微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点杀毒软件 » 几款主流杀毒软件评测之脱壳  

作者:
标题: 几款主流杀毒软件评测之脱壳
HONEY0806
高级用户




积分 587
发帖 578
注册 2009-7-28
#1  几款主流杀毒软件评测之脱壳

好久没关心杀毒软件了,今天突然心血来潮,想看看曾经的杀毒软件都有了些什么进展,没想到收获也不小,不少杀毒软件都推出了自己的新版本,更让人兴奋的是又蛋生了几位新兴的杀毒软件。作为天生的菜鸟加小白,真的很想一睹杀毒软件带来的惊喜。但是我知道一款杀毒的软件好坏不能单纯的依靠某一点来判断,但是没办法今天就只能选择了杀毒软件的一方面来测试一番——脱壳!目的有二:第一,在大家的意见和建议中学习提高。第二,简单的和大家一起了解一下各大杀毒软件的脱壳能力。所以,有很多做的不好的地方希望大大多多谅解!
     今天参加测试的杀毒软件有:瑞星、金山毒霸、江民、卡巴斯基、ESET NOD32、微点杀毒软件(公测版)、360杀毒。
     测试环境:虚拟机  系统window xp sp3(未安装除sp3以外的任何补丁)。
     样本来源:卡饭
     加壳工具:aspack、asprotect、exestealth、fsg2.0、mew11、molebox2.6.5、npack v1.1、sms PE-Armor V0.46、PECompact v2、petite2.3、tElock0.98b1、Themida、TTProtect、UPX2.02、yP1033、北斗2.3(很遗憾手头壳不多,再加上部分壳加上之后样本不能运行)
    为了保证测试的公平公正性测试采用虚拟机恢复快照的方式测试。
瑞星
将瑞星杀毒软件升级至最新版本,

关闭瑞星所有监控,首先按照默认设置扫描原样本文件,瑞星报:Trojan.Win32.Generic.11F47B0A病毒

然后对16个不同壳的加壳文件扫描,很遗憾瑞星只扫描出1个文件:sms TTProtect.exe,

并且此文件还需上报“云安全”计划确认,由此可见瑞星的脱壳能力真的是“没话说”。为了进一步验证瑞星的其他方面,索性讲瑞星的安全级别调到最高后再次对16个加壳文件进行扫描,结果还是很令人失望。

结果同上
360杀毒
作为一款炒作非常厉害的360杀毒,相信很多人都被它的终身免费承诺所打动,纷纷尝试起了传说中免费的午餐,那今天我们也来看看360杀毒吧.
首先也同上,将360杀毒升级至最新版本,

关闭360的实时监控,按照默认设置扫描原样本文件,结果360杀毒提示“未发现病毒,您的系统安全”

由此可见360失败了。为了看看360杀毒对接下来的加壳后的病毒的反应,于是对16个加壳病毒进行了一次扫描,结果360杀毒提示发现15个文件感染病毒(基于云安全)。

查杀结果为:
sms ASPack2.12.exe        Generic.Malware.Fdldg.F2BD72ED       
sms ASProtect ske2.3.exe        GenPack:Generic.Malware.Fdldg.E9BB60AE       
sms ExeStealth v2.76.exe        GenPack:Generic.Malware.Fdldg.A6DDE3CE       
sms fsg2.0.exe        Generic.Malware.Fdldg.4D5532AA       
sms MEW 11 1.2.exe        Generic.Malware.Fdldg.7ED536E5       
sms npack v1.1.exe        Gen:Trojan.Heur.dGW@X2TcvJl       
sms PE-Armor V0.46.exe        Gen:Trojan.Heur.dmWaXsR7ISe       
sms PECompact v2.exe        Generic.Malware.Fdldg.377B0687       
sms petite 2.3.exe        GenPack:Generic.Malware.Fdldg.609BF320       
sms tElock 0.98b1.exe        Generic.Malware.Fdldg.A409E151       
sms Themida.exe        Trojan.Packed.Libix.Gen.1       
sms TTProtect.exe        Gen:Trojan.Heur.PT.evW@buQph9h
SMS UPX2.02.EXE        Generic.Malware.Fdldg.A6065A5A       
sms yP1033.exe        Gen:Trojan.Heur.GM.040044E110       
sms 北斗2.3.exe        Generic.Malware.Fdldg.E1D32E6E
这就叫人匪夷所思了,真真正正的裸体摆在面前他不管,为什么穿了件衣服的他倒抓的起劲呢?
卡巴斯基
作为一款很受用户青睐的强劲的杀毒软件,听说其脱壳能力也不错。今天也来亲自试试。将卡巴斯基升级至最新版本,

