谁是国产安软的火眼金睛？！——5款国产安软对决“李鬼病毒”

will

近来附带伪造数字签名的病毒越来越多，尤其是伪造微软数字签名的恶意程序越来越多。

哪款国产安软真的火眼晶晶能帮我们识别真假李逵呢？

下面我来为大家揭晓答案…

首先测试的是三个样本：
1.S_Original.exe：这个是没有加数字签名的恶意程序，killdll.dll系列的下载者
2.S_Signed_1.exe：这个是使用第一种伪造数字签名工具在S_Original.exe加了数字签名后的样本1
3.S_Signed_2.exe：这个是使用第二种伪造数字签名工具在S_Original.exe加了数字签名后的样本2


样本1的伪造数字签名如下：


该伪造数字签名可以被COMODO 3.8识破：




样本2的伪造数字签名如下：


该伪造数字签名不能被COMODO 3.8识破：



好了，介绍完了测试样本，介绍此次测试的重点：

本次测试将从实时监视、手动扫描 和 关闭特征码后的主动防御 这三个方面来测试瑞星杀毒软件2009、江民KV2009、金山毒霸2009、微点主动防御软件和费尔托斯特安全V7 R3 这五款国产安软。

那么下面开始测试吧！

瑞星杀毒软件2009   ---    本楼
江民KV2009             ---    2楼
金山毒霸2009          ---    3楼
微点主动防御软件    ---    4楼
费尔托斯特安全        ---    5楼
总结                          ---   6楼


--------------------------------------------------------------------------------------------------------------------------------------------

A.瑞星杀毒软件2009

病毒库版本21.26.62.00
程序设定：
文件监控：高安全级别—文件创建和修改时都监控
系统加固、木马行为防御：高级用户


实时监视：




3个样本全部检出，并且正常清除。此项PASS！

手动扫描：


3个样本全部被检出并正常删除。此项PASS！

主动防御：
关闭瑞星的文件监视，分别运行三个样本，能正常监控宿主文件行为即算PASS





三个样本的宿主行为瑞星2009皆能正常监视，此项PASS！



小结：
文件监视 ---   通过！
手动扫描 ---   通过！
主动防御 ---   通过！

说明瑞星杀毒软件2009可以识别伪造的数字签名，不存在伪造数字签名验证的漏洞，可以正常的保护系

[ 本帖最后由 will 于 2009-4-27 14:00 编辑 ]

will

病毒库版本：2009-04-26
系统监控模式：智能模式


实时监视：




3个样本全部检出，并正常删除。此项PASS！


手动扫描：


3个样本全部被检出并正常删除。此项PASS！


主动防御：




原样本监控正常，提示用户阻止运行。
两个加了伪造数字签名的宿主文件KV不能正常监控其行为，只监控其衍生物的行为！
此项失败！


小结：
文件监视 ---   通过！
手动扫描 ---   通过！
主动防御 ---   失败！

说明江民杀毒软件KV2009只能监视和扫描杀除已知的伪造数字签名病毒，但主动防御存在伪造数字签名验证的漏洞，不能完整的正常保护系统！

will

病毒库版本：2009.4.26.22
开启了可疑行为监测
由于金山毒霸2009没有基于行为分析的主动防御，因此此项不参与测试。


实时监视：




没加数字签名的样本 和 伪造数字签名样本1 被金山毒霸2009正常检出并删除。
但伪造数字签名样本2金山毒霸2009没有正常检出，甚至运行了也没有提示。
因此此项测试金山毒霸2009失败！



手动扫描：




和实时监视一样，金山毒霸2009只检出并删除了前两个样本，伪造数字签名样本2未被正常检出并删除。
因此此项测试失败！


小结：
文件监视 ---   失败！
手动扫描 ---   失败！
主动防御  ---   不能测试！

说明金山毒霸2009只能监视和扫描杀除部分已知的伪造数字签名病毒，不能完整的正常保护系统！

will

程序版本：1.2.10580.0202
更新时间：2009-04-26 17:58:20
使用默认设置并开启防火墙
由于微点目前不含手动扫描功能，因此不测试手动扫描。


实时监视：




未加数字签名的样本微点可以凭借特征码正常识别并删除。
而加了数字签名的两个样本微点的特征码监控失效，并且主动防御不监控伪造数字签名样本宿主，只监控其衍生物。
因此特征码实时监视测试，微点失败！

基于行为分析的主动防御测试见此贴：
微点测试录像见此贴：http://bbs.kafan.cn/viewthread.php?tid=469619
微点的行为分析不受伪造数字签名的影响，能正常的保护系统。


小结：
实时监视 ---   失败！
手动扫描 ---   不能测试！
主动防御 ---   通过！

[ 本帖最后由 will 于 2009-4-27 13:26 编辑 ]

will

病毒库版本：9.180.12488
病毒库时间：2009-4-26 22:34:48
由于费尔不能在VMWARE下进行注册，因此某些截图可能不能正常显示路径。


实时监视：



由于未注册，不能显示报警文件路径，实时监视检测到3个样本时都弹出了上图。
实时监视可以正常检出这3个样本，此项PASS！


手动扫描：





三个样本费尔皆能正常扫描并检出病毒，此项PASS！


主动防御：




关闭特征码监视后测试主动防御，费尔托斯特可以正常监视3个样本宿主的行为并即使终止进程。
因此此项测试PASS！


小结：
实时监视 ---   通过！
手动扫描 ---   通过！
主动防御 ---   通过！

说明费尔托斯特可以识别伪造的数字签名，不存在伪造数字签名验证的漏洞，可以正常的保护系统！

will

本次测试结果汇总如下：



在对付伪造数字签名的样本中，瑞星杀毒软件2009和费尔托斯特顺利通过了测试。
瑞星杀毒软件2009和费尔托斯特能识破现有的伪造数字签名，并对恶意程序正常进行查杀防。
其余三款安软，在程序某些方面存在缺陷或漏洞，不能完全识别伪造数字签名，
因此呼吁相关安软厂商重视此问题，将用户的安全放在首位，尽快修复相关漏洞。

[ 本帖最后由 will 于 2009-4-27 13:29 编辑 ]

lanvin

沙发

寒山竹语

这帖子希望不是LZ原创.
也希望楼主能知道我表达的是什么.
虽然小星星不错,但小星星第一个通过.费尔最后通过.期间的全部死翘翘.而且有死的很惨的.
恐怕要引起........................
哈哈,说多了不好.帮顶了.辛苦楼主.

[ 本帖最后由 天堂碎尸人 于 2009-4-27 02:50 编辑 ]

steps88

楼主辛苦了。

ooiono

支持  费尔很强大