小测瑞星主防(实况转播主防大战卡饭最新网马）

PlayWill

测试HIPS的工具来测试杀软的主防问题
这个见仁见智  一般杀软是不会监控如此全面的  因为杀软还要考虑到用户体验
所以测试工具的结果权当参考

至于测试样本那个问题，是现在安软普遍忽视的问题——就是伪造数字签名的问题
一些安软在数字签名验证方面存在bug，或者没有深入去考虑数字签名的验证
因此目前来说一些含有伪造数字签名的样本是直接被某些安软默认放行的
所以该样本主防测试不具有代表性，大家娱乐一下，也让杀软厂商警惕下！

某人强迫我写的 。在此偶要鄙视一下他

本文不看扫描查杀（那是虚的，几十百把个样本说明不了任何问题）
标题很清楚，我们来看主防这方面包括利用一些常用的HIPS测试工具测试外加卡饭最新网马大作战
给位看官您看好了 实况开始

配置：虚拟机
内存：256M
CPU: T5600
系统：XP SP3 YLMF版
瑞星主防按照默认设置

本文测试利用工具


测试项目一：AKLT


测试项目二：APT
瑞星全过


测试项目三：BypassRegMon2
第三项常规测试B瑞星监控到了 其他全过了


[ 本帖最后由 PlayWill 于 2009-4-26 19:15 编辑 ]

PlayWill

测试项目四：ClipBoardLogger
此项被过了 瑞星无反应
主防默认不能监控剪贴板项目



测试项目五：keyboard测试
该项测试模拟木马截取键盘输入，用以得到密码等
额 不得不遗憾的告诉您 再次被过




测试项目六：ScreenLogger
此项模拟木马病毒截取屏幕画面
还是被过了


测试项目七：SPT
过了 这个测试时干嘛的 我也不清楚
大家看看就好



测试项目八：TestRegmon
模拟高危注册表动作
1.2.5项圆满通过 3.6项挂了


[ 本帖最后由 PlayWill 于 2009-4-26 18:28 编辑 ]

PlayWill

测试项目九：COMODO leaktests
据说能过此项的比较少


完整记录



测试项目十：自编批处理结束RIS
自己写的批处理结束瑞星的进程 并从服务中删除瑞星的服务项 如果瑞星主界面关闭 代表成功


[ 本帖最后由 PlayWill 于 2009-4-26 18:35 编辑 ]

PlayWill

下面进入高潮阶段：瑞星主防大战卡饭网马
来看看卡饭马的详细信息，人家还有微软签名呢（伪造的签名，微软的签名应该是Microsoft Corporation）




由于此马已经入库 所以只能关闭特征码监控 开启主防了



关闭特征码




此时 此马干掉了瑞星，主防无任何提示，网马成功释放文件，删除了自身

一串测试下来，感觉就是比上不足比下有余吧，瑞星主防应该在防马防马多下点功夫，应该多学学DW等类的HIPS

下面来看看XXX的某人对瑞星的评论 我觉得很贴切

THE END 感谢观赏

[ 本帖最后由 PlayWill 于 2009-4-26 18:53 编辑 ]

chow2006

楼主辛苦了，瑞星主防跟专业的有不小差距

lnovaw714

观赏完毕！非常精彩！领教了宇宙第一杀软的威力！

边缘vip

很全面的一次测试！楼主辛苦了

jpzy

SPT的测试项目似乎有问题！
在CMD里面输入的应该是SPT "被测试进程的ID号" “测试方式”

举例子是SPT 984 12，但是如果测试的话，应该是SPT+瑞星的ID号+结束方式

基斯巴卡

嗯，的确还是某些功能不够猥琐

中国崛起

膜拜一下