微点主动防御软件测试方法全攻略

killerwhale

本篇帖子比较长，看起来可能比较累，推荐大家下载Word文档观看   转帖请注明出处

                            目录

一.测试准备篇

二.测试入门篇

三.测试进阶篇

四.测试高级篇

五.统计发布篇

前言：

微点主动防御软件的测试已经在卡饭扫描区持续了四个星期，微点测试的步骤也基本摸清。在此以本文做一个总结，作为卡饭微点测试小组测试的参考标准和有志于参加测试的朋友的教程。因为目前为止并没有一个专业测评机构进行主防测试，所以本文纯属摸着石头过河，如对本文有任何意见，请不吝赐教。邮箱：lx_killerwhale@yahoo.com.cn
谢谢！

                                            —— Killerwhale
                                                2008年8月1号

一 .测试准备篇

1.测试硬件要求：
最低配置：
CPU：
Intel Pentium Ⅳ 以上
内存： 512M以上
硬盘： 3G以上空闲空间
鼠标： 罗技 MX Air以下（测试微点鼠标提前退休是肯定的事，为了不给您造成严重的财物损失，如同MX Air这样过于贵重的鼠标请勿参加测试！）
PS：测试使用的电脑必须能连接到Internet

2.测试系统：（指虚拟机里安装的）
注意微点官方声明：由于病毒在不同的操作平台上实现的功能不尽相同比如在XP下运行现象为A在2000下运行现象是B，或者在打了部分安全补丁的情况下运行现象是C，在未打补丁的情况下运行现象是D，又或者本身存在的一些BUG，在部分系统就不能运行，没有现象等，另外还有一些在虚拟器下没有现象在实际系统中才会运行，测试平台的不一样是有可能导致现象的不同，属于正常。
因此测试的理想状况是：安装上Microsoft Windows 2000/XP（sp1、sp2、sp3）/2003/Vista sp1所有系统。不过对于大多数人来说这显然不现实，我们推荐如果你有虚拟机就完全没有更改系统的必要，没装过虚拟机的直接安装XP SP3就好了。
（测试系统对结果的影响：某些病毒是针对系统漏洞的，如果你的系统补丁打得很完美，病毒自然无法发作，微点显然无法拦截。同样精简版系统由于精简掉某些病毒可能用过到的组件也会有相同的问题。但使用一个漏洞百出的过时系统例如我们测试小组采用的04年原版XP SP2也有新的问题，现在很多病毒作者偷懒，自己编的病毒兼容性太差，仅仅在SP3下测试通过，在老系统下根本无法运行。（在此BS一下这种毫无敬业精神的做法）。因此我们提倡测试系统的多样性，每天发布结果后也希望广大点饭在自己使用的系统上对结果进行复查，以便我们修正结果。谢谢！）

3.测试的微点版本：
微点试用版，正式版和预升级（根据目前测试表明试用版和正式版本效果无任何差异。预升级效果比正式版稍好，根据个人使用结果预升级版本也相当稳定。）
注意：只要是安装在同一台电脑上，在虚拟机中将微点注册为正式版并不会影响到主机上微点的使用。如果申请预升级填写的资料越详细越好，推荐写上自己是清华博士。

4.测试前准备的软件
（1）微点安装程序（废话）
（2）Winrar（解压样本必备）
（3）虚拟机软件
推荐VMware_Workstation_5.5.3_34685汉化版
下载地址：http://www.crsky.com/soft/8612.html
（4）传统HIPS软件如EQ（非必备）
（5）由于微点的防火墙没有MD5值验证
推荐另外加入其他防火墙如outpost（非必备）

二．测试入门篇

——此篇仅献给从来没有用过虚拟机测试过病毒的新手，老鸟请直接无视。

1. VMware虚拟机的安装和使用：
这里提供一个教程，虽然是介绍跑跑双开的，但是虚拟机的安装和VMware Tools的安装是很清楚的，我就是看这个教程学会的。在这里要谢谢Jesscia哓锐创作了这么好的教程。注意吐血推荐安装VMware Tools这个功能！它能方便的实现主机和虚拟机之间文件自由的拖动，但是又不影响安全性。
教程地址http://hi.baidu.com/tangrui6556/blog/item/87baec16809b3e4e21a4e964.html
（如仍有问题请到卡饭虚拟系统交流区提问求助http://bbs.kafan.cn/forum-87-1.html）
2.安装微点
Winrar  HIPS 防火墙  虚拟机等测试常用软件并加以升级。

