AVG Identity Protection 测试 （多图）

jordanpchome

此项测试是测试AVG内建的Identity Protection行为分析系统，是否能真的发挥作用

测试平台（实机测试）：

Win7 X86，已打上任何补丁

AVG网路安全套装 9.0

金山网盾 3.5.1

Shadow Defender 1.1.0.326

病毒库在早上9点23分进行更新且之后关闭自动更新，使用样本为卡饭每日测试包0429

使用右键扫瞄后剩余样本18个，而接下来即将用这剩下的18个样本来进行测试



-----------------------------------
0429-1-11-1，ok





0429-1-11-9 点击后没反应

0429-1-11-12 点击后没反应，即时监控N次报壳

429-1-12-7，ok，防火墙提示连外且同时侦测到不明行为





0429-1-12-8 失败，运行后删除自己本身，桌面出现IE图标，打开该图标后被连线至特定页面





0429-1-12-10 失败，桌面出现伪装QQ图标，没有进一步动作

（恶意软件似乎没有下载成功？）







0429-1-13-1，OK





0429-1-13-3 运行后防火墙提示连外，金山网盾报告主页恶意串改
（这个样本目前可能有问题，重复测试5次后有3次能被AVG拦截）







0429-1-13-4，OK




0429-1-13-7，OK





0429-1-13-13，OK





0429-1-13-14，ok，防火墙提示连外，之后下载恶意软件，被网路监控发现







0429-1-14-3，OK





0429-1-14-4，OK，防火墙连外提示后在系统目录下释放恶意软件，被即时监控侦测到





0429-1-14-10，OK





0429-1-14-12，OK





0429-1-14-14，OK







0429-1-15-3 点击没反应
------------------------------------

可以看到AVG的行为分析系统还是有用的，即使在即时监控无法发挥作用的状况下，还是能给使用者安全的保护

但是某些样本还是不幸被过了，希望AVG能加以改进，这次测试18个样本中，被过+没反应的样本总共有5个
------------------------------------

PS:或许某些样本没反应是因为根本是"死"毒，或是因为笔者网速过慢造成样本没办法进行...

像是下载者，笔者在测试0429-1-13-3样本的时候，发现下载恶意软件的速度实在太慢了，所以AVG会等到该样本下载完以后才分析行为

至于某些下载者样本AVG已经入库，所以即使没有下载恶意软件也能靠行为分析报出是哪种类型的恶意软件

JusT.Like

前排支持...

JusT.Like

PS：实机测试还是...?

Jade

支持啊

jordanpchome

PS：实机测试还是...?
JusT.Like 发表于 2010-4-30 11:51 AM

    实机测试，搭配影子

JusT.Like

回复 5# jordanpchome


    So good...sandboxie内测试与实机测试结果会有很大出入...建议统计下结果...更直观...

卡卡洛夫

支持LZ测试

jordanpchome

回复  jordanpchome


    So good...sandboxie内测试与实机测试结果会有很大出入...建议统计下结果... ...
JusT.Like 发表于 2010-4-30 11:56 AM

    有些样本我用沙盘运行会有动作，但是实机测试啥动作都没...汗

luangcai

楼主辛苦啦

dongsheng01

AVG 防护也不错啊