查看: 4479|回复: 19
收起左侧

[江民] 江民,到底值不值得选择!

[复制链接]
烤糊的芋头
发表于 2009-1-5 15:10:19 | 显示全部楼层 |阅读模式
今天上午闲来无事,准备给朋友推荐超级兔子快乐影音,于是到超级兔子的官网去找下载地址。结果让我看到了江民和兔子合作的2008 90天版的下载。一时心动,准备拿来试用一下!

话说,今天之前,在我心目中,江民一直是国产安软的技术第一名。虽然经常看到有人反映,江民的兼容性不好,但是我仍然认为江民技术上很过硬。尤其是从2008开始,增加了主动防御模块,对病毒的防范据说更加强悍了!而且江民的主防在业内也是很叫的响的。

废话不多说了,下载完成,拖入虚拟机,开始安装。一切都挺顺利。上午的升级速度也很快。升级完成,主界面显示江民2008,病毒库日期1月4日。

因为前两天测试了另外一个安软(为避免被喊成枪手,此处隐去另外安软的名字),虚拟机也没有用快照,直接卸载安装的江民。刚开始表现还不错,上来就在我的system32里面抓了一个dll。应该是之前测试的时候漏过的。

我是1月2号测试的,虚拟机里面保留的都是1月2号的样本。有视频图标40x(二),30x,GatherX49,0102-2238这么几个。加起来大概有100多个样本吧。其实40x和30x都是一个样本,入库一个,一包就全杀了。

30x的是文件夹形式的,没有压缩(上一个测试的安软就是一个也不报,我就没动)。江民也不报。解压缩40x,仍然不报,解压缩GatherX49,江民还是没动静。我的汗下来了。打开设置仔细看了看。发现我除了即时通讯监控意外,文件监控,邮件监控,脚本监控,网页监控都是打开的。

这可是1月2号的样本啊!今天已经5号了,居然一个也不报。难道江民的工程师也放假?那昨天也该上班了啊!

手动扫描吧。结果江民开始扫描内存中所有进程,扫描了500多个文件,然后开始扫描我指定的文件。所有样本静静的躺着,江民依然不报。不过江民自己在系统文件夹下面又多扫出2个病毒来。这里我不得不说我很崩溃,因为在后来的一系列测试中,这个自作主张的扫描系统关键区域(大概是这个意思吧)总是不停的出现。即使刚刚扫描完~~~~

看来测特征码是彻底没希望了。实在是不甘心啊!测测主防吧。于是解压缩0102-2238这个样本包,一共是三个文件,去掉exe后面的数字2,将三个文件变成可执行文件。然后……双击。江民的提示框出现了……我再一次崩溃掉。因为提示框上面显示威胁是1星,提示是某进程试图在c:\windows路径下创建1.exe,建议是允许。OK允许一下,看看后续的动作吧!允许完了以后,没动静了。很快Explorer进程报无法读写内存出错,然后系统重启,启动菜单里面赫然出现了tavo,kavo两个启动项。江民依然没动静!这就是传说中的主防?这……这甚至比风云的简单FD还不如呢!!!

此时,任务管理器里面看不到任何可疑进程。但是鉴于启动项里面两个可疑项目,我可以很肯定的说,病毒已经在运行了,而且肯定采用了某种隐藏进程的方式。不管它。继续测。

这里出现了一个小插曲,蛮有意思的!

在扫描某个文件夹的时候,扫描完成后,江民突然提示,是否开启可疑文件检测(后来实验数次,无法出现,不知道是在什么条件下才会出现……囧)。让我无比沮丧的心稍微振作了一点。立刻选择是。江民开始检测了。很快,江民提示了两个可疑:“VBoxService和VBoxtray”,可疑程度14%,然后问我是否上报。我看着windows路径下的1.exe和2.exe超级无语…………

插曲完毕,接着说正题!

