比卫士贴扫描差异样本（金山卫士比360多报样本）测试－－仅讨论样本

langsileaa

PS:看来在金山区讨论技术真是个错误！出去了一会回来，这楼都歪倒那里了啊。

发此贴是源于：
说金山不行的，同时支持金山的都给我进来，咱们先比卫士怎么样
http://bbs.kafan.cn/thread-931466-1-1.html

非口水，本帖仅为样本讨论。个人观点：通过几十个样本来评价软件能力本身就是错误的。要通过长期多样本横向、纵向来看待。在卡饭，本人没见过那位童鞋说金山卫士不行。金山的查杀能力个人还是给予很高评价的。只是安全是一个立体防御，不仅仅是查杀，前期御防同样很重要。没人希望系统被病毒搞坏了，有了损失才去用杀软查杀。

而由于厂商对恶意程序定义不同，查杀的范围也会不同。比如在国外，注册机、程序补丁类就查杀的很严格。而国内相对就宽松。这类灰色文件本来就属于可报可不报的范畴。同时检测结果还存在误报的问题。所以具体样本还是要具体对待。

国内很有争议的还有黑客类工具。这个不同厂商定义也不太相同。有的就杀，有的不杀。

回归正题，通过金山卫士和360卫士扫描后，找出差异的样本（金山卫士比360多报样本）。不知道怎么多了两个，没再细看。就分析十个吧
分别为：
1.FPORT.EXE
备注：只看名字，我想对安全了解多点的童鞋都会想起一个DOS下工具来：Fport.exe 说明： 用于检查系统端口占用情况的软件。
双击运行，无衍生物、未写注册表，未联网。MD未检测到有害行为。程序界面如下:



2.KV.EXE
备注：双击运行，程序title为Windows 蠕虫病毒专杀定制工具。无衍生物、未写注册表，未联网，MD未检测到有害行为：




3.MD5CRACK.EXE
备注：看名字只要进行过MD5穷举破解的童鞋应该首先想起它的开源来：一个 MD5 密码暴力破解软件， 破解速度快，支持批量破解，保存进度和特有的插件等功能。无衍生物、未写注册表，未联网，MD未检测到有害行为。




4.QQMODIFY.EXE
备注：文件描述为QQ登录密码修改器。由于没有QQ环境，程序弹出三个窗口。无衍生物、未写注册表，未联网，MD未检测到有害行为。






5.SHARECRACK.EXE
备注：用于破WINDOWS共享文件夹口令。无衍生物、未写注册表，未联网，MD未检测到有害行为。



6.WORD文档保护解除器.EXE
备注：顾名思义。破解word文件保护的东东。邪恶八进制出品，关闭时有网页弹窗，




7.闪盘窥探者.EXE
备注：对该程序不了解，百度了下，貌似是一个可以在后台偷取你闪盘里所有资料的小软件。 只要你的闪盘一插上，所有的东东都被悄悄拷走.代码开放,可以热键呼出。网上有源码。无衍生物、未写注册表，未联网，MD未检测到其它有害行为。


8.远程桌面端口设置.EXE
备注：顾名思义，修改远程终端端口的东东。无衍生物、未写注册表，未联网，MD未检测到有害行为。



9.注册机.exe
备注：不知道啥玩意的注册机。无衍生物、未写注册表，未联网，MD未检测到有害行为。



10.网络测速.EXE
备注：不了解的程序。程序行为见MD日志：

2011-3-13 18:16:29    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\3456\网络测速.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; Cache
2011-3-13 18:16:29    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\3456\网络测速.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; Cookies
2011-3-13 18:16:30    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\3456\网络测速.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\网络质量测试器.exe
值: 网络质量测试器
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache
2011-3-13 18:16:31    创建新进程    允许
进程: c:\documents and settings\administrator\桌面\3456\网络测速.exe
目标: c:\documents and settings\administrator\local settings\temp\网络质量测试器.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\网络质量测试器.exe"
规则: [应用程序组]所有程序规则-外部程序执行规则 -> [应用程序]* -> [子应用程序]*temp\*.exe
2011-3-13 18:16:31    加载动态链接库    允许
进程: c:\documents and settings\administrator\local settings\temp\网络质量测试器.exe
目标: c:\documents and settings\administrator\local settings\temp\avlftp.ocx
规则: [应用程序组]所有程序规则-外部程序执行规则 -> [应用程序]* -> [动态链接库]*temp\*
2011-3-13 18:16:33    加载动态链接库    允许
进程: c:\documents and settings\administrator\local settings\temp\网络质量测试器.exe
目标: c:\documents and settings\administrator\local settings\temp\avlping.ocx
规则: [应用程序组]所有程序规则-外部程序执行规则 -> [应用程序]* -> [动态链接库]*temp\*

测试结果：
除了WORD文档保护解除器.EXE 有弹窗行为,以及闪盘窥探者.EXE有盗窃嫌疑外，其它程序都未检测到恶意行为。但由于处于比较敏感的黑客工具范畴，所以金山报也可以，360不报也可以。

sli

第一个支持下老板 ... [:26:]

小蚂蚁的梦想

来看看 顺道支持下 希望楼主不会被喷

sli

现在最多用毒霸  金山卫士太多没意思的功能基本无用了 ...

sli

回复 3楼 梦想起航 的帖子

如果这样的帖子 也被喷的话  说明素质也太 ...  

langsileaa

回复 3楼 梦想起航 的帖子

被喷估计也会老一套，从RP方面来。这个偶不怕。

xiaofeizei

支持老板

hncdpjh

支持LZ。。。。

kyzi

老板的技术分析贴。。。。
人呢？？？

shanget

楼主对学术的态度很严谨。