» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » (转)最新的狙剑071206对东方微点和瑞星2008    16   1/2   1   2   >  作者: 标题: (转)最新的狙剑071206对东方微点和瑞星2008 qq200878 中级用户 积分 456 发帖 452 注册 2007-11-17 #1  (转)最新的狙剑071206对东方微点和瑞星2008 补充测试【二】 经测试，微点与低版本的狙剑可能存在冲突，所以进行此次补充测试， 使用最新的狙剑071206对东方微点和瑞星2008再次进行对比测试。 ps：测试以前，我先关掉了狙剑的主动防御功能，所以测试过程中没有狙剑主动防御的提示。 第一回合：测试狙剑的结束进程 首先进行的测试是结束进程，本测试对于瑞星的效果前边已经介绍过了， 为了保证公平，我使用了新版本的狙剑对瑞星2008重新测试， 最终结果与前边的测试一致，瑞星被无情的Kill了！ 微点的表现如何呢？右击MPMon.exe，选择结束进程，监控主进程被杀死。。。 继续，杀死MPSVC1.exe，奇迹发生了，数秒以后，MPMon.exe又复活了！ 一不做，二不休，结束MPSVC.exe，这个可是微点的命根子啊！！！ 居然成功的结束了？？？不过其他进程并没有消失，如图。    2007-12-7 18:25 继续，依次结束MPMon.exe、MPSVC1.exe和MPSVC2.exe，遗憾的是，微点没能再次复活…… 本回合结束，我宣布，东方微点小胜瑞星2008！ 第二回合：测试狙剑的“暂停进程运行” 这个是之前没有测试过的，还是先从瑞星开始吧！右击RavMon.exe，点暂停进程运行， 瑞星简直就是千篇一律，还是那句老话“XXX触发了API类规则”，操作被拦截 2007-12-7 18:25 看来行不通，没关系，再试试其他的进程！ CCenter.exe、RavStub.exe和RavMonD.exe的反应相同，出现下边的提示。 2007-12-7 18:25 不过RavTask.exe可就没有那么幸运了，他可被狙剑成功的暂停了！ 既然暂停了RavTask.exe，接下来试试拷进来一个病毒样本吧！    2007-12-7 18:25 看来实时监控并没有失效！也就是说，暂停进程运行这一关，瑞星通过！ 再来看看微点的表现如何！ 右击微点监控主进程MPMon.exe，暂停进程运行，结果微点真的被暂停了。。。 最明显的特征就是右下角的小点不动了…… 继续，暂停MPSVC1.exe、MPSVC2.exe、MPSVC.exe，结果全部失败，提示和瑞星的相同。 接下来运行一个微点已知的木马样本试试看！ 2007-12-7 18:25 呵呵，微点的防御并没有失效！ 那么，对于未知木马的反应又会如何呢？我们来加壳试试看！ 首先用北斗4.1压缩，然后用超级加花器添加花指令， 因为微点的病毒库并不完美，所以这样处理过的木马微点已经无法识别了！ 我运行了处理过的木马，结果系统的explorer假死，任务管理器也无法结束， 但是木马并没有造成破坏！也就是说，微点成功的拦截了未知木马，但是却造成了系统死机！ 用狙剑恢复微点的进程以后，微点报告了未知木马！    2007-12-7 18:25 由此看来，微点对于“暂停进程运行”的操作处理方法欠佳，可能造成系统死机。 我宣布，本回合，瑞星小胜微点 [ Last edited by qq200878 on 2007-12-8 at 14:22 ] ※ ※ ※ 本文纯属【qq200878】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-8 13:01 qq200878 中级用户 积分 456 发帖 452 注册 2007-11-17 #2   东方微点VS瑞星2008【一】【07-12-07更新补充测试】 声明：本文章只从技术角度阐述微点与瑞星各自的优缺点，不涉及其他内容。 且此文章中的评论仅代表我个人观点，与点饭论坛（http://www.mpfans.org/）无关。 转载请注明出处！ 第一篇，自我保护的比拼！ 第一回合：小试身手，taskmgr上！ 首先做一个可能没有意义的小测试，利用Windows任务管理器， 分别结束微点和瑞星的实时程序监控进程。 很遗憾，微点战败，微点被taskmgr无情的kill掉了。。。 