我临时从卡饭找了一个样本包,75x,鉴于1月2号样本包的表现,我已经对这个特征码检出率不抱希望了。不过还好,解压缩出来,一共是两个文件夹,第一个文件夹下的文件被报警了。不过只报了1个。根据我的猜测,这些样本应该都是同一个类型的,特征码差不多才对。可是反复打开关闭文件夹,都没反应。我又想运行了。因为样本都是用Video(x).cfg来命名的,我就想手动把cfg改成exe,谁知道鼠标点上去,江民就报一个杀一个,一个文件夹的文件点下来,全杀了。囧死了!

这里我得解释一下,江民的这个表现,应该跟之前运行过样本有关系。进程中肯定有病毒在干扰江民的检测。因为后来我做复现的时候,解压缩江民能够识别的样本全都被杀了!

考虑到第二个文件夹里面的样本都没有报警。我直接在第二个文件夹下修改了一个文件,双击运行。依然是创建文件的1星提示。这次又多了两个修改注册表run键值的提示。不过只要创建文件允许了,就OK了。我运行的是个fakealert样本,自动弹出一个虚假网站,要求我下载安装一个名叫System Security的虚假安软。后面我就不描述了,总之整个过程,江民都很安静的待在那!!

测试到这里,我对江民已经相当失望了。因为之前没有截图(其实截了一部分,我都是直接用QQ截取发给朋友们看来着),我想等我吃完中饭回来,快照还原一下,然后复现整个步骤。

结果,吃完饭,回来发现,江民自动升级了,升级结束以后在扫描呢。并且把之前不报的样本都干掉了!不过还是漏了一部分。我按照预定的计划,恢复了快照,重新安装升级,再次解压测试。这次,所有的样本都被干掉了!查看病毒库版本,已经从上午的1月4号变成了1月5号!!

来给我这次的江民2008试用做个总结吧:

首先特征码入库的时间要用3天,这对于目前的安全形势来说,很难说能够满足用户的要求。

其次就是主防模块,实在让人失望。不客气的说,免费的风云提供的主防功能都超过了江民。在我运行的几个样本当中,没有一个能够看到具体行为的。只是一开始的在windows文件夹下创建文件触发了FD规则产生了报警而已。而如果这个样本够聪明,不在windows文件夹下创建文件呢?很多这样的样本的。很多灰鸽子在临时文件夹下生成样本以后直接注册成服务。如果没有对进程的行为进行监控,那还能叫主防么?另外,修改run键值的提示,虽然提示的很清楚(江民的提示框也很囧,因为路径或者键值太长了,基本上显示不完整,需要用户刻意的去查看才行),但是普通用户怎么会知道那一串字母代表的是什么意义呢?还不如360的主防提示的清楚(xx程序添加一个自启动项)

最后,在中午吃饭回来以后,虚拟机里面的江民自动更新到了1月5号的病毒库。并且自动扫描了(不清楚是只扫了关键部位还是全部扫描了),也干掉了我的文档下面的样本包,但是对于c:\windows下面的1.exe,2.exe和启动项里面的tavo.exe,kavo.exe完全无视。入库晚不要紧,你要保证能杀干净啊!Norton的入库也很被人诟病,但是Norton在清理病毒的时候非常的细致,从浏览器缓存到生成物,注册表项全都清理干净。既然不能保证第一时间拦截,那么好事后也得清理干净吧!!

本来准备下午做个复现,然后截图来说明的。结果江民升级了病毒库,复现已经没法做了!图我截了一些,但是都不是最有说服力的。我就不贴图了!

江民真的让我很失望。国产的几个安软,都有很多监控项目。文件监控,网页监控,邮件监控,即时通讯监控。其实,真的做到极致,就是一个文件监控,无论是网页,即时通讯,邮件,最终都会写入你的磁盘,如果监控做得好,哪里需要那么多没用的监控组件呢?监控组件多,反而漏毒的情况更多了。这只能说引擎实在做的不好!另外,跟风炒作了好几年的主动防御了,结果甚至跟某些免费的工具提供差不多的功能,甚至还不及,真的让人很失望!

