微点交流论坛 - 微点软件使用交流 - 模拟恶意软件攻击的安全测试工具发布，微点不错啊

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点软件使用交流 » 模拟恶意软件攻击的安全测试工具发布，微点不错啊

1/2

bilizzard
注册用户

积分 66
发帖 66
注册 2008-4-28

#1 模拟恶意软件攻击的安全测试工具发布，微点不错啊

转贴来自深蓝http://soft.deepin.org/read.php?tid=649564

Comodo最近推出了全新的PC安全检测套装，可以模拟恶意软件的多种攻击方式，并由此判断用户所使用的计算机安全产品在现实生活中的防护能力。套装包含5种安全及HIPS（主机防御系统）的功能性测试。HIPS测试中软件各使用了两套不同的方法模拟RootKit安装和DLL注入。软件同时支持BITS服务劫持测试。BITS服务允许程序通过被信任的服务宿主（svchost.exe）从网络下载程序。

如果你的防火墙通过测试，则会有CLT.exe修改系统文件的警告，Comodo Firewall Pro会把这一结果显示给用户。

另外要通知各位，即便你的系统通过了这些测试，也仅仅局限在这两项测试中，并不能表明系统已经处于绝对安全状态。赶快试试这个只有22KB的小工具吧。

Comodo官网提供该软件相关信息

详细介绍：http://personalfirewall.comodo.com/cltinfo.html

直接下载：http://download.comodo.com/securitytests/CLT.zip

我自己测试了，瑞性和微点，结果如下，瑞性第一个，第二个，第三个没反映，第四个第五个有反映，并提示此程序出现错误，但第二次仍然能打开
微点第一个就有反映，直接把此程序删除了，很好，很强大
以后就用微点了

[ Last edited by bilizzard on 2008-5-1 at 22:44 ]

※ ※ ※ 本文纯属【bilizzard】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-5-1 22:42

wantcm
版主

使用与技巧区消防员

积分 2351
发帖 2247
注册 2007-4-7

#2

深度也见过有人用这个软件测微点。

他一运行微点就报警了，然后他把这软件加为可信。再然后微点就不报了。

再再然后他就开始BS微点的能力。。。。。。我对他很无语。。。。。。

※ ※ ※ 本文纯属【wantcm】个人意见，与【微点交流论坛】立场无关※ ※ ※

做为斑竹，一定要消灭0回复

2008-5-2 06:24

qq200878
中级用户

积分 456
发帖 452
注册 2007-11-17

#3

微点不能防御2-5号测试,分开测试微点无反映

※ ※ ※ 本文纯属【qq200878】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-5-2 08:34

wantcm
版主

使用与技巧区消防员

积分 2351
发帖 2247
注册 2007-4-7

Quote:

Originally posted by qq200878 at 2008-5-2 08:34:
微点不能防御2-5号测试,分开测试微点无反映

微点是没有反应，但是不代表微点不能防御，这要先了解一下微点的运行原理。
微点和HIPS最大的不同是，HIPS主要针对程序的某个恶意行为进行报警，或者通过设置规则对某几个恶意行为的简单组合进行预警。而微点则是对程序一系列的行为进行分析，来判断此程序是否为恶意程序。
所以微点对单一行为不敏感，因为很多可能被病毒利用的程序行为在非病毒软件中也有使用，所以某程序的某个单一行为并不代表它就是病毒。
可以这么说，所有病毒使用到的技术，普通软件也都用到过，技术本身不是恶意的，只是有人恶意的使用了。
因为此测试中的2至5的程序行为并没有达到病毒的标准，所以微点不报警。

那么微点能不能防？我特意做了个测试。运行此软件，先进行2.3.4.5这几个测试，微点无一报警，再测试第一个，微点报警了。
但是仔细看看报警提示框，微点报警的文件有5个之多，也就是所有的5个测试生成的文件都被拦截了！

可惜图忘了保留，再测试，因为该软件已经加入了微点的临时特征库，所以再次测试直接删了，没有更多的提示。
想要复现则需要重装微点，我嫌麻烦，就不装了，想测试的自己弄吧，别直接测试第一个，否则微点加了临时特征就不会出现同时报5个文件的报警框了。
另外也别加可信，加了可信更看不到。

[ Last edited by wantcm on 2008-5-2 at 09:52 ]

※ ※ ※ 本文纯属【wantcm】个人意见，与【微点交流论坛】立场无关※ ※ ※

做为斑竹，一定要消灭0回复

2008-5-2 09:45

wantcm
版主

使用与技巧区消防员

积分 2351
发帖 2247
注册 2007-4-7

#5

测试1好比一把枪，微点报警
测试2是木炭，虽然可能被做成火药，但是微点不报警
测试3是硫磺，虽然可能被做成火药，但是微点不报警
测试4是硝石，虽然可能被做成火药，但是微点不报警
测试4是铜块，虽然可能被做成弹丸，但是微点不报警
测试1.2.3.4.5组合一起，就是枪加火药加弹丸，成了有威胁的武器了，所以微点一刀切的全给拦了。

※ ※ ※ 本文纯属【wantcm】个人意见，与【微点交流论坛】立场无关※ ※ ※

做为斑竹，一定要消灭0回复

2008-5-2 09:51

微点卫士
银牌会员

积分 1198
发帖 1176
注册 2006-6-19
来自上海市松江区

#6

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.KAFAN\桌面\CLT.EXE
是否阻止该进程继续运行?

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.KAFAN\桌面\CLT.EXE
可疑程序生成以下文件:
1) C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.KAFAN\LOCAL SETTINGS\TEMP\TMPB.TMP
2) C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.KAFAN\LOCAL SETTINGS\TEMP\TMPC.TMP
3) C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.KAFAN\LOCAL SETTINGS\TEMP\TMPD.TMP
是否阻止该进程继续运行?

※ ※ ※ 本文纯属【微点卫士】个人意见，与【微点交流论坛】立场无关※ ※ ※

[img]http://v.t.qq.com/cgi-bin/signature?name=mpguard&sign=26fc347cc5c2e739a337896675ca533cb68324b6&type=2[/img]

2008-5-2 10:51

微点卫士
银牌会员

积分 1198
发帖 1176
注册 2006-6-19
来自上海市松江区

#7

怎么系统文件被替换了?怒

※ ※ ※ 本文纯属【微点卫士】个人意见，与【微点交流论坛】立场无关※ ※ ※

[img]http://v.t.qq.com/cgi-bin/signature?name=mpguard&sign=26fc347cc5c2e739a337896675ca533cb68324b6&type=2[/img]

2008-5-2 10:51

囚中城
版主

微点茶室甜点师

积分 3808
发帖 3688
注册 2006-1-3
来自拿灵魂换生命的地方

#8

TMPB.TMP
临时文件吧

※ ※ ※ 本文纯属【囚中城】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-5-2 11:18

jaber
版主

使用与技巧区版主

积分 2861
发帖 2835
注册 2006-6-6

#9

替换了什么文件？

※ ※ ※ 本文纯属【jaber】个人意见，与【微点交流论坛】立场无关※ ※ ※

XP2（原版未打补丁）
单独微点预升级

2008-5-2 11:20

bilizzard
注册用户

积分 66
发帖 66
注册 2008-4-28

#10

不好意思，微点我直接运行了第一个，就被删除了，后面几个没测试哦

※ ※ ※ 本文纯属【bilizzard】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-5-2 11:32

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号