关于“李白VS苏轼”测试Dr.Web自我保护的几点说明

留侯

12月11日，李白vs苏轼在国外区发表了一个帖子：★★★几分钟秒杀大蜘蛛drweb7,,,让他直接失效..........................弱爆了,....详见：http://bbs.kafan.cn/thread-1147544-1-1.html。此帖一出，国外区哗然，争议声一直不断，有赞同的，亦有反对的。更多的人，是对这个测试的过程不了解，因为既有失败的例子，比如说ckc和李白vs苏轼的测试结果，也有成功的例子，比如我和a13828565410实机测试的结果。

由于本人不是计算机专业人员，亦不是Doctor Web的官方工作人员，所以对此问题的理解不够，直到等到创科贸易的工程师回复之后，才彻底了解。那么，同一个Doctor Web软件，为何在不同的系统下，不同的用户手中，发生了不同的变化，经过我本人、创科贸易工程师和a13828565410会员的测试，结合李白vs苏轼的测试，我发现了问题的最终所在，那就是——保护Windows操作系统的重要文件的选择上：


但是，李白vs苏轼已经选择了这个选项啊！为何会失效，就此问题，我们特意咨询了一下官方技术人员，他们给出了说明。故我特此澄清说明如下：

一、Dr.Web Anti-virus默认没有选择保护Windows操作系统重要文件，用户选中这个选择之后，需要1-2分钟内，Dr.Web Anti-virus才能完成锁定并保护系统。这是因为Windows操作系统版本的不同，Registry亦有所差异，Dr.Web需要一定的时间来搜索并锁定。等待1-2分钟完成锁定，或者用户设置之后即时重启，即可完成设置。运行那个文件，重启之后，Dr.Web一切正常，检查Registry "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"也没有被修改。

这也是为何同样的测试，李白vs苏轼失效，而a13828565410成功的原因，因为a13828565410设置完成之后，还进行了其他的演示说明，使得Dr.Web有足够的时间完成搜索并启动完成防护机制。详细可以参考：http://bbs.kafan.cn/thread-1160301-1-1.html

二、这个测试，是利用了映像劫持的漏洞，详见：http://baike.baidu.com/view/1008480.htm。该漏洞在VISTA/Windows7下，已经利用UAC弥补，只存在于XP系统中。所以：
1、在VISTA/Windows7下面，只要启动UAC，不管是否启用Dr.Web的“保护Windows操作系统重要文件”，均可做到防护。
2、在XP系统中，或者是在VISTA/Windows7系统中，只要启动“保护Windows操作系统重要文件”，均可抵御这个漏洞。
ckc和另外一个会员之所以失效，就是关闭了UAC，亦没有启动“保护Windows操作系统重要文件”这两个选择。

三、这个测试，只是测试了XP的IFEO漏洞，并没有涉及到Dr.Web Anti-virus自我保护。关于Dr.Web自我保护，我再强调几点：
1、Dr.Web自我保护，不是针对资源用户的行为。用户本机操作，不必这么麻烦，直接关闭Dr.Web自我保护，或者下载一个Dr.Web卸载工具即可。
2、Dr.Web的自我保护，是在系统最低层面运行的驱动程序。在重新启动前无法进行卸载或停止其运行。Dr.Web Selfprotect能够在系统驱动层面上阻止有害对象入侵网络、文件及文件夹、扇区部分分支和移动盘，从而杜绝反反病毒软件攻击Dr.Web得逞。
许多其它反毒软件是对Windows的引擎进行改型（节取中断、替代扇区表格、使用某些未公布的功能等等），这样的做法可能会导致操作系统发生严重的故障，甚至可能会产生利用缺陷的新途径。与这些反毒软件不同， Dr.Web SelfPROtect保护模块是完全独立的，不对操作系统产生任何影响。

四、关于Dr.Web对Windows操作系统重要文件和注册表项的防护，其实早在去年我就监测了，那是关于安装微软拼音时发生的事情，详见：http://bbs.kafan.cn/thread-741278-1-1.html。其实这里面非常明确地阐述了Dr.Web保护这个注册表项的事实：
Product: Microsoft Office IME (Chinese (Simplified)) 2010 -- Error 1406. Setup cannot write the value DisableExceptionChainValidation to the registry key \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\imccphr.exe. Verify that you have sufficient permissions to access the registry or contact Microsoft Product Support Services (PSS) for assistance. For information about how to contact PSS, see PSS10R.CHM.
由于我知识的缺陷，所以一直都不清楚，需要等上1-2分钟之后，才能完成防护工作。真是汗颜！

