查看: 9540|回复: 35
收起左侧

[分享] 小测试:安全地带-网银盾 and 防火墙

[复制链接]
Q1628393554
发表于 2014-12-22 10:51:37 | 显示全部楼层 |阅读模式
一、背景
       众所周知,最近avast的抽风让很多人失去信心,我也曾发过这样的帖子http://bbs.kafan.cn/thread-1784376-1-1.html 这期间第一次体验了F-secure,因为教育网跳墙连fs服务器,导致云引擎延迟,结果严重卡网,放弃了。又试了下毛豆,杀毒确实可以杀不少样本,不过对于hips部分有很多东西要学,也确实没时间折腾了。最终,我又回到了avast加火绒的组合,avast为IS版,火绒只开了单步系统防护,就为了简单控制下系统,另外再保护下自己添加的文件。(这里额外说下,如果同时开avast的监控+火绒未知病毒拦截,系统性能会有巨大影响,另外,火绒的拦截,比如捆绑软件拦截,如果某安装包要在avast沙盒中运行,而正好被识别为捆绑软件,那么火绒的拦截会使软件退出沙盒实机运行。)
        再来,avast区最近一片萧条落寞的景象,于心不忍,无奈小白我这几天有时间但一直没技术,只能在这里活跃下气氛,让大家增进多小a的好感。大家看后请轻喷,如果大神能对本无脑测试提供技术指导本人感激不尽。
        以下主要包括安全地带的安全性测试,在安全地带中使用网银盾及防火墙端口扫描功能的测试。环境是win7 32位。说是测试,其实我觉得说体验更好。不过所谓了,大不了丢人现眼,然后再虚心学习
二、测试
1、安全地带的安全性
       首先说下安全地带的定位,安全地带是一个虚拟的环境,可以和系统隔离开,这样虽然系统可能已经中毒,而用户没有察觉,但在安全地带中操作依然是安全的,这和沙盒的防护方向相反。安全地带可以防止键盘记录,防截屏。
       听说有个Anti-KeyLogger Tester软件,可以以多种方式记录键盘的,这里尝试了下。

这个截图貌似没什么意义,只贴几张图吧。测试按照先启动AKLT→按键→检查记录结果→启动安全地带→按键→切回桌面→检查记录结果→按键→检查记录结果。
软件一共有7种记录方式,每种方式会得到3个结果。
最后结果是可喜的,所有方式在安全地带中都无法记录键盘
       这其中,DirectX方式火绒捕捉到一个加载全局钩子的动作,已使用允许。

JournalRecord Hook记录方式,初次启动有效,在切换到安全地带后退后桌面,有如下提示,无法再测试。

其他记录方式都是第一次启动记录键盘,在启动安全地带后,无法记录键盘,切回桌面后又可以记录键盘。
由此可见,在安全地带中防键盘记录还是很有效果的。但这里有个问题,我目前使用bing输入法,在安全地带中,输入法有效,可以输入中文,那么输入法程序就记录了键盘输入,这个是否安全?


2、安全地带中使用建行网银盾
         遥想当年,安全地带是个相当封闭的环境,根本不可能使用网银盾,但现在不同了 貌似从2014版起就已经可以了。
我目前使用的是建行,在安全地带中,可以成功调用网银盾,并支付成功,不过有个插件奔溃的提示,但没有影响使用。所以大家以后可以尝试在安全地带里使用网银盾啦
风险进程:C:\Program Files\AVAST Software\Avast\sfzone\SafeZoneBrowser.exe
风险动作:加载全局钩子
用户操作:已忽略
目标:C:\Windows\system32\WatchData\Watchdata CCB OCL CSP v3.2\hodll.dll


另外,安全地带可以自定义添加应用程序,在添加的过程中,小a会检查签名,无签名提示风险,有签名的直接确认就可以。


3、防火墙端口扫描
        这个我不懂,只说现象。发现个网站http://tool.chinaz.com/port/说“通过该工具可以扫描常用的端口和指定的端口是否开放。 ”
在关闭系统防火墙和avast防火墙时,结果下:

开启avast防火墙,设置如下:

重新扫描,页面停留在这里无法继续加载:

防火墙日志如下:




