无懈可击？小试《墨者安全专家》，教你如何绕过这个“绝对防御”

tawny2008

    本文为tawny2008测试发表，转载请注明。

       近来国内安防市场非常繁荣，新的安防软件层出不穷，以下为一个颇具代表性的墨者安全专家，据说闭关修炼，自创了一招百毒不侵的武功-“免疫革离术”。究竟这个革离术真的那么神吗？网上始终找不到答案，那么就由我来为大家进行解惑说明。

一、先来一份官方介绍：

     据官方介绍：墨者安全专家的免疫革离术是融合了反rootkit技术、用户权限管理技术和白名单技术并有机集成的免疫防御技术。普通应用程序在墨者免疫“革离“术下被剥夺了对系统关键资源如启动时自运行、安装驱动、服务、钩子等的访问权限，仅在确认无害而且是必须访问关键资源的应用程序才赋予相应的权限。这样未知新病毒和木马就无法在用户电脑系统中自动被安装、潜伏和实施攻击、窃取帐号密码等敏感资料。就像是未知的恶意软件被关进了牢房，无法对用户电脑造成伤害。而这一“牢房“又由墨者强大的反rootkit技术又保证不会被突破。此外，墨者安全专家系统资源占用极小(硬盘、内存、CPU…)且基本无需更新，让用户的电脑系统资源尽最大可能地被用于用户的工作和娱乐。

产品简介
       墨者安全专家是完全免费的免疫防护型安全辅助软件，通过墨者独创的“免疫革离术”可100%免疫防护未知木马病毒，同时还集成系统漏洞修复、上网隐私清除等强大功能于一身，真正为用户提供全方位的系统安全防护。

墨者免疫革离术
通过对系统用户权限、进程权限及关键资源的有效监控、提升和管理，让最新的病毒、木马及恶意程序无处藏身，且兼容主流杀毒软件，安全稳定。

防毒安全
前有墨者“革离术”的有效防护，后有全球知名趋势杀毒专家的支持，让“防”和“杀”融为一体，真正做到将病毒一网打尽。  

修复系统漏洞
墨者安全专家不但可以对多项漏洞进行全方位检测及修复，还集成了U盘病毒免疫功能，彻底封堵住病毒入侵系统的“后门”。

隐私安全
墨者安全专家提供了一键清理上网痕迹等功能，防止您的隐私外泄，造成不必要的经济损失。同时还提供了顽固文件粉碎功能，彻底销毁隐秘文件。

防火墙
快速评估系统的网络防护状态，通过配置病毒防火墙，控制非法网络访问，帮助用户有效抵御黑客攻击等安全风险。


        听起来实在是不错，那么我就带大家都来体验下这个《墨者安全专家》如何吧。



本帖导读：

1楼：软件介绍。
2楼：软件界面，各功能介绍，软件设置。
3楼：防护试验，病毒实验，工具试验，绕过试验。




[ 本帖最后由 tawny2008 于 2009-3-10 09:13 编辑 ]

tawny2008

二、《墨者安全专家》各种功能体验介绍。
        安装过程不再叙述，下面从软件界面介绍开始：
　
1、《墨者安全专家》主界面。
       主界面很简洁，左边是个雪花状的切换按钮，右边是墨者安全中心的防护状态。
　



2、安装后重启，马上跳出漏洞检测了，呵呵，效率不错。

　
3、点击左边心号的按钮，切换到了漏洞修复界面。
       下面提示U盘的防护和系统密码的设置。

　
a.漏洞修复主窗口。
   这个功能应该不用介绍了。

　
4、防毒安全界面。
    没检测到杀软，其实我有个绿色杀软在的，不过介绍终身免费的趋势杀毒，诱惑力不错。

　
5、墨者免疫隔离术界面。
    终于见到了传说中的免疫隔离术，心情非常激动。

　
6、墨者介绍界面。
    软件的介绍，刚升级过，这个是最新版本。

　
7、防火墙界面。
    刚看到有个防火墙的图标，我还有点惊喜，以为还带了不错的网络防火墙，不过看到这里有点失望了，原来是系统自带墙。

　
8、隐私安全界面。
     其实说白了就是清除垃圾，换成隐私安全还真有点好听，呵呵。

　
　
二、主界面的菜单项目。
　
1、软件设置。

　
a.提权列表设置。

　
b.黑白名单设置。
我允许了一个截图钩子的加载。

　
c.高级设置。
可以设置的地方很少，默认设置是安全性最高的，不必修改。

　
2、进程管理。

　
a.基本信息。

　
b.进程查看。

　
c.启动项目。不是很全。

　
d.常用注册表项。很简洁，不错。

　
e.系统服务。

　
f.网络。

　
        