再来看看瑞星的表现，如图，成功的拦截了taskmgr，并报告出发了API类规则。 2007-12-7 00:35     2007-12-7 00:35 我宣布，第一回合，瑞星2008胜出！ 第二回合：用taskkill命令试试看～ 首先来看看微点的表现，虽然没有给出任何提示，但是我们却看到cmd给出了冰冷的提示！ 微点成功的躲开了taskkill的魔爪～ 2007-12-7 00:35 再来看看瑞星2008的，依旧是出发API类规则，成功拦截！ 2007-12-7 00:35 2007-12-7 00:35 不过值得注意的是，命令失败以后返回的信息是不同的， 微点的是“内存分配访问无效”，而瑞星则是“拒绝访问”。 这有什么区别呢？让我们结束一下冰刃的进程试试看！     2007-12-7 00:35 注意，冰刃是利用驱动来保护自身的！ 也就是说，微点也采用了类似的手段来保护自身进程！ 我宣布，第二回合，微点与瑞星平手，但是微点稍强一些！ 第三回合：试试ntsd会发生什么！ 先来看看瑞星吧，还是那句老话——出发了API类规则…… 自身没有被ntsd结束！    2007-12-7 00:35    2007-12-7 00:35 再看看微点！ 2007-12-7 00:35 我宣布，第三回合，微点和瑞星打成平手！ 第四回合：好吧，试试Advanced Process Termination， 这个可是一个测试结束进程用的专业级软件！ 首先看看微点的表现！ 2007-12-7 00:35 注：打X表示进程没有被结束，打勾表示成功结束！ 微点没有被结束！所有的测试都通过了！ 再来看看瑞星的表现！    2007-12-7 00:35 在测试过程中，瑞星连续弹出了多个触发API类规则的提示， 不过遗憾的是，瑞星还是被APT利用“内核模式2”结束掉了…… 注：“内核模式2”利用驱动实现杀死进程的功能！ 我宣布，第四回合，瑞星惨败！ 第五回合：老将出马——上冰刃！ 先看看微点，用冰刃右击MPMon.exe，点Terminate Process， 刷新进程列表，微点监控主进程消失的无影无踪了……    2007-12-7 00:35 再来看看瑞星吧，以前听说瑞星不会被冰刃结束，不知道真的假的…… 2007-12-7 00:35 Terminate Process后，瑞星的绿伞也消失了…… 遗憾啊…… 我宣布，第五回合，东方微点和瑞星2008双双战败！ [ Last edited by qq200878 on 2007-12-8 at 14:31 ] ※ ※ ※ 本文纯属【qq200878】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-8 13:02 nasdaq 版主 版主 积分 1140 发帖 1118 注册 2006-4-6 #3   莫图啊，楼主补图，版主加分 ※ ※ ※ 本文纯属【nasdaq】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-8 13:40 qq200878 中级用户 积分 456 发帖 452 注册 2007-11-17 #4   收到论坛中部分朋友的反馈， 微点对于拥有GUI界面的已知进程管理程序的结束进程操作不予拦截， 所以特进行本次补充测试！ 补充一：狙剑 狙剑，是一款国产的安全辅助工具，今天我就用狙剑来试试微点和瑞星的表现！ 首先来试试瑞星！ 点击结束进程以后，瑞星的小绿伞就直接消失了…… 再来看看微点吧，双击狙剑的主程序，半天都没有出现程序界面， 我打开任务管理器一看究竟…… 晕倒，两个狙剑的进程，PID不断的变化，始终没能启动，看来被微点拦截了…… 无奈，我用任务管理器先结束掉微点的进程，启动狙剑，依然失败…… 由于此测试无法正常进行，所以不做评论…… 补充二：测试一下冷门的GUI界面任务管理器…… 测试之前先看看瑞星和微点的进程树有何区别！ 注：左边为瑞星，右边为微点。 可以看到，瑞星的实时监控主程序是explorer.exe的子进程， 而微点所有的进程都是services.exe的子进程！ 对此我就不做评论了…… 先看看瑞星的实际表现吧 点击结束进程，瑞星没有被杀死， 继续测试，尝试结束瑞星的所有进程，RavTask和RavStub被杀死了…… 再看微点，首先结束监控主程序，成功！