【穿透测试】ShadowDefender1.1.0.325 VS 傲盾还原2.0——SD疑似被穿（附样本）

l02210221

先打个广告，有关这个名不见经传的傲盾还原～http://bbs.kafan.cn/thread-813553-1-1.html然后，影子卫士，那个SD大家应该很熟悉了我就不做介绍了～
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
那么，开门见山的来进行测试记录。
首先，测试环境
Vbox的虚拟机
接着是样本大军亮相～～http://bbs.kafan.cn/thread-810669-1-1.html & http://bbs.kafan.cn/thread-806780-1-2.html

那个解压密码的样本无视好了，运行之后别的样本都被它毁了。。。。。
然后这是测试前的环境：
（此为傲盾测试前的环境，但二者环境相同，图片直接引用）接着开始先对SD进行测试。
说明一下，SD测试的图我没有截到，原因一是测试过程同傲盾，就不重复发了；二是我并没有料到测试完的后果所以没有留底。。。。
好了开启全盘影子并且重启继续，接下来我做的非常简单，先全选“待测”文件夹中的样本，全部运行；在运行接近结束时再点击“样本”文件夹中的系统玉鬼魅.exe。整个过程发生的事在测试傲盾时会全部贴出，总体上是相同的。
于是乎在运行了第二批样本后机器完全卡死，直接强行重启虚拟机，出现了意想不到的结果。。。

经过PM虚拟系统区的107版主，得知这“应该是穿了”。并且在还原快照后继续进行相同的测试也得到了同样的结果。但至于是不是穿了，还请各位大大作验证测试以排除测试环境问题。
SD的测试结束了，结果有些惊悚，接下来进行傲盾还原的测试。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
测试前的环境：

傲盾的主界面：（关于傲盾是使用这里简单介绍一下，无需安装，直接运行后就是如图的界面，第一次使用需点击“安装驱动”并输入自定义的密码，然后系统会提示重启并直接进入保护模式；需要取消保护模式，只要选中分区，命令一栏选择“不保护”，点击“修改设置”，输入第一次使用时设置的密码即可退出保护，重新进入保护也是一样的操作。软件无其他高级设置项，使用仅此而已）

样本同上。
接下在保护状态下来进行相同的动作，现象如下：
接楼下～

l02210221

～接楼上
这是打开“待测”文件夹中所有样本的各种现象。。。

任务栏里有个X色的网页。。。。有兴趣的朋友们可以带上耳机仔细听其中的声音。。。。。

下面跳出的询问是否加驱的对话框，是傲盾还原的驱动加载监视，这个对话框在影子下是无法弹出的。然后我当然选择了否。。。。。（这里开启了玉鬼魅）

到了这个画面之后，虚拟机动弹不得。。。连任务管理器都出错关闭了。。。。。

然后，强制重启了。。。得到了非常理想的结果

傲盾还原在禁止样本加驱的情况下完美的防御了58+1样本的轰炸！
随后，我还做了允许加驱的试验，过程同上，就不多重复描述了。结果自然是被穿烂了。。。（参见某茶社灌水贴http://bbs.kafan.cn/thread-815367-1-3.html）
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
总结：ShadowDefender在易用性上是完胜傲盾还原的，但并不能防止样本加驱，这可能是导致虚拟机不能启动的直接原因，但具体是否被穿透还要等待高手验证。傲盾还原作为一款名不见经传的个人开源作品，虽然只有简单的可选分区还原功能，但询问加驱这种“无赖”的动作几乎让样本难以突破，无论是穿透型还是感染型还是XX型，不能加驱就无计可施，某种程度上这玩意儿的防御力也是不容小视的。
（于是，干巴巴的测试就这么结束了）
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
最后一扯：这只是XP下的测试，关于WIN7的测试我没办法做，鉴于7将称为主流系统的趋势，有力的大大们就帮小弟完成这项测试吧

l02210221

哎呀~~补充一下…具体哪个样本把SD弄成那样我也不知道……就在那一坨里就是了………

lrcatcn

win7 下的测试在此：
http://bbs.kafan.cn/thread-815608-1-1.html

结论，此批样本在 Win7 X32 状态下，Time Freeze 2 和 Shadow Defender 1.1.0.325
都表现的很好，在系统重启还原后，系统全部恢复到正常状态。

零下5度

傲盾还原虽然名不见经传，但它的作者却绝对是个牛人。现在的傲盾应该说是相当稳定的，能够确认的BUG只有两个。全都是极端情况下才出现的，完全不影响正常使用。我从今年3月末用它的1.3版本配合HIPS，已经让近百台机器完全不出问题的使用到现在。简直是绝配。

l02210221

回复 5楼 零下5度 的帖子

作者的博客里发布了2.0，似乎作者自己也确认了在复制超过2G文件是会无法成功，这个BUG似乎有点麻烦

零下5度

回复 6楼 l02210221 的帖子

2G问题确实存在，但是我从来没遇上过往保护区里复制超2G文件的情况。

我是用过2.0后又退回1.3的。主要是每次启动都要询问是否允放两个驱动加载，没有记下我的选择，这点很讨厌。

lrcatcn

回复 5楼 零下5度 的帖子

很久前就用过，如果对保护盘持续进行大文件的读写操作时（如使用 Photoshop 等图形软件，而缓存又设在系统盘的话），会经常蓝屏，因此对他没有好印象。用过一段时间后，彻底放弃。

XMonster

回复 1楼 l02210221 的帖子

支持测试，另外介个防狗麽？官网看的不防狗，可以测下麽？

l02210221

回复 9楼 dm34343667 的帖子

防狗，这个在作者的博客里有说明