关闭所有监控,首先按照默认设置扫描原样本文件卡巴明确报出:Worm.Win32.AutoRun.bbvg,

接下来对16加壳文件进行扫描,结果卡巴检测出15个加壳样本,

结果为:
Worm.Win32.AutoRun.bbvg  sms ASPack2.12.exe/ASPack
Worm.Win32.AutoRun.bbvg  sms ExeStealth v2.76.exe/ExeStealth                       
Packed.Win32.Black.d  sms ASProtect ske2.3.exe/PE_Patch/ASProtect                       
Worm.Win32.AutoRun.bbvg  sms fsg2.0.exe/FSG                       
Worm.Win32.AutoRun.bbvg  sms MEW 11 1.2.exe/PE_Patch/MewBundle/MEW                       
Worm.Win32.AutoRun.bbvg  sms MoleBox 2.6.5.exe/Molebox                       
Worm.Win32.AutoRun.bbvg  sms npack v1.1.exe/NPack                       
Worm.Win32.AutoRun.bbvg  sms PE-Armor V0.46.exe/PE-Armor                       
Worm.Win32.AutoRun.bbvg  sms PECompact v2.exe/PE_Patch.PECompact/PecBundle/PECompact                       
Worm.Win32.AutoRun.bbvg  sms petite 2.3.exe/Petite                       
Worm.Win32.AutoRun.bbvg  sms tElock 0.98b1.exe/PE_Patch/TeLock                       
Packed.Win32.Black.a     sms Themida.exe                       
Worm.Win32.AutoRun.bbvg         SMS UPX2.02.EXE/PE_Patch.UPX/UPX                       
Worm.Win32.AutoRun.bbvg         sms yP1033.exe/YodaProt                       
Worm.Win32.AutoRun.bbvg         sms 北斗2.3.exe/NSPack
其中13个病毒属于脱壳后查出,由此看来卡巴的脱壳确实还是不错的!
微点杀毒软件beta
作为一款新兴生命、目前又正在公测中的杀毒软件,更是很多人期待已久的杀毒软件,先不论他的查杀效果如何,我们还是来一起看看他的脱壳能力吧。将微点杀毒软件升级至最新版本,暂停微点杀毒软件,首先按照默认设置扫描原样本文件,同样微点明确报出:Worm.Win32.AutoRun.sez

接下来对16个加壳样本进行扫描,结果微点也只扫描出加壳文件sms MoleBox 2.6.5.exe(Trojan.Win32.CDur.bg)

可见此文件非脱壳查出,看来还是有点遗憾啊。也许是因为正处于公测阶段吧。不过很感兴趣的是微点杀毒软件也提供了高启发扫描,于是把扫描设置为高启发再次扫描,结果微点扫描出14个,

结果为:
Malware.Win32.Suspect.b                sms 北斗2.3.exe
Malware.Win32.Suspect.b                sms yP1033.exe
Malware.Win32.Suspect.b                SMS UPX2.02.EXE
Malware.Win32.Suspect.b                sms tElock 0.98b1.exe
Malware.Win32.Suspect.b                sms petite 2.3.exe
Malware.Win32.Suspect.b                sms PECompact v2.exe
Malware.Win32.Suspect.b                sms PE-Armor V0.46.exe
Malware.Win32.Suspect.b                sms npack v1.1.exe
Trojan.Win32.CDur.bg                sms MoleBox 2.6.5.exe
Malware.Win32.Suspect.b                sms MEW 11 1.2.exe
Malware.Win32.Suspect.b                sms fsg2.0.exe
Malware.Win32.Suspect.b         sms ExeStealth v2.76.exe
Malware.Win32.Suspect.b                sms ASProtect ske2.3.exe
Malware.Win32.Suspect.b                sms ASPack2.12.exe
由此看来虽然微点杀毒在此次测试中脱壳不是很理想,但是启发还是做的很不错的哟!

[ Last edited by HONEY0806 on 2010-1-4 at 13:47 ]

※ ※ ※ 本文纯属【HONEY0806】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-1-4 12:55
查看资料  发送邮件  发短消息   编辑帖子
天璇诛仙
中级用户





积分 322
发帖 322
注册 2009-2-17
#2  

???没了???

※ ※ ※ 本文纯属【天璇诛仙】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-1-4 13:03
查看资料  发送邮件  发短消息   编辑帖子
HONEY0806
高级用户




