查看: 6681|回复: 18
收起左侧

【穿透测试】ShadowDefender1.1.0.325 VS 傲盾还原2.0——SD疑似被穿(附样本)

 关闭 [复制链接]
l02210221
发表于 2010-10-17 00:08:02 | 显示全部楼层 |阅读模式
本帖最后由 107 于 2010-11-8 19:53 编辑

先打个广告,有关这个名不见经传的傲盾还原~http://bbs.kafan.cn/thread-813553-1-1.html然后,影子卫士,那个SD大家应该很熟悉了我就不做介绍了~
===========================
那么,开门见山的来进行测试记录。
首先,测试环境
Vbox的虚拟机
接着是样本大军亮相~~http://bbs.kafan.cn/thread-810669-1-1.html & http://bbs.kafan.cn/thread-806780-1-2.html

那个解压密码的样本无视好了,运行之后别的样本都被它毁了。。。。。
然后这是测试前的环境:
此为傲盾测试前的环境,但二者环境相同,图片直接引用)接着开始先对SD进行测试。
说明一下,SD测试的图我没有截到,原因一是测试过程同傲盾,就不重复发了;二是我并没有料到测试完的后果所以没有留底。。。。
好了开启全盘影子并且重启继续,接下来我做的非常简单,先全选“待测”文件夹中的样本,全部运行;在运行接近结束时再点击“样本”文件夹中的系统玉鬼魅.exe。整个过程发生的事在测试傲盾时会全部贴出,总体上是相同的。
于是乎在运行了第二批样本后机器完全卡死,直接强行重启虚拟机,出现了意想不到的结果。。。

经过PM虚拟系统区的107版主,得知这“应该是穿了”。并且在还原快照后继续进行相同的测试也得到了同样的结果。但至于是不是穿了,还请各位大大作验证测试以排除测试环境问题。
SD的测试结束了,结果有些惊悚,接下来进行傲盾还原的测试。
===============================
测试前的环境:

傲盾的主界面:(关于傲盾是使用这里简单介绍一下,无需安装,直接运行后就是如图的界面,第一次使用需点击“安装驱动”并输入自定义的密码,然后系统会提示重启并直接进入保护模式;需要取消保护模式,只要选中分区,命令一栏选择“不保护”,点击“修改设置”,输入第一次使用时设置的密码即可退出保护,重新进入保护也是一样的操作。软件无其他高级设置项,使用仅此而已)

样本同上。
接下在保护状态下来进行相同的动作,现象如下:
接楼下~



评分

参与人数 2经验 +20 人气 +1 收起 理由
Simon_v5 + 1 加分鼓励
107 + 20 版区有你更精彩: )

查看全部评分

l02210221
 楼主| 发表于 2010-10-17 00:09:26 | 显示全部楼层
本帖最后由 l02210221 于 2010.10.17 00:32 编辑

~接楼上
这是打开“待测”文件夹中所有样本的各种现象。。。

任务栏里有个X色的网页。。。。有兴趣的朋友们可以带上耳机仔细听其中的声音。。。。。

下面跳出的询问是否加驱的对话框,是傲盾还原的驱动加载监视,这个对话框在影子下是无法弹出的。然后我当然选择了否。。。。。(这里开启了玉鬼魅)

到了这个画面之后,虚拟机动弹不得。。。连任务管理器都出错关闭了。。。。。

然后,强制重启了。。。得到了非常理想的结果

傲盾还原在禁止样本加驱的情况下完美的防御了58+1样本的轰炸!
随后,我还做了允许加驱的试验,过程同上,就不多重复描述了。结果自然是被穿烂了。。。(参见某茶社灌水贴http://bbs.kafan.cn/thread-815367-1-3.html
=========================================
总结:ShadowDefender在易用性上是完胜傲盾还原的,但并不能防止样本加驱,这可能是导致虚拟机不能启动的直接原因,但具体是否被穿透还要等待高手验证。傲盾还原作为一款名不见经传的个人开源作品,虽然只有简单的可选分区还原功能,但询问加驱这种“无赖”的动作几乎让样本难以突破,无论是穿透型还是感染型还是XX型,不能加驱就无计可施,某种程度上这玩意儿的防御力也是不容小视的。
(于是,干巴巴的测试就这么结束了)
=========================================
最后一扯:这只是XP下的测试,关于WIN7的测试我没办法做,鉴于7将称为主流系统的趋势,有力的大大们就帮小弟完成这项测试吧
l02210221
 楼主| 发表于 2010-10-17 01:00:31 | 显示全部楼层
哎呀~~补充一下…具体哪个样本把SD弄成那样我也不知道……就在那一坨里就是了………
lrcatcn
发表于 2010-10-17 03:07:15 | 显示全部楼层
本帖最后由 lrcatcn 于 2010.10.17 03:07 编辑

win7 下的测试在此:
http://bbs.kafan.cn/thread-815608-1-1.html

结论,此批样本在 Win7 X32 状态下,Time Freeze 2 和 Shadow Defender 1.1.0.325
都表现的很好,在系统重启还原后,系统全部恢复到正常状态。

零下5度
发表于 2010-10-17 21:27:20 | 显示全部楼层
傲盾还原虽然名不见经传,但它的作者却绝对是个牛人。现在的傲盾应该说是相当稳定的,能够确认的BUG只有两个。全都是极端情况下才出现的,完全不影响正常使用。我从今年3月末用它的1.3版本配合HIPS,已经让近百台机器完全不出问题的使用到现在。简直是绝配。
l02210221
 楼主| 发表于 2010-10-17 21:28:53 | 显示全部楼层
本帖最后由 l02210221 于 2010.10.17 21:30 编辑

回复 5楼 零下5度 的帖子

作者的博客里发布了2.0,似乎作者自己也确认了在复制超过2G文件是会无法成功,这个BUG似乎有点麻烦
零下5度
发表于 2010-10-17 21:39:35 | 显示全部楼层
回复 6楼 l02210221 的帖子

2G问题确实存在,但是我从来没遇上过往保护区里复制超2G文件的情况。

我是用过2.0后又退回1.3的。主要是每次启动都要询问是否允放两个驱动加载,没有记下我的选择,这点很讨厌。
lrcatcn
发表于 2010-10-17 22:04:59 | 显示全部楼层
本帖最后由 lrcatcn 于 2010.10.17 22:06 编辑

回复 5楼 零下5度 的帖子

很久前就用过,如果对保护盘持续进行大文件的读写操作时(如使用 Photoshop 等图形软件,而缓存又设在系统盘的话),会经常蓝屏,因此对他没有好印象。用过一段时间后,彻底放弃。
XMonster
发表于 2010-10-18 12:40:55 | 显示全部楼层
回复 1楼 l02210221 的帖子

支持测试,另外介个防狗麽?官网看的不防狗,可以测下麽?
l02210221
 楼主| 发表于 2010-10-18 12:42:26 | 显示全部楼层
回复 9楼 dm34343667 的帖子

防狗,这个在作者的博客里有说明
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 05:38 , Processed in 0.119160 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表