ESET 4.0 Public Beta 自我保护测试（新增3项测试）

雨宫优子

测试环境：
VM虚拟机，XPSP3：
              
使用版本：ESET Smart Security 4
               
测试标准：ekrn.exe的进程PID未改变（如果改变就说明进程重启了）
Notes:我想我还是有必要说明一下为什么不把进程重启算成自我保护，进程重启就表明进程有一段时间是退出了的（尽管很短），这段时间内病毒完全可以通过修改服务、使用IEFO来使进程无法重启，因此在这个测试中不把进程重启算为自我保护！
部分安装过程：
  
  
安装过程没变多少，还是原来的几步骤

好了，开始正文测试
本次测试工具：APT、冰刃、Wsyscheck、TwisterText（原是为了测试费尔的，但是可以通用测试）
一、首先用普通结束方法（任务管理器）

的确有改进，不单是使用服务自保了
二、APT测试：

全部失败
对照组试验（ESS 3.0）

好了不少
二、TwisterText测试
进程PID：

（注：此部分全都是使用R3等级结束，使用R3结束时，R0级选项无效）

为了节省时间，我就不一一贴图了，但是大家可以看到，直到测试到最后一个，ekrn.exe的进程PID都没有改变

下面使用R0级结束，使用R0级结束时，R3选项无效
普通暴力

依然屹立，很好
可是....使用暴力方法一时..
进程被结束，电脑也死机了...
勉勉强强截到一张图，（桌面不见，但是explorer.exe还在，足以证明我虚拟机死机了）
估计可能是驱动兼容性问题，或者有一种很神奇的猜想，难道说进程被结束后会自动锁定电脑？！（仅仅是猜想，80%不正确 ）

接2楼

[ 本帖最后由 lingbo110120 于 2009-2-6 13:33 编辑 ]

雨宫优子

三、冰刃
冰刃测试结果不容乐观...
结束前：

结束后：

还没有用到最厉害的强制结束呢，不过也很正常，用冰刃结束很多杀软都这样...
四、Wsyscheck测试
结束前:

结束后：


五、APT4.2测试（补充）

16个方法全部失败
六、测试进程被结束后是否仍然能保护系统
测试物品：TwisterText中被报的SYS

结束前扫描日志：
C:\Documents and Settings\Administrator\桌面\killvv.sys - Win32/Rootkit.Agent.NGH trojan
使用Wsyscheck镜像劫持并结束进程


进程被结束：

现在释放那个驱动（这个图真难截）。。。

监控失败，试试能否扫描

很遗憾。。。失败了，但是右下角还是绿色的。。
其实我个人觉得这个测试没什么意义，因为监控进程不存在了，当然不可能监控了。。。
一个小插曲：当我删除ekrn.exe的IEFO后，ekrn.exe居然没有重启，手动启动闪一下就不见了。。。
后来在服务中启动它才行。。
七、Wsyscheck补充测试
让我们来测试一下不加载驱动时，Wsyscheck是否能够结束ekrn.exe

PID:1844
尝试结束ekrn.exe...

ekrn.exe闪了一下，但是进程PID并未改变，结束失败！
不过也很正常，不挂驱动结束有保护的进程还是为难他了
  好了，测试到此就结束了，从这里可以看出，ESS4的自我保护的确增强了不少，进步挺大，看来我们的等待还是没有白费的

测试工具下载见三楼....

PS：测试过程中，因为我忘记了IEFO项的注册表位置，去百度搜索了一下，点到了一个挂马的网站，ESS4还不错，拦截下来了

这世界真的是到处都有挂马啊.....

[ 本帖最后由 aarwwefdds 于 2008-11-23 15:19 编辑 ]

雨宫优子

工具下载



——————————————————————————————
TwisterText其中一个SYS可能会被报为病毒，因为这个SYS就是程序加载测试杀软的，所以会被报



[ 本帖最后由 aarwwefdds 于 2008-11-23 15:15 编辑 ]

lingbo110120

支持啊
我转转转~~~

ljj

不错，有进步！

gsl9583306

好贴，顶一下先。看来eset4.0自我保护是强大多了

la9975956

精品帖子，强力支持了！

god70

至少不是现在我直接可以在任务管理器里结束啊。。
呵呵~~这进步能让人满足了

kav2046

很高兴看到ESET4.0的自保护加强了，希望在正式版时能做得更好！

ddd243346081

好事啊！顶了