3.设置虚拟机快照。
这是VMware里的一个很常用的功能，功能类似于XP中设置的还原点，但是还原速度快了很多。配合VMware Tools使用起来更是得心应手。在测试过程中不慎感染病毒了怎么办？可以先把测试剩余的病毒打包，然后用鼠标直接拖动压缩包到主机，然后运行快照还原，把虚拟机还原到无毒环境下，再把压缩包从主机用鼠标拖回虚拟机，即可在无毒环境下继续运行剩余病毒，相当的方便。

注意：因为测试完成后必须要把系统还原到无毒状态，因此请务必保证至少有一个快照是在干净无毒的时候设置的
严厉禁止开启虚拟机的共享功能


4.下载病毒进行测试
好了，测试前的准备终于大功告成，现在就可以下载样本包，解压后运行运行。微点很快就会弹出报警框（如图所示），把病毒连同其衍生物KO。
看完以上教程平时没事干去样本区逛逛，体验一下虐杀病毒的快感或者复查一下我们每天发布的漏杀病毒样本就基本没有问题了。如果对参加Kafan Virlist的测试有兴趣，请看测试进阶篇。

三．测试进阶篇

——本篇献给有意向参加Kafan Virlist的测试的朋友。注意Kafan Virlist测试在内容和处理手法上不适合小白运行样本，样本可能使用轻微不良手段和少量“非法、暴力及恐怖内容”，建议有大虾指导。我们也不建议工作学习紧张的朋友参加以免影响你的正常生活。
注意：主防测试将不包含Kafan Virlist样本中*.dll文件和*.sys等不能有效运行的程序（加载*.dll由于成功率不高和时间不充裕等原因暂时不予考虑）

1.微点的设置
（1）升级方式设置为手动升级。（由于Kafan Virlist测试要求杀软的更新时间必须要在每天18：00以前，所以请特别注意以免在测试过程中微点自动升级，那你今天的工作可就白干了，每天在17：50左右打开虚拟机升级微点即可。）
（2）务必把微点程序行为实时监控策略调成询问后处理，询问等待时间设为300秒，并且推荐把报警时播放声音打开。（因为有些病毒防止被杀软查杀和用户发现设计了“自杀功能”，调成静默模式无法判断到底是微点把病毒杀了还是病毒自杀了。）
（3）关闭微点防火墙。（微点的防火墙简约而不简单，开着防火墙会导致某些需要联网的病毒无法发作影响检出率。）

再次重申测试前禁止设置自动处理 禁止设置自动升级 禁止打开防火墙。
2.下载病毒包进行测试
（1）每天到虚拟机中下载样本压缩包
。在无毒状态下设置一个快照。解压缩包（过程中微点会把在特征中的病毒删掉，依次运行*.exe病毒（注意！防止漏掉自杀的病毒，每次只能运行一个病毒，建议不要走神）若病毒的源程序会被微点报警删掉,则判定为处理成功。没有被微点报警并且删除源文件的病毒处理方法参见测试高级篇。建议每测试10~20个病毒设置一次虚拟机快照（因为有些病毒运行后会造成系统蓝屏
很可能不能正常重新启动电脑）
吐血建议在测试过程中将微点未杀的病毒按以下文件夹进行分类摆放。

（2）最后将未杀病毒打包拖动到主机，还原虚拟机到无毒状态下的快照。再从主机把漏杀的样本包拖回到虚拟机系统，再次运行病毒，看微点是否报警。
（为了测试结果尽可能准确请重复进行2次左右
并且每次运行每个样本3次以上）

（3）微点不杀的病毒大约有以下几种情况，处理方法参见测试高级篇。
1.
病毒运行后自杀（就是运行后微点并没有报警
但是病毒源程序运行一段时间后自己消失）
2.
病毒运行后系统蓝屏
3.
病毒运行后微点报生成的衍生物但是没有删除源文件
4.
病毒运行后没有任何现象



[ 本帖最后由 killerwhale 于 2008-8-1 13:55 编辑 ]

killerwhale

四．测试高级篇

——本篇介绍了在进阶篇中测试遗漏的病毒处理方法，本篇推荐使用专业防火墙和传统HIPS帮助判断。
在开始测试以下现象的病毒之前
请务必还原虚拟机到无毒环境下。

第一种：自杀病毒
病毒自杀后，首先请从下载的Kafan Virlist压缩包里重新解压出来，放置到分类文件夹中标明。最后还原到无毒环境中复制若干份，运行所有的病毒拷贝。运行结果分以下两种情况：
（1）如果仍然自杀成功并且一段时间后微点仍无反应，判断为拦截失败。（根据目前测试结果表明：运行后产生自杀现象的病毒大约有50%确实是微点拦截失败）