五、又由于我知识的缺陷，以为在虚拟机和实机测试中会有所区别。现在已经确定，关于这个漏洞的监测，在虚拟机和实机测试中，结果是一样的。在此特向李白vs苏轼说明。但是这并不表明Dr.Web Anti-virus和虚拟机没有冲突存在。

无论如何，我是赞赏李白vs苏轼的这次测试！也感谢他的这次测试，使得我更加了解Dr.Web。同时也感谢创科贸易工程师和a13828565410会员的测试，对ckc的测试表示遗憾和慰问。谢谢大家对Dr.Web的支持！

假如广大的非Dr.Web Anti-virus用户想要测试，并测试之前的版本的话，我这里提供Dr.Web Anti-virus6.0版本的下载地址：
ftp://ftp.drweb.com/pub/drweb/windows/drweb-600-win-x86.exe
ftp://ftp.drweb.com/pub/drweb/windows/drweb-600-win-x64.exe
发布时间为10月24日，建议在安装的时候，不要选择更新。因为Dr.Web7.0目前已经发生了重大更新，所以可能会造成一定的误解。同时大家也可以到Doctor Web香港及澳门总代{过}{滤}理商创科贸易的下载点进行下载：http://www.drwebhk.com/zh/downloads/w.antivirus.php

同时，我亦邀请李白vs苏轼，使用旧版本，选择Dr.Web设置——其他中的：阻止可疑操作，对Dr.Web Anti-virus再一次进行检测！

我相信没有亲自测试，就没有发言权！这也是我一直坚持碰到问题首先自己先执行检测确定的原因，而Dr.Web在已经被病毒感染的系统上安装和运行，也就是反映像劫持的能力，是如此地出众，才使得我想都不想地立刻执行了实机测试。同时也希望大家在碰到某些问题时，不要人云亦云。

另外，Dr.Web Anti-virus的自我保护的测试，主要是执行远程攻击的方式，而并非在本机上操作。对于有能力的高手，我希望你们能真正对Dr.Web Anti-virus的自动保护，发动攻击，找出Dr.Web自我保护中的漏洞。Doctor Web即将在天津成立中国分公司，员工绝大部分都是国内招聘，也希望大家能进行尝试！

再次感谢大家的阅读和支持！
谢谢！

怎么样了

"没有亲自测试，就没有发言权！"

赞同 !

剑步如飞

嗯，希望大蜘蛛越来越好吧~

安仔

"没有亲自测试，就没有发言权！"  

很支持这句话  没有实际证据 就不要道听途说 胡说八道了 ...

炎之使者

支持，我比较赞成楼主对大蜘蛛自保问题的观点，

luobinhan23

依然沒有結論咱還是繼續YY紹興黃酒吧哦
大家一起來YYYY啊YY哦

zhym91

恩，这下终于算是能够说明问题了~~流言与口水能停一会儿了吧~~~
ps：最近国外区口水有点多~~

留侯

luobinhan23 发表于 2011-12-15 15:54
依然沒有結論咱還是繼續YY紹興黃酒吧哦
大家一起來YYYY啊YY哦

呵呵……
结论很简单呗！
1、Dr.Web能防护这个漏洞，其实早就在去年7月份那个安装微软拼音2010的帖子中已经很清楚了。

2、Dr.Web反映像劫持能力和自我保护还很强，主要证明是Dr.Web能在被病毒感染的系统上安装和运行，以及Dr.Web Anti-virus几乎很少出现被病毒干掉的能力。

3、Dr.Web Anti-virus没有配置HIPS（主机入侵防御体系），才会出现这样的问题。

一句话，这个测试，证明了Dr.Web不包含HIPS，与Dr.Web Self—PROtect无关！这就像之前贴出来的测试防火墙反泄漏功能一样。

cst8899

蜘蛛只有得到众人的关注，才能越来越好、

黑夜独行

有了楼主的这个帖子和李白vs苏轼先前那个帖子（http://bbs.kafan.cn/thread-1149789-1-1.html）之后，确实也应该结束对这个问题的讨论了，在这么纠缠下去似乎没什么意义