查看: 5241|回复: 17
收起左侧

[讨论] 关于BitDefender 2011主防的一些说明【回帖内容:疑问、解答、个人感受】

  [复制链接]
あ掵㊣峫淰℡
发表于 2011-1-20 13:00:44 | 显示全部楼层 |阅读模式
本帖最后由 あ掵㊣峫淰℡ 于 2011-1-21 12:05 编辑

前言:以下是测评区的BitDefender(2011)测评帖:点我查阅,其主防拦截率优秀。
于是,很多会员都心动的装上了BitDefender 2011,结果自己体验时却没有测评区的结果那么高。
在此说明,其结果差异源于设置~

正文:
一、个人设置
在测评区,测试时的设置如下(本人测试时使用):
active virus control  活跃病毒控制 (AVC)

Instusion Detection System  入侵检测系统 (IDS)

声明:不过这样误报会较多!不过为了拦截率,误报还是忍了吧。
【sniss:如此设置主要误报来源于IDS】

二、弹窗问题
由于BitDefender翻译的问题,使得BitDefender在拦截时提示和其它的类软件不一样。
主要体现:
A.允许的意思是允许该程序继续运行(信任其行为);
B.确定的意思是将此程序拦截(阻止其运行);
C.勾选"记住针对该应用程序的这个操作"将其添加至白名单中。(服了汉化人员了~)

具体如图所示:


三、主防还是特征码?举例说明一下~
此次测试使用的是卡饭样本包中的Temp_Setup(61).exe
A.关闭实时防护下的设置:



B.样本运行前,检测一下系统:







C.
双击运行Temp_Setup(61).exe
昨天BitDefender主防弹窗结果(小注)


今天BitDefender主防弹窗结果:


小结:通过查看任务管理器,繁衍生物没有成功运行~由此看来BitDefender(2011)拦截了向Windows文件夹注入程序的这一行为。

D.然后,点击确定后(阻止其运行),再次查看Windows 任务管理器:

E.样本运行后,再次检测一下系统:






但我发现了件很奇怪的事情,BitDefender拦截之后,查看了如下位置(对衍生物的所在地检查):


隔离区Windows文件夹日志
无/未发现无/未发现无/未发现

【sniss猜测】:在实时防护开启时,侦察到病毒的主操作是移动到隔离区内;然而现在关闭了实时防护,那么是不是子选项卡上(对病毒的处理)的此操作也被关闭了?如果子选项卡上的此类操作被关闭,那主防侦察到病毒之后的操作是什么呢?由此我对它的解释是:直接删除,不记录到日志中。

F.重启之后:


双击运行Temp_Setup(61).exe后的行为产生效果进行检查:

Windows 任务管理器进程数未发现异常程序(可对前后进程数进行对比)
BitDefender自我保护开机时,未被阻止其进程运行
IE主页变化(恶意网页篡改)未被篡改
桌面图标变化(流氓程序的植入)未被植入

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +50 人气 +1 收起 理由
jack1986001 + 1 2月报名贴将启用新的规范
鲁路修 + 50 版区有你更精彩: )

查看全部评分

あ掵㊣峫淰℡
 楼主| 发表于 2011-1-20 13:01:06 | 显示全部楼层
本帖最后由 あ掵㊣峫淰℡ 于 2011-1-21 12:20 编辑

也许步骤有错误,不过BD拦截还是比较干净的。
但是没有回滚,碰到某些病毒行为BD只能阻止继续破坏却不能恢复到原状态。这个方面BitDefender需要改进。
MPKYJoJO
发表于 2011-1-20 13:56:58 | 显示全部楼层
辛苦了!
更要谢谢LZ也解答了我的疑惑----BD的主防是靠他的病毒库或者说特征码才起作用的疑惑!
现在我个人认为杀软的优秀与否直接看主防即知![:26:]
不知是不是自己有些偏见!
所以对这方面的评测很是喜欢和关心!
BD这个也算是智能主防了吧!
鲁路修
发表于 2011-1-20 18:38:41 | 显示全部楼层
本帖最后由 sniss 于 2011-1-21 12:07 编辑

总算排好了

与本主题讨论无直接关联的回复已删除!

评分

参与人数 1人气 +3 收起 理由
あ掵㊣峫淰℡ + 3 感谢排版

查看全部评分

sololp 该用户已被删除
发表于 2011-1-21 08:56:24 | 显示全部楼层
本帖最后由 sololp 于 2011-1-21 09:02 编辑
あ掵㊣峫淰℡ 发表于 2011-1-20 13:00
前言:以下是测评区的BitDefender(2011)测评帖:点我查阅,其主防拦截率优秀。
于是,很多会员都心动的装 ...


