。可是这么几个月来，我的各种帐号没出现过异常。这是为什么呢？哥只相信微点主防！就算主防把我的电脑变成太平间，哥也无所谓！反正有微点杀毒这个清洁工。再配个金山卫士，远离病毒！远离周鸿伟！

※ ※ ※ 本文纯属【zai13】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-8-6 22:47

f8312519
银牌会员

积分 2184
发帖 2169
注册 2008-10-27
来自维创论坛

#9

支持楼主用事实说话

※ ※ ※ 本文纯属【f8312519】个人意见，与【微点交流论坛】立场无关※ ※ ※

维创论坛免费软件园地欢迎您!http://herofw.haotui.com

2010-8-7 20:41

镜湖YES
银牌会员

积分 1225
发帖 1199
注册 2009-3-15

#10

摆事实,讲道理

※ ※ ※ 本文纯属【镜湖YES】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-8-7 23:01

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号