积分 587
发帖 578
注册 2009-7-28
#3  

NOD32
一款在中国很受欢迎的杀毒软件之一,以其启发不错以及内存占用低的优势,在中国也占据很好的市场。今天也来看看他的脱壳能力,将NOD32升级至最新版本,

关闭NOD32的实时监控,首先扫描原样本文件,NOD32明确报出:Win32/AutoRun.Delf.EP,

然后对加壳文件进行扫描测试:结果NOD32扫描出14个样本,

结果为:
sms ASPack2.12.exe - Win32/AutoRun.Delf.EP
sms ASProtect ske2.3.exe - 可能是 Win32/Genetik 特洛伊木马 的变种
sms ExeStealth v2.76.exe - Win32/AutoRun.Delf.EP
sms fsg2.0.exe - Win32/AutoRun.Delf.EP
sms MEW 11 1.2.exe - Win32/AutoRun.Delf.EP
sms MoleBox 2.6.5.exe - Win32/AutoRun.Delf.EP
sms npack v1.1.exe - Win32/AutoRun.Delf.EP
sms PECompact v2.exe - Win32/AutoRun.Delf.EP
sms petite 2.3.exe - Win32/AutoRun.Delf.EP
sms tElock 0.98b1.exe - Win32/AutoRun.Delf.EP
SMS UPX2.02.EXE - Win32/AutoRun.Delf.EP
sms yP1033.exe - Win32/AutoRun.Delf.EP
sms 北斗2.3.exe - Win32/AutoRun.Delf.EP
sms Themida.exe - Win32/Packed.Themida
其中13个属于脱壳查出,看来在脱壳方面还是很不错的哟!
江民杀毒软件
一款也是比较低调的杀毒软件,最近新推出了加入主动防御的KV2010最新版,先不论其主动防御做的怎么样,还是先看看他的脱壳吧。将其升级至最新版本,

关闭其主动防御及监视,先按照默认设置扫描原样本文件,江民明确报出:Worm/AutoRun.pwv,

其次对16个加壳样本进行脱壳测试,江民检测出8个病毒,

结果为:
sms ASPack2.12.exe        Heur:Worm/Autorun
sms ExeStealth v2.76.exe  Heur:Worm/Autorun
sms npack v1.1.exe        Heur:Worm/Autorun
sms MoleBox 2.6.5.exe     Heur:Worm/Autorun
sms PE-Armor V0.46.exe    Heur:Worm/Autorun
sms PECompact v2.exe      Heur:Worm/Autorun
SMS UPX2.02.EXE           Heur:Worm/Autorun
sms 北斗2.3.exe           Heur:Worm/Autorun
其中8个系脱壳查出。由此可见,江民的脱壳还是过得去哈。
金山毒霸
一款最近貌似大力推广的杀毒软件,虽说一直在进步,但是究竟达到了什么程度也不好说。今天就来先看看他的脱壳吧。将金山毒霸升级至最新版本,

关闭毒霸监控,按照默认设置扫描原样本文件为Win32.Troj.DownSAT.89088木马(好像命名与其他不同)。

其次对加壳文件进行扫描,检测出10个样本文件,

结果为:
sms 北斗2.3.exe        Win32.Troj.DownSAT.89088                
sms yP1033.exe        Win32.Troj.DownSAT.89088
SMS UPX2.02.EXE        Win32.Troj.DownSAT.89088
sms tElock 0.98b1.exe        Win32.Troj.DownSAT.89088
sms PECompact v2.exe        Win32.Troj.DownSAT.89088
sms PE-Armor V0.46.exe        Win32.Troj.DownSAT.89088
sms MEW 11 1.2.exe        Win32.Troj.DownSAT.89088
sms fsg2.0.exe                Win32.Troj.DownSAT.89088        
sms ExeStealth v2.76.exeWin32.Troj.DownSAT.89088        
sms ASPack2.12.exe        Win32.Troj.DownSAT.89088
其中10个文件均为脱壳查出。看来金山在次方面还是不认输哦!
   总体来说此次测试中卡巴,NOD32表现不错 。金山、江民一般。微点杀毒虽然在此次测试中脱壳不是很理想,但是却表现出了极强的启发能力。至于360和瑞星我想就不大想说了。
  再次申明:本次测试只是无聊的时候和大家学习交流之用,所以很多地方做的不好的话(这是必然。因为小白+菜鸟)还请大家见谅,只希望在做的测试的时候能学到更多的东西。杀毒软件的实力也不是单纯的表现在某一方面,要看杀软的综合实力。因此此次测试并不具有代表意义,也仅供大家参考。希望大家一起交流,一起进步。

注:测试用的原文件及加壳文件见压缩包(密码123)
http://u.115.com/file/f828a334c
测试文件.rar

[ Last edited by HONEY0806 on 2010-1-4 at 13:41 ]

※ ※ ※ 本文纯属【HONEY0806】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-1-4 13:10
查看资料  发送邮件  发短消息   编辑帖子
赤色狂潮
新手上路





积分 35
发帖 35
注册 2009-8-21
#4  

没什么可说的了

※ ※ ※ 本文纯属【赤色狂潮】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-1-4 14:11
查看资料  发送邮件  发短消息   编辑帖子
黑天使
高级用户




积分 544
发帖 544
注册 2009-6-7
#5  

非常好的实验数据。记下了。

※ ※ ※ 本文纯属【黑天使】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-1-5 20:18
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号