实战才有意思－－－4月24日实机测试BD动态防御

绅博周幸

前言：AVC刚发布了新一期的测试报告，其中BD和GD同以99.8%的动态成绩排名第一。由于本人非常喜欢BD，而样本区也有不少同学希望本人能够双击测试样本而非只是上报，那么今天本人就来实机测试一下BD的防御能力。

系统环境



测试样本：随机选取4月24日互联网上新出现的10个样本



测试方法以及设置：关闭BD的实时监控，将病毒活跃控制（AVC）以及主动入侵侦测系统（IDS）开到最高水平。由于BD的监控被关闭，所以此次测试BD的B-HAVE扫描引擎以及庞大的病毒库不会发挥作用，也就是看BD对未知病毒的防御能力。





——－－－－－－－－——————————————————————————————————————————

以下是测试部分：

样本1 双击



测试结果：拦截

————————————————————————————————————————————————————

样本2 双击



测试结果：拦截

————————————————————————————————————————————————————

样本3 双击



测试结果： 拦截

————————————————————————————————————————————————————

样本4 双击



测试结果：拦截，病毒被抑制程序停止工作

————————————————————————————————————————————————————

样本5 双击



测试结果：拦截，病毒被抑制程序停止工作

————————————————————————————————————————————————————

样本6 双击



测试结果：此样本需要安装某程序，因此在我机器上无法运行，算无效样本

————————————————————————————————————————————————————

样本7 双击



测试结果：拦截

————————————————————————————————————————————————————
样本8 双击



测试结果：AVC和IDS没反应，拦截失败，任务管理器中出现病毒进程8.exe。此样本是韩国的kraddare，从截图中看BD可用特征码扫描查出来，不过此测试是测防御，因此特征码扫出来不算。不过此样本可直接通过任务管理器结束病毒进程，重启电脑后系统也未见异常，从我搜集kraddare的经历来看，尽管此样本变种很多，但是威胁程度较低。此类样本主要是以削弱系统防御为主，辅助其它病毒入侵系统，大的危害行为倒是没有，不过中了kraddare会增大系统被木马或者其它威胁感染的可能性，随之而来的系统信息丢失几率大增，因此安全公司还是会将kraddare列入查杀范围内。

————————————————————————————————————————————————————

样本9 双击



测试结果： 拦截，病毒程序会删除自身因此双击后样本自动消失

————————————————————————————————————————————————————

样本10 双击



测试结果：拦截，病毒被抑制程序停止工作

————————————————————————————————————————————————————


测试成绩：10个样本，除去6号样本无效，所以实际有效样本为9个。BD的防御系统除对8号样本没有作出拦截外，对其余样本均自动拦截。测试过程中BD的系统监控全程关闭，因此对这些样本的测试也可看作是BD对未知病毒的防御能力。所以最终BD的防御系统对9个样本中的8个进行了自动拦截，无需用户手动操作。

——－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

点评：经过今天本人实机对BD防御能力的测试之后，结果还是非常令人满意的。而一般用户平时使用BD肯定是要开系统监控以及升级病毒库的，因此B-HAVE特征码启发引擎+病毒活跃控制+内置主动入侵侦测系统所组成的一整套BD的查杀和防御体系可有效保护用户系统安全，被病毒感染的几率还是非常低的。不过我还是要奉劝大家首先要有好的上网习惯以及电脑安全意识（如及时更新系统补丁），不然再好的杀软也是白搭，毕竟杀软是死的，人是活的。最后BD2013将于6月底进行公测，相信BD能在新的版本中有更好的改进（如融入云防御）。


特别说明：很多同学对BD的AVC和IDS的理解有偏差。以为BD的AVC和IDS会有很多弹窗，同时将两者开到最高后会有大量误报。这里我要纠正这种说法。BD的AVC和IDS类似与GD的BB是智能型主防，没事不弹窗，弹窗必有事，误报是非常低的，即使将AVC和IDS开到最高后，从我使用的经历来看还没见到随意弹窗的情况，误报我也没见到。虽然BD是智能型主防，但是和GD以及卡巴还是有区别的，即BD的AVC是不带回滚的主防。

wwdboy

貌似样本少了点

绅博周幸

wwdboy 发表于 2012-4-25 07:34
貌似样本少了点

要测旧样本的话我有上百万的样本可测试，但是有意义吗？要测就得测新样本测未知样本，化石样本和已知样本很多已经失去作用了，而且杀软都可以通过特征码查出来。

会用就行

样本只有十个，？。

wwdboy

绅博周幸 发表于 2012-4-25 07:39
要测旧样本的话我有上百万的样本可测试，但是有意义吗？要测就得测新样本测未知样本，化石样本和已知样本 ...

样本少的话典型性会打折扣

绅博周幸

会用就行 发表于 2012-4-25 07:40
样本只有十个，？。

如果你要测旧样本的话我这里有好几百万。现在杀软比的是对未知病毒的防御能力，查已知病毒大家都差不多，防才是王道，杀你能跟得上病毒制造的速度吗。

绅博周幸

wwdboy 发表于 2012-4-25 07:40
样本少的话典型性会打折扣

那你可以看看AVC 3月的测试，30万样本不算少了

LisaLan

双击白加黑和免杀试试

绅博周幸

LisaLan 发表于 2012-4-25 07:48
双击白加黑和免杀试试

那我一会也搞个白+黑双击测试

LisaLan

绅博周幸 发表于 2012-4-25 07:56
那我一会也搞个白+黑双击测试

免杀也试试