瑞星所特有的内存查杀的可行性技术分析（图文并茂，详细讲解，欢迎测试）

迷惘依然

由于之前我曾发了一篇关于瑞星的内存查杀的帖子，当中有很多人对此表示怀疑，于是，我决定发一篇关于瑞星的内存查杀的详细报告，并引用多款杀软来作为对照试验，包括瑞星，NOD32，卡巴斯基，大蜘蛛。首先这个木马是过以上四款杀毒软件的扫描的，也就是说，如果你刚好装了NOD32或者大蜘蛛的话，又恰好中了我的这个木马的话，那么你就成为了我的肉鸡了，那就任我蹂躏任我摧残了（汗，跑题了）。当然装了卡巴就不要害怕，因为它还有主动呢。只要你选择正确，那么你也不会中这个木马了。好了，这个帖子是要对瑞星的内存查杀进行测试的，虽然这个木马已经过了瑞星的文件查杀，但是，不要害怕，还有瑞星内存这一关呢，显然这个木马是过不了，呵呵，被瑞星扼杀在内存下了吧。请大家仔细看我发的图吧，我也上传这个样本，也欢迎大家测试。由于时间关系，我只对以上四款杀软进行免杀和测试，至于金山和江民等的杀软就没有进行测试了，没时间啊。通过以上的测试，应该足够说明瑞星内存查杀的独特性了。好了，要说的就是这么多了，也欢迎大家提出问题和意见。

补充几点：
   这是一个木马的服务端，行为非常的经典，把自身复制到C:\Program Files\Common Files\Microsoft Shared\MSInfo目录下，生成一个名为5201314.exe的文件（隐藏属性的，呵呵，这个文件名好玩吧，我给设置的，(*^__^*) 嘻嘻……），并利用IEXPLORE.EXE启动自身，这个病毒是过不了卡巴的主动防御的，但是卡巴的高级启发最深度扫描是查不出病毒来的（包括内存也查不出来），NOD32的高启发也照过（包括内存），大蜘蛛也查不出（包括内存），还有就是这个木马也是过瑞星的文件扫描，但是却过不了瑞星的内存查杀，用以上的几款比较出名的杀毒软件来作为例子和瑞星进行比较，足以说明了瑞星的内存查杀是独有的，而其他杀软是没有的（至少目前我没有发现），还有需要强调的几点就是，1.这个病毒是没有加过壳的，是使用delphi编写的，不信可以用peid查一下。2.这个病毒不会释放任何的DLL和sys文件，不信的话可以用HIPS监控一下。3.这个木马是没有任何功能上的缺失的。我之所以强调以上这三点，是为了更加确切的证实瑞星的内存查杀的独特性，好了，就说这么多，欢迎各位进行测试(对了，在测试之前请先不要上传到杀软公司，否则杀软公司提取特征码，那么测试就不准确了，切记)。对了，在测试卡巴的内存查杀的时候，运行木马前请先把主动防御关了，运行后再使用内存扫描进行扫描测试。

说明：本人没有对任何杀软进行批评或者怎样，如有不小心说到了，请原谅。本人只是说明瑞星内存查杀的这个特点而已，对了，我的这篇算不算技术文章啊？？？哪位版主或者管理可以把扣了我的魅力给我加回来吗？？？看着-1的魅力心里不是很舒服啊。谢谢了。。。

样本下载地址http://bbs.kafan.cn/thread-455218-1-1.html。。。。。。。。。。。。。。对了，木马是没有DLL和sys的，只是释放自身，连MD5都没有改变，还有就是没有加壳的。。。。。。



                                             
                                                                                                                                                                         BY迷惘依然
                                                                                                                                                                         2009.04.05


NOD的扫描结果


ESET内存扫描结果


卡巴斯基手动扫描结果


大蜘蛛扫描结果


瑞星手动扫描结果


运行后瑞星内存扫描报警结果

104#的飘做了HIPS行为比对！
很明显，这个样本的行为是：首先释放一个本体到某路径，然后通过修改注册表创建一个服务（为的是开机自动加载），接下来是释放了一个deleteme.bat的脚本，为的是加载成功以后删除自己；然后就是运行以后通过修改内存的方式加载到IE里面去（这肯定是为了过防火墙了），最后是调用cmd来删除自己！

跟我之前分析的一样。通过修改IE内存的方式来加载。因为修改的内存空间刚好是图中所报的那个模块所在的空间，所以瑞星这样报了。说明瑞星内存扫描跟手动扫描使用了不同的特征码（如果是相同，那么这里肯定发现不了）。

唯一郁闷的就是，内存扫描必须手动才能运行才能起作用，那基本上相当于摆设了。因为不能实时发现啊！除非像某些大牌安软那样定时扫描一次内存…………

再强调一下：

首先这个帖子讨论的是瑞星是否具有内存特征码这项技术的问题，不是瑞星是否能满足各位要求的问题。如果觉得瑞星不能满足各位的要求，那么请不要选择瑞星！

其次，看清楚LZ所表达的意图，反对要有合理的证据。请不要拿其它安软的扫描结果出来，那跟这个帖子讨论的结果不相关！

最后，想证明瑞星不好，请拿出证据，就像LZ这样，有图有真相，不要空口白话的说什么：瑞星动不动就中毒~~~~

                                                                                                                                    ——By JPZY

[ 本帖最后由 jpzy 于 2009-4-6 09:27 编辑 ]

cocplay

这个要支持哦，顶起来！

cocplay

最好把样本公布出来更有说服力

polly5771

先支持再研究。做实验、截图贴图还是很辛苦的，呵呵

法外制裁者

我也想要样本来实验下
被楼主说的好奇了

实验了下，的确像楼主所说的，扫描没有发现病毒，但是运行以后进行内存扫描就会被发现。

[ 本帖最后由 shellingford 于 2009-4-5 13:06 编辑 ]

cbz107

看得我稀里糊涂的

nyk1986

确实，没样本没任何说服力。

迷惘依然

样本已经上传了，欢迎测试。。。。。。。。。。。。。。

vebee

样本呢 ？

没有怎么试？

cocplay

楼主的样本解压就被小红伞F版KILL了