25款杀软的自保护测试! (基本都不能完全通过)

xiaomudou

25款杀软的自保护测试! (基本都不能完全通过)

转载请保留地址及作者名称

深度 inerir    http://bbs.deepin.org/read.php?tid=230061&fpage=2


此测试仅供参考

---------------------------------------------------------------------------------------------------
主要是测试监控无提示情况下能破坏哪些杀软]
虽然都是些比较老的办法 老实说没什么技术性.
在火星病毒测试横行的现在 我也来做一次火星的自保护测试吧!

先说明下详细的
1.SSDT恢复 用syscheck的 不加强化检测(无驱动 仅读写内存)
2.结束进程 不加载驱动 使用软件:syscheck
3.停止服务(net命令停止服务) 主要测试使用net命令停止服务可以破坏哪些保护(病毒也常用这招)
4.删除文件(加载驱动删除杀软的HOOK文件) 使用软件:360filekill unlocker
5.卸载全局钩子 使用软件:syscheck
表中情况下面会有解释(注意:成功不是通过测试的意思 反而是未通过的意思- -）

参与测试杀软(均采用默认设置[除打开文件监控必要的设置])
考虑到一些浏览器的字体设置 故用图片显示结果


图片附件: 83_230600_e26f9887e69f4c1.jpg (2007-7-9 16:16, 70.29 K)






说明:
---------未通过测试---------
成功(杀软无任何提示下成功操作 监控失效)

----------通过测试----------
失败(该操作被阻止或无法成功)
提示(该操作被提示 有阻止的机会)
蓝屏(不用我解释了吧)
无效(杀软无任何提示下成功操作 但监控仍然有效
无  (杀软无相对应项或无法检测出)


例外情况:
(1).卸载全局钩子后部分程序出错 重启shell以后保护失效

(2).基本同2 把360filekill的易语言组件报毒了 unlocker只能部分删除 但是保护仍然被破了

(3).把360filekill的文件报成病毒(易语言组件- -) unlocker不能完全删除 这时再打开病毒程序 虽然有报毒却不能阻止运行 (AVG只有打开文件只才会检查是否有毒 [如果有错麻烦指正])

(4).SSDT恢复可以破坏FS的hips模块 但是无法使病毒监控失效 但是也这时候也可以把进程结束了 保护一样破

(5).结束后打开任何程序假死好一阵子 不过仍然能打开 属于成功那类吧..

[关于易语言组件报毒的问题:这跟病毒库有关系 所以再这次测试中未尽准确 已知上述测试杀软中最新病毒库报易语言病毒的有 AVG Panda VBA32]

---------------------------------------------------------------------------------------------------

后注:
(1)
我不会编程 所以写不出示例程序（部分未通过停止服务测试的可以编写bat 用net stop "服务名" 来破坏保护 至于taskkill就没测试过了 有兴趣的可以自己来试试)
但是我可以肯定 上述手动行为都可以通过编程自动实现(因为之前已经都看过这类型的病毒了)

(2)
卸载全局钩子 大概都是把杀软右键杀毒的dll全局卸载了 所以对文件监控是没什么影响的...
只有金山比较例外 因为会使部分程序立刻出错 之后金山也崩溃了 保护失效
因为测试比较粗略 无法顾及杀软自身设置等...
例如卡7主防把注册表保护的System Services开了就可以拦截360删除工具的驱动等来避免被删除文件或结束进程
至于结束进程的测试 为了区别只是用了syscheck 真的没有加载驱动(加载了估计除FS&卡7外全挂 无提示的全挂) 难道要我用windows自带的任务管理器测么...
停止服务的只要有依存关系的注意用net stop停止的顺序就可以达到无提示了
删除文件这个因为360有加驱动 所以不拦的基本全过了 实际上为了心里舒服点可以无视掉这项
因为现有杀软还没有多少会对驱动加载拦截...

因为一开始没想到所以没纪录下实际的项目 不准之处请多多原谅 多多指出

(3)先说几个本来预定但实际不测的:
其实大部分是因为我自己累(懒)了 实在不愿意测下去了
驱逐舰(DRWEB4.44都测过了.. 引擎一样不再测试)
AVK(因为是集成别人的引擎的 AVP引擎一直不换 估计结果也差不多 不想测了- -)

(4)
谢谢几个人的- -
Arch☆Angel 6级的英语..
消魂十指令 上述测试的很多杀软都是他提供的下载地址和序列
beta2 提供了CA Internet Security Suite 2008 beta2的地址 (beta1无法升级&打开监控)

测了两天 基本吐血了

下面是几张截图

(1).800多M的杀软



图片附件: 83_230600_86756d75d27c1d7.jpg (2007-7-9 16:16, 49.87 K)




(2).里面的内容



图片附件: 83_230600_9c2034adf957e52.jpg (2007-7-9 16:16, 44.05 K)

promised

这个是绅博的
人家参加活动呢
还有你这个帖子发错区了

hj5abc

here..