（2）病毒自杀后一定时间后如果报警改病毒及其衍生物，判断为拦截成功。（因为有些病毒是自杀后延时发作的）
第二种：蓝屏病毒
导致系统蓝屏不一定是病毒发作造成系统崩溃，还有可能是病毒运行过程中与微点的监控模块产生内存冲突。（根据目前测试结果绝大多数蓝屏现象是由于与微点监控冲突而非病毒本身所导致的）有以下两种方法判断拦截是否成功：
方法一
1.关闭微点，运行一次病毒。
2.打开微点，再次运行病毒，有一定可能性这次就不会产生蓝屏，微点可以正常查杀（原因未知）。
3.如果继续蓝屏，参见方法二。
方法二
1.关闭微点
打开HIPS
运行病毒
看看病毒有哪些恶意动作并加以记录
2.打开微点
把HIPS设置为自启动
运行病毒
导致蓝屏
3.重新启动系统，对照第一条微点或者HIPS日志中记录的恶意动作加以检查
没有发现相应的恶意作行为的算拦截通过；发现恶意行为的算拦截失败。

第三：微点只杀衍生物的病毒
这是最难以判断的情况，需要判断者较高的技术水平和经验。使用过HIPS可能在这方面更加有优势一些。希望判断这种病毒的时候尽量谨慎，尽量与其他人合作判断我的HIPS水平也仅仅是入门，出错的地方请大家不吝赐教。（根据目前测试结果表明绝大多数只杀衍生物的病毒残余文件是没有危害的，即表示微点的拦截是成功的）
判断的标准是：不残余对系统有危害的衍生物；不残余对系统有危害的进程；不残余对系统有危害的注册表项。

以上三点必须同时全部符合才能判断为拦截成功。
介绍一个判断拦截成功的病毒实例帮助判断：这是Kafan Virlist[080727]的一个样本3-3.exe（传说中的清纯美女病毒）。运行后微点并没有删掉3-3.exe这个病毒而是杀掉了两个个衍生物winss.exe和del.exe。如图所示：

这种情况下如何判断拦截是否成功呢？
这时就需要靠微点或者传统HIPS的日志来分析了。

微点的程序生成日志：  
创建时间     文件名     创建者
2008-07-30 17:07:30   C:\WINDOWS\WINSS.EXE

C:\DOCUMENTS AND SETTINGS\LX\LOCAL SETTINGS\TEMP\IXP000.TMP\DEL.EXE
2008-07-30 17:07:28   C:\DOCUMENTS AND SETTINGS\LX\LOCAL SETTINGS\TEMP\IXP000.TMP\DEL.EXE
C:\WINDOWS\2.EXE
2008-07-30 17:07:26   C:\WINDOWS\2.EXE

C:\DOCUMENTS AND SETTINGS\LX\桌面\080727-3-3.EXE

微点注册表日志：
创建时间   键   名称   原数据   新数据   创建者
2008-07-30 17:09:21
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\
WEXTRACT_CLEANUP0
RUNDLL32.EXE C:\WINDOWS\SYSTEM32\ADVPACK.DLL,DELNODERUNDLL32 "C:\DOCUME~1\LX\LOCALS~1\TEMP\IXP000.TMP\"
C:\WINDOWS\2.EXE
2008-07-30 17:07:31
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TIMES\
IMAGEPATH

C:\WINDOWS\WINSS.EXE
C:\DOCUMENTS AND SETTINGS\LX\LOCAL SETTINGS\TEMP\IXP000.TMP\DEL.EXE
2008-07-30 17:07:28
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\
WEXTRACT_CLEANUP0
RUNDLL32.EXE C:\WINDOWS\SYSTEM32\ADVPACK.DLL,DELNODERUNDLL32 "C:\DOCUME~1\LX\LOCALS~1\TEMP\IXP000.TMP\"
C:\WINDOWS\2.EXE

通过以上生成物和注册表分析，大家可以看到3-3.exe发作的过程：首先3-3.exe只产生2.exe这个类似于安装文件的衍生物，然后2.exe生成del.exe，del.exe继续生成衍生物winss.exe ，同时2.exe试图修改注册表使WINSS.EXE开机自启动。很可惜 这罪恶的企图被微点发现直接删除了del.exe和它的衍生物 winss.exe导致病毒后续运行出现错误。如图：