继续结束其他进程，意想不到的事情发生了！ 当我结束MPSVC1或MPSVC2时，他们并没有被结束，但是MPMon却神奇的复活了！ 但是当我尝试结束MPSVC的进程树时，我还是失望地看到微点被结束了…… 我宣布，补充二，瑞星胜出。 补充三：再用WinProc试试看！ 首先试试微点，点结束进程以后没有任何反应，刷新列表，进程还在！ 然后是瑞星，同样没有被结束！ 结论：看来只能说，这个工具不合格…… 本次测试中，微点阻止了狙剑的运行，第三款工具不合格， 所以没有得出什么有用的结论…… ※ ※ ※ 本文纯属【qq200878】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-8 14:38 qq2008444 银牌会员 职业潜水艇 积分 5373 发帖 5291 注册 2007-7-7 来自 兰·基亚斯 兰古拉王国 #5   狙剑？ What's this？ 没见过 ※ ※ ※ 本文纯属【qq2008444】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟…… 2007-12-8 19:50 LjhEARTH 新手上路 积分 45 发帖 45 注册 2006-8-25 #6   看了这样的评测，只有一个想法：微点真的没必要为进程管理人性化上做这么多工作了，因为很多用户不理解微点的这种苦心，严重的时候可能还会被一些人混淆视听，诬蔑微点的进程保护能力差。 ※ ※ ※ 本文纯属【LjhEARTH】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-8 21:26 黑之翼 注册用户 积分 142 发帖 142 注册 2006-9-30 #7   冰刃轻松关瑞星的全部进程，不过要关3次 ※ ※ ※ 本文纯属【黑之翼】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-8 22:13 qq2008444 银牌会员 职业潜水艇 积分 5373 发帖 5291 注册 2007-7-7 来自 兰·基亚斯 兰古拉王国 #8     Quote: Originally posted by LjhEARTH at 2007-12-8 21:26: 看了这样的评测，只有一个想法：微点真的没必要为进程管理人性化上做这么多工作了，因为很多用户不理解微点的这种苦心，严重的时候可能还会被一些人混淆视听，诬蔑微点的进程保护能力差。 我个人建议是提供选项 默认禁止进程被结束 ※ ※ ※ 本文纯属【qq2008444】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟…… 2007-12-8 22:23 norman6810 版主 积分 3351 发帖 3303 注册 2007-4-4 #9     Quote: Originally posted by qq2008444 at 2007-12-8 22:23: 我个人建议是提供选项 默认禁止进程被结束 这个建议不错，希望官方能够考虑！ ※ ※ ※ 本文纯属【norman6810】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 灌水区版规 2007-12-8 23:26 微点卫士 银牌会员 积分 1198 发帖 1176 注册 2006-6-19 来自 上海市松江区 #10     Quote: Originally posted by norman6810 at 2007-12-8 23:26: 这个建议不错，希望官方能够考虑！ 玩仙四这样的大型游戏我想关掉微点的。还是不要这么严格吧 ※ ※ ※ 本文纯属【微点卫士】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ [img]http://v.t.qq.com/cgi-bin/signature?name=mpguard&sign=26fc347cc5c2e739a337896675ca533cb68324b6&type=2[/img] 2007-12-9 09:00  16   1/2   1   2   >  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号