这样的江民到底值不值得选择,大家心里都有一个答案~!相信不用我多说什么了~!

PS:今天测试的是2008,有空我试试2009。我的一个朋友说,2009的功能要强大得多。希望真的如此!!

再PS:GatherX49包的地址:http://bbs.kafan.cn/viewthread.php?tid=399144&highlight=49
           0102-2238包的地址:http://bbs.kafan.cn/thread-381460-1-2.html
           能回滚病毒库的朋友不妨试试,1月4号的库,2008版的KV,是不是跟我的描述表现一致!!

[ 本帖最后由 烤糊的芋头 于 2009-1-5 15:29 编辑 ]
chesterzhao 该用户已被删除
发表于 2009-1-5 15:26:20 | 显示全部楼层
真的像lz说的这样嘛?
国产杀软中我对江民的印象还是不错的~
btx0825
发表于 2009-1-5 15:29:28 | 显示全部楼层


不喜欢国内的~~
siwuzhishen
发表于 2009-1-5 15:51:55 | 显示全部楼层
国产的够用就行,我现在觉得没必要一定要最好的
T-G001
发表于 2009-1-5 16:23:31 | 显示全部楼层
以0102-2238这个样本包的例子来说吧,如果用的是kv2009的规则模式,在创建"1.exe"的提示后,还会有加载驱动,注入explorer 进程的提示的.以我对kv2008的了解,kv2008也会有同样的提示(不过现在没用08版了,暂无法证实)....

kv不光有fd,有的人会说kv只要往系统文件夹建文件就会报,那就用半年以上再来扯吧..

说到扫描前的内存扫描,可以关的,可以熟悉一下设置.不过如果不是经常扫描样本包嫌这个麻烦,不建议关,:)

[ 本帖最后由 T-G001 于 2009-1-5 16:26 编辑 ]
考拉的儿子
发表于 2009-1-5 16:35:45 | 显示全部楼层
我觉得江民还行吧
烤糊的芋头
 楼主| 发表于 2009-1-5 17:59:04 | 显示全部楼层
原帖由 T-G001 于 2009-1-5 16:23 发表
以0102-2238这个样本包的例子来说吧,如果用的是kv2009的规则模式,在创建"1.exe"的提示后,还会有加载驱动,注入explorer 进程的提示的.以我对kv2008的了解,kv2008也会有同样的提示(不过现在没用08版了,暂无法证实).... ...


我非常肯定我没有看到除了创建文件以外的任何提示!第一次重启以前,甚至连修改启动项的提示都没有,启动以后才发现启动项里面多了两个项目!我也是用过HIPS的人!

我没有改变任何设置,因为我觉得默认设置最能说明问题。不排除江民跟兔子合作的版本是阉割过的版本!
为爱灌篮
发表于 2009-1-5 21:03:26 | 显示全部楼层
KV2009很强,你试试就知道了,未知的病毒和它产生的附带文件都会被主动防御清理的一干二净,08功能上比09差点
我心约定
发表于 2009-1-5 21:47:48 | 显示全部楼层

回复 1楼 烤糊的芋头 的帖子

楼主,您的情况我已了解,
tiancai2nd
头像被屏蔽
发表于 2009-1-6 00:56:45 | 显示全部楼层
原帖由 烤糊的芋头 于 2009-1-5 15:10 发表
自作主张的扫描系统关键区域(大概是这个意思吧)总是不停的出现。即使刚刚扫描完~~~~


那个是在查杀内存中的病毒吧!默认是每次扫描都要先扫描内存的。
江民的入库慢是出了名的,没办法。
KV2009还是不错的,都已经上市了几个月了,LZ咋还去用08版的?没有序列号?虽然我很反对使用盗版,但如果只是测试一下,勉强可以接受。另外,TB上的年号便宜的让人害怕,但通常都能正常使用,买一个也无妨。
主防方面,应该不会那么差,不排除是个别情况。我使用KV时,主防虽然简陋,但一般是够用的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 03:43 , Processed in 0.123838 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表