   总体来说，《墨者安全专家》的设置很人性化，根本无须设置就已经是最高防御了，界面也很清新，体验感非常不错。　

[ 本帖最后由 tawny2008 于 2009-3-10 01:15 编辑 ]

tawny2008

三、防护测试。

       笔者开着《墨者安全专家》试验了一些病毒，效果是不错的，病毒的只截了一张图，主要是权限过低，很多病毒无法看到效果，无法破坏，可以参照下面的实验。

1、熊猫烧香，运行立即被拦截。
     这个拦截其实有点不好，安全不安全不应该由用户判断，我自己选了“不安全”，运行后破坏效果不明显。


2、试验wsyscheck。

　
运行wsyscheck出错。

　
试验冰刃。

　
冰刃无法初始化。

　
试验July。

　

运行成功，可惜权限太低。


　

　
　　　果然很变态，实验效果非常不错，应该赞扬下，相信运行任何病毒，破坏力都要大打折扣，这就是传说中的100%防护？那么我们有了这个《墨者安全专家》是否可以说是天下太平了？其实答案是否定的，下面我来教大家如何绕过这个所谓的“绝对防御”。
　

四、“绝对防御”的漏洞。
　
    本来这个《墨者安全专家》理论上是无敌的，可惜互联网上的软件是何其多，《墨者安全专家》内置的白名单也是太少了，我连HyperSnap6，Fireworks，photoshop都无法正常运行，只能提权，那么漏洞也就出来了。下面看一个实验。
　
1、听说Google的浏览器速度快，界面又十分的漂亮，所以我下载了一个绿色版的Google的浏览器。

　

2、运行Google的浏览器。发觉无法正常运行。

　
3、关闭后，《墨者安全专家》询问我使用这个软件是否正常。毫无疑问，是选第二项-不正常。

　

4、确定了之后，重新运行，浏览器正常了。


5、地址跳转。

　
6、进入冰刃目录。

　
7、提示保存冰刃。

　
8、尝试再次运行冰刃。

　
9、呵呵，冰刃启动成功。

　
10、打开墨者的进程管理看看，可以明显看到冰刃是作为google浏览器的子进程运行。

　
11、试结束《墨者安全专家》。

　

12、《墨者安全专家》被成功结束。

　
     试验到这里，《墨者安全专家》已经是被绕过了，文中的google浏览器可以换成任意其它软件，例如photoshop，只要在这个软件捆绑任意一个病毒，就可以成功攻破所谓的“绝对防御”，有点重现历史的“特洛伊”了，呵呵。

     实验总结：《墨者安全专家》虽然没有说明是否可以独揽大局，但是只安装一个《墨者安全专家》始终无法保证系统的安全，不过使用此软件配合其它防护工具使用，效果还是很不错的，值得肯定。


附：《墨者安全专家》官方下载网址：   http://www.mozhe.com/dl/

[ 本帖最后由 tawny2008 于 2009-3-10 09:16 编辑 ]

Beloved

来了

听说墨者追踪手和微点冲突，不知道是不是？

偶想装个墨者追踪手试一试

看起来不错

dl123100

这个漏洞有点严重哦

z110z110

不支持VISTA，为什么？

tawny2008

原帖由 dl123100 于 2009-3-9 23:20 发表
这个漏洞有点严重哦

确实很严重，不过不利用这个漏洞的话，隔离术的防护效果还是很不错的。

dl123100

权限的继承问题。。。

[ 本帖最后由 dl123100 于 2009-3-10 08:21 编辑 ]

tawny2008

直接启动CMD？间接启动结束还是直接启动？

左手

小信兄真是牛呀~~~~``