1.整个思路有问题,明白着特征码拦截了释放的文件,与“看来BitDefender(2011)拦截了向Windows文件夹注入程序的这一行为”有毛关系?正确的思路是关闭特征码监控,才能看出是不是有没有win32splw.exe这个文件释放.但是这个文件已经上报,针对这个文件的讨论已经没有意义.根本没有特征码拦截行为这一说,你的贴图里可以看到,有些有特征码,有些没有,完全就可以说明问题
2.很有可能这个样本只有这么一个行为,看是否完全拦截应该在沙盘或者在线沙盘看到他的所有行为,然后在运行后一一对照,而不是单纯看看进程,加载驱动这么简单。而且主防是需要的单步智能完全拦截,参照fs和norton的主防标准,这就是差距
3.测试要严谨,小朋友,因为要的是让你测试到它的原理,原理不对拦截就不完全,一次二次的贴图只是个别现象

评分

参与人数 1经验 +5 收起 理由
鲁路修 + 5 版区有你更精彩: )

查看全部评分

あ掵㊣峫淰℡
 楼主| 发表于 2011-1-21 09:58:26 | 显示全部楼层
本帖最后由 あ掵㊣峫淰℡ 于 2011-1-21 12:10 编辑
sololp 发表于 2011-1-21 08:56
1.整个思路有问题,明白着特征码拦截了释放的文件,与“看来BitDefender(2011)拦截了向Windows文件夹 ...

1:这个程序向Windows文件夹注入文件的行为是存在的。 只不过昨天你认为是BD主防拦截的是繁衍生物运行产生的行为且没有完全拦截,而事实证实:BD拦截的是向Windows文件夹注入文件的行为且拦截干净。(这个文件被BD拦截释放,所以才找不到文件)

2:我认为测试主防的标准不应该是是否完全拦截行为。我的标准是样本运行后是否对电脑造成影响(因为ai版有时候会加入一些白文件,昨天的56号样本就是)
3:原理这个我真的不清楚

评分

参与人数 1经验 +6 收起 理由
鲁路修 + 6 版区有你更精彩: )

查看全部评分

sololp 该用户已被删除
发表于 2011-1-21 10:03:55 | 显示全部楼层
本帖最后由 sniss 于 2011-1-21 12:11 编辑

回复 6楼 あ掵㊣峫淰℡ 的帖子

因为bd是单步拦截,不对整个流程进行控制
这个是特征码查杀,肯定对这个文件拦截,你理解太有问题了。只是查杀的衍生物,说明没有对本体拦截完全,所有有第三条

评分

参与人数 1经验 +5 收起 理由
鲁路修 + 5 版区有你更精彩: )

查看全部评分

あ掵㊣峫淰℡
 楼主| 发表于 2011-1-21 10:14:13 | 显示全部楼层
本帖最后由 あ掵㊣峫淰℡ 于 2011-1-21 14:22 编辑

回复 16楼 sololp 的帖子

这个是特征码查杀,肯定对这个文件拦截,你理解太有问题了。只是查杀的衍生物

这个测试我关闭了特征码查杀,整个过程中完全没有特征码介入。繁衍物被拦截是因为病毒触犯了BD入侵检测的规则(姑且这样说),BD是不允许向Windows及其子文件夹注入文件的。所以BD拦截了这个文件的生成并报本体可疑。

说明没有对本体拦截完全

我很在很早的时候已经说过了,当BD的入侵检测拦截到子进程可疑行为,你阻止了之后BD活跃病毒控制会强行结束父进程。所以误杀很大。

以这个样本为例:

情景1:拦截向Windows注入文件 拦截后BD强行结束源进程

情景2:拦截向Windows文件夹注入的文件的可疑行为 拦截后BD强行结束进程树

无论哪一种,BD的拦截机制都能完美拦截
(所以1L测试时点击“确定”后源程序进程会消失《被结束了》)



评分

参与人数 1经验 +5 收起 理由
鲁路修 + 5 版区有你更精彩: )

查看全部评分

鲁路修
发表于 2011-1-21 10:21:00 | 显示全部楼层
本帖最后由 sniss 于 2011-1-23 18:27 编辑
sololp 发表于 2011-1-21 10:03

因为bd是单步拦截,不对整个流程进行控制


Most common process actions considered suspect by Active Virus Control:
§Not waiting for/requesting any type of user interaction

§Not displaying any type of UI when terminating the execution

§Copying or moving files in C:\Windows\ or C:\Windows\Systme32\

§Having as an icon and unrelated types of an icon (e.g. a process that has as an icon a folder icon; social engineering tactics)

§Executing code in other processes’ space (trying to execute code with higher privileges)

§Running files that have been created by themselves with information stored in its binary file.

§Copying its own contents inside a different file on a disk (replicating itself)

§Adding itself in the startup sequence of the Operating System.

§Hiding themselves from typical process enumeration applications.

§Dropping drivers in C:\Windows\System32\ and registering them

Important note:
None of the actions listed above is relevant enough by itself. This is why Active Virus Control keeps a score and monitors the process until a threshold is reached. Identifying only one of this actions, renders that specific process as suspect (to some degree), but not as malicious.



sololp 该用户已被删除
发表于 2011-1-21 10:52:41 | 显示全部楼层
本帖最后由 sniss 于 2011-1-21 12:11 编辑

回复 8楼 あ掵㊣峫淰℡ 的帖子

哦,2011加入的ids没测试过.但是依然没有回滚,只能通过ids往上推

评分

参与人数 1经验 +10 收起 理由
鲁路修 + 10 感谢支持,欢迎常来: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 17:31 , Processed in 0.176285 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表