病毒并没有产生应有的后续危害，原先产生的恶意衍生物被删除。修改的注册表自启动项由于要运行的程序已经被微点杀除也成了白费功夫。 因此我们可以判定这个病毒实际上微点已经成功拦截。剩下的2.exe和3-3.exe对电脑完全没有威胁，大家可以放心的尽情欣赏病毒弹出的清纯美眉图片而不用担心中木马了。
由于上面方法太繁琐，在某些情况下可以采取一个“偷懒”的方法——结果分析法。比如著名的AV2009，众所周之，它产生的危害就是强行改变用户系统桌面。如果你运行AV20909某个变种时，微点提示删掉了一个衍生物并且你的桌面没有被更改，即可说明微点防御成功，不需要经过上面繁复的过程。

第四种：运行后没有任何现象的病毒
由于卡饭病毒测试小组每天在发布前会对测试样本包进行核查，重点排除病毒尸体和误报，出错概率极小。因此经验不足的只需要判断病毒是否能够在测试系统上成功运行既可。（当然老鸟可以自己分析一下病毒的行为看看是否误报）
打开防火墙和HIPS运行病毒看病毒是否会：
产生衍生物？更改注册表？生成启动项？连接互联网？改变系统的设置（例如时间等）？只要出现以上现象其中之一，即可判断微点拦截失败。如果无任何现象初步判断为尸体或者病毒兼容性太差无法在此系统运行。请与其他测试者联系在不同操作系统下复查，如果仍没有反应请与发布或复查那个样本包的DZ成员短信联系。

五．统计发布篇

1.记录今天样本包中样本总数和*.dll等不能运行的文件个数，计算出总的*.exe样本个数。

2.在解压缩过程完成后对照样本总数和*.dll等不能运行的文件数，计算出特征码删除的*.exe个数和删除的dll 等不能运行的文件个数。

3.完成主防测试后统计剩余*.exe病毒数，计算出主动防御拦截的*.exe样本数。

4.计算百分比 （如果只有*.exe样本，只需计算第一个百分比）
（1）第一个百分比计算方法为
（特征码删除的*.exe + 主动防御删除的*.exe）/（总的*.exe样本个数）。
（2）第二个百分比计算方法为
（特征码删除的*.exe+主动防御删除的*.exe +特征码删除的*.dll等不能运行的文件个数）/（样本总数）。

5.对测试结果进行截图，截图时请务必把微点的具体升级时间也一起截上。

6.对剩余样本进行打包。

打包时注意一下自己上传单个文件的大小是有限制的。不会分卷压缩的（汗一个）看这里：http://hi.baidu.com/idownload/blog/item/5cc29d0a1796571c94ca6bb5.html

7.上传压缩包和截图。
不会进行图文混排的（再汗一个）看这里：http://bbs.kafan.cn/faq.php?action=message&id=17

8.最重要的一步：打包上报未杀样本给微点（上报邮箱virus@micropoint.com.cn不要忘记设置压缩包解压密码并在帖子里附上密码。正常情况下48小时之内即可可收到回复），微点的发展离不开大家的支持！

特别鸣谢

感谢卡饭微点测试小组全体成员（以开头字母为序）：

啊弥陀佛             chengguizi  
风吹我走                  hsly109   
Killerwhale             shmily512099
微点卫士                    野马
这些天来的辛勤劳动和共同努力。
感谢卡饭微点区版主：polly5771对测试的帮助和鼓励
感谢点饭技术总监：046596对测试提出的宝贵意见
感谢卡饭病毒测试小组每天收集 整理 核查 发布样本付出的努力
感谢无限梦幻测评室在卡饭扫描区对主防测试作出的榜样
最后感谢大家对微点主动防御软件测试的关注和支持，欢迎常来卡饭论坛扫描区http://bbs.kafan.cn/forum-86-1.html对我们的测试进行复查
讨论
有任何批评和建议欢迎跟帖说明。谢谢！




[ 本帖最后由 killerwhale 于 2008-8-1 13:50 编辑 ]

风吹我走

哈哈,来~好XE, 原创TIE
测试者必看的内容.


这样虽然测试累了点, 但是还是比较公正的.
微点不是神,只有大家的努力, 才能让微点进步, 让我们看着他成长吧~~

[ 本帖最后由 风吹我走 于 2008-8-2 09:56 编辑 ]

微点卫士

占楼，支持鲸鱼杀手，期待

风吹我走

原帖由 微点卫士 于 2008-8-1 11:31 发表
占楼，支持鲸鱼杀手，期待

鲸鱼杀手,这个名称我喜欢
不知道killerwhale什么反应呢

Nblock

刚刚好像又发现了一个BUG  先放在这

killerwhale

呃……  ls想说什么  抱歉   我没有看明白  

我爱舒畅

占楼阅读

PlayWill

支持··
鹦鹉来加精吧

雷语

占座，学习