三、结束
        好了,都测完了,不知大家有何感受,我觉得在安全地带里用网银很爽,嘿嘿。希望大家能对小a产生那么一点点好感。
本来应该等着挨骂,然后虚心向大家学习,无奈现在只是两次考试的间隔,我还要准备下科考试,大神指出的错误我可能没有精力即使修改,还请见谅。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2分享 +1 魅力 +1 收起 理由
ikimi + 1
屁颠屁颠 + 1 感谢提供分享

查看全部评分

zgy3073
发表于 2014-12-22 11:45:31 | 显示全部楼层
1.用火绒和小a搭配,表面没什么,不知道有没有隐形冲突。这两个搭配在装VBOX时会蓝屏,实验过2次,都蓝屏。
2.根据楼主描述,用火绒基本上用于防流氓。如果小A加强模式有黑名单,不认数字签名就好了。简单的AD,阻止未知文件运行,对防流氓,U盘病毒估计能有不错的效果。
3.两者搭配,小A不要使用加强模式,使用了由可能进不去系统,实机试过,只能进安全模式先搞定一个。
4. 3A默认情况下有些文件不扫描,建议发现了自己添加进去。如果选择监控所有导致卡机。比如CAD病毒VLX,实机实验,3A默认状态下没有一个拦截的。加入自定义,或者监控所有,都能轻松搞定。不是能力不行,就是没有监控那种类型文件。
Q1628393554
 楼主| 发表于 2014-12-22 21:17:58 | 显示全部楼层
zgy3073 发表于 2014-12-22 11:45
1.用火绒和小a搭配,表面没什么,不知道有没有隐形冲突。这两个搭配在装VBOX时会蓝屏,实验过2次,都蓝屏。 ...


1、还是我之前说的,我这正常,上次回你说ng的,你装了吗?
2、之前在官方论坛看过有人提加hips的功能,隐约记得当时说是不会加。
3、这个貌似比较惨,幸亏我加强模式从来没开过。
4、右键扫描还是很有必要的啊,
感谢提醒
你在另一个帖子里说用文件防护的,这我不清楚,但好像记得谁说过,说在产生文件防护可监控的缓存前,代码已经在浏览器里执行了,不知是不是这样。
天蓝色的忧伤
发表于 2014-12-22 21:53:13 来自手机 | 显示全部楼层
顶贴,小a区惨淡时候楼主这样的帖子是极好的
Q1628393554
 楼主| 发表于 2014-12-22 21:59:47 | 显示全部楼层
天蓝色的忧伤 发表于 2014-12-22 21:53
顶贴,小a区惨淡时候楼主这样的帖子是极好的

感谢支持啦
话说不用顶,惨淡的一时半会儿帖子都沉不下去
天上的井
发表于 2014-12-22 23:46:06 来自手机 | 显示全部楼层
曾几何时,我也用过不少时间的小a,我对它没有什么太坏的印象,虽然现在不用了但还是会继续关注。
zgy3073
发表于 2014-12-23 09:01:04 | 显示全部楼层
Q1628393554 发表于 2014-12-22 21:17
1、还是我之前说的,我这正常,上次回你说ng的,你装了吗?
2、之前在官方论坛看过有人提加hips的功能 ...

我这不是固态硬盘,没有ng的,安装的时候也就没有ng,不能选择不安装。
至于代码在下载之前就在浏览器里执行,我也不知道是不是这样。如果是不知道小A的安全地带能不能防护这种代码。
Q1628393554
 楼主| 发表于 2014-12-23 19:29:17 | 显示全部楼层
天上的井 发表于 2014-12-22 23:46
曾几何时,我也用过不少时间的小a,我对它没有什么太坏的印象,虽然现在不用了但还是会继续关注。

话说现在小a在大陆的用户量正逐渐减少呢,现在大约81万
Q1628393554
 楼主| 发表于 2014-12-23 19:31:41 | 显示全部楼层
zgy3073 发表于 2014-12-23 09:01
我这不是固态硬盘,没有ng的,安装的时候也就没有ng,不能选择不安装。
至于代码在下载之前就在浏览器里 ...

貌似更新到最后不需要固态硬盘就可以用ng了,我没去关注。
如果代码在浏览器里执行,安全地带应该防不了,感觉这防护不是一回事。
1094947421
发表于 2014-12-24 15:46:38 | 显示全部楼层
现在爱卫士只装文件和网络防护,关闭行为分析,实时防护关掉执行时扫描,搭配火绒实时防护低(只监控执行),未知病毒(高)+严格防护+幽冥龙的规则。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 20:21 , Processed in 0.131300 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表