查看: 10612|回复: 77
收起左侧

[技术原创] 老将KV VS 新秀微点—谁是主防强者?

  [复制链接]
江湖的fans
发表于 2010-3-5 20:55:20 | 显示全部楼层 |阅读模式
本帖最后由 江湖的fans 于 2010-3-9 21:58 编辑

    国内杀软名牌的 山寨的 有许多 但是 真正把主防做好的却很少。今天江湖的fans为大家带来2款在国内主防中比较有代表性的杀软  微点 江民 (瑞星改日测试)
(转载请注明 文章来源 卡饭论坛 作者 江湖的fans)






偶先来简单分析下3款杀软的主防

微点:

无扫描 完全靠样本运行后 动作及特征来进行拦截 属于智能主防

江民:

传统杀软 带有文件监控 主防类似于手动HIPS(比HIPS更智能些...)拦截动作

瑞星:

传统杀软 带有文件监控 主防属于混搭 纯手动HIPS(纯拦截动作)+基于云安全的行为防御(内置规则 通过触发规则进行拦截 搭配云安全上报动作与被拦截文件)




测试环境

SD影子+马马屠殿后



样本选择

3月5日 卡饭样本 25X

评分

参与人数 4魅力 +1 人气 +3 收起 理由
darnaydeng + 1 辛苦了,终于有RQ了
will + 1 感谢分享~你的转正申请呢,还不写呢?
王子带着刀 + 1 感谢提供分享
ikimi + 1 辛苦了~~

查看全部评分

江湖的fans
 楼主| 发表于 2010-3-5 21:06:53 | 显示全部楼层
本帖最后由 江湖的fans 于 2010-3-6 11:59 编辑

微点实战篇

设置默认 防火墙打开 已经更新到最新版本






1  打开文件夹 微点特征就干掉一个


2  100305-1-1运行后MP没反应 进程存在 但大约5s后进程自动退出 马马屠未拦截——失败

3 100305-1-2 运行后病毒样本消失 微点报未知间谍

4 100305-1-3   微点报未知间谍

5  100305-1-4  运行后 5S左右进程消失 微点没反应 马马屠没反应——失败

6 100305-1-5  删除自身  连接德国  未知蠕虫


7 100305-1-6  衍生物不少  微点报好多 漂亮!!




8  100305-1-7    未知间谍


9 100305-1-8   运行后出现进程 但MP没反应  马马屠报警——失败


10  100305-1-9  微点提示联网 拒绝后无报警  马马屠拦截——微点失败


11 100305-1-10  马马屠拦截——微点失败


12  100305-1-11   



13  100305-1-12   




14  100305-1-13


15  100305-2-1



16   100305-2-2   删除自身 ————微点失败

17  100305-2-3    删除自身 微点抓到 MSA.exe衍生物 成功了


18  100305-2-4  


19  100305-2-5    多次想上美国的东东最终被微点无情当作间谍kill


20  100305-2-6    还想出国?


21      KILL


22   100305-2-8

23  100305-2-9

24  100305-2-10



微点-总结


样本总数:25-1=24      成功阻止攻击数:18      未成功阻止数:6

侦测率:75%

江湖的fans
 楼主| 发表于 2010-3-6 21:26:48 | 显示全部楼层
本帖最后由 江湖的fans 于 2010-3-6 22:02 编辑

江民实战篇

江民设置(主防自定义高级别 其他默认)及版本信息






扫描测试:

HEUR:5      特征:14    miss:6








主防测试:
(由于主防特殊性,拦截后处理方法均为阻止,马马屠殿后)


1  100305-1-2   拦截衍生物及注册表桌面设置项   阻止后无进程 系统正常 系统关键文件夹文件数量正常



2  100305-1-3  KV提示高危动作 阻止运行成功


3  100305-1-7   文件监控提示病毒  母体被删除 但是system32已经发现病毒衍生物 并且已经运行IE  ——拦截失败
(我为不小心删掉此衍生物而表示抱歉T-T)


4   100305-1-10  KV无任何反应 MAMUTU  警报发现可疑行为————失败


5  100305-1-12  KV杀掉衍生物p.exe导致 病毒加载失败  但主防未拦截恶意行为(Mamutu报警)——失败


6  100305-2-4  运行后删除自身  假冒AV  KV拦截后发现winrar被破坏 不算完美,也算成功了吧


江民-总结


扫描识别率:76%           主动防御侦测率:50%

整体防御能力:88% (很不错的说)

江湖的fans
 楼主| 发表于 2010-3-9 22:03:53 | 显示全部楼层
    2款杀软从整体看来都是不错的(没人爱听的套话..) 微点作为专业主防 更加智能 拦截更加精准 而KV作为传统杀软 较高的主防拦截率+引擎 整体防御能力明显高于微点单项主防 但是主防的智能性和拦截精确性不及微点 而且在测试中 发现系统文件被感染的情况 所以说 取各个杀软的优点进行搭配是不错的方法~

评分

参与人数 1人气 +1 收起 理由
小v可 + 1 版区有你更精彩: )

查看全部评分

198261
发表于 2010-3-9 22:05:57 | 显示全部楼层
支持!!!!
yaohaozhe
发表于 2010-3-9 22:14:47 | 显示全部楼层
瑞星版主竟然最后测瑞星~~
312535978
发表于 2010-3-9 22:15:00 | 显示全部楼层
两款选择一款,肯定是KV了,,,微点很山寨
houtiancheng
发表于 2010-3-9 22:16:51 | 显示全部楼层
个人感觉好像MP的主防没有这么差的吧?~
yboo.100
发表于 2010-3-9 22:20:38 | 显示全部楼层
支持下···
ikimi
发表于 2010-3-9 22:30:17 | 显示全部楼层
感觉江民的自爆做得很好。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 16:50 , Processed in 0.155298 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表