实验了下BG的主防

zjf954

  用XT实验了下BG的主防，在虚拟机相面装了XP来测试，用XP是觉得目前还是XP的人比较多把，驱动编程也成熟点。
     用的检测工具是XT的0.45版。对于内核检测比较全面。而且他的强制结束没有一个主防能防御的，除非直接拦驱动。            首先是BG，先来看下版本。BG的版本显示比较复杂，在主界面上有一个，在扫描后的日志界面还有一个。

        虚拟机里面刚更新过的，接下啦再看看具体的主防模块的文件版本，BG的主防采用的是NOVASHIELD的技术，好像是同是英国的研究机构的。看驱动目录发现支持7 VISTA XP，而且有原生32 64位支持。不过xp下只支持32位。
[


        这两个文件就是主防的驱动了，看版本是3.1.4.11版的。

开启自我保护
行为检测
       1.XT工具检测
接下来就是XT出场了。启动过程很顺利，也没拦截驱动。

        可见自保是开启的，接下来看看挂钩情况。SSDT红了一大片，看来国外的主防挂钩模式还停留在国内09年的技术上，这点国内领先很多，微点、江民很早就挂的内核钩子了，360和金山现在挂的也是KiFast的系统函数入口了，SSDT就不红了



        看看除了这个还有没有其他的地方挂钩了。
        系统回调挂了三个

        过滤驱动

        定时器

        由于本人水平有线，对于具体意思也不是很懂。所以只能简单测试下
        先恢复全部钩子看看会不会成功


           看来成功了
        接下来恢复那些驱动



        全部成功。不过这个时候自我保护还在，不知道怎么回事，看了下系统中断表，有几个未知模块，应该就是了吧。

        总的来说，虽然就编程水平看，还处在国内09 10年的水平，但是配合着BD的引擎，防御力还是有保障的。对于驱动拦截的不好，这样是容易被驱动级病毒攻破的漏洞吧，在驱动级权限下普通模式的结束就可以成功，所以没试XT的强制结束。主防具体还要看样本，但是不能单开，所以没实验过。下次有时间再实验吧。
        顺便看了下BD引擎的版本问题。从FS区那里看到是BDcore.dll这个文件的版本决定的
看来和FS一样的版本。
2.APT工具结束进程实验
   在虚拟机中打开下载的APT4.2汉化版。来测试各个方式结束进程。在依次选择各个方式，先选择的是BullGuard。exe这更程序。一次选方式，在KILL3方式中被结束，于是选择了BullGuardbhvscanner继续，除了一种方式无法执行外。被内核KILL2结束。录像在网盘。http://dl.dbank.com/c0w4phuifp
3.测试下08年的四大毒王  熊猫烧香、小浩、磁碟机、机器狗
     虽然这些都很老了，但是在当年还是很有代表性的，用的是08年测的时候的样本。
    首先关闭扫描    接下来测试先测试熊猫烧香，运行后行为检测报警了
    虚拟机还原快照后再测试机器狗，也报警
  不过好像NS的行为检测还是有问题的，把用来解压的WINRAR都杀了，听说之前NS单独就有这问题

  再次还原快照，测试小浩。能报警，但是对于病毒的操作无法修复

最后是磁碟机。运行后很长时间都没报警，判断为不能防御
开启扫描后检测出样本为病毒，看来不是样本的问题
看来Ns主防真的只有国内09年的水平啊，除了BD的OEM引擎牛之外，买来的主防真的落后了。当年国产三大和360的水平都没有。不知道是国外病毒少还是怎么的？感觉就停留在当年感染性大爆发时候的水平。
抱着不死心的想法又测试了昨天的毒包。结果还是十分不理想，误杀WINRAR前面已经提到过了。在这个测试中又发现主防只要检测到一个文件是病毒，你点隔离以后会把全部同一个文件解压出来的都报毒，而且在隔离区只能知道运行了被报毒的那个，其他的统统不见了，看来BG隔离区问题不小，之前中文路径在文件数那边显示还是正常的，这个直接就不正常。

而且运行一些样本是卡死，报警到一般出不来



测试进行到这里，真的感觉很失望，完全就是靠BD的OEM在查杀

英九

还不错的

康达

挺强的

牆角寫檢討°

有木有测试ESET5和avast吖？

zjf954

牆角寫檢討° 发表于 2012-3-24 13:14

慢慢来，下了 AVAST GD FS BG来，虚拟机恢复到刚装系统的时候再开始新的测试

牆角寫檢討°

zjf954 发表于 2012-3-24 13:16

加油，哈哈，avast和ESET。是我最想看到的

青春虎

牆角寫檢討° 发表于 2012-3-24 13:19

赞同，我也最想看看小a跟eset的

知微

我没看明白。。。。XT测主防？文中又有自保又有驱动函数。。。。。。。。。。我迷茫了

zjf954

知微 发表于 2012-3-24 14:10

测主防对系统的防护,既然你有这样的问题,那我就去下几个毒包来试试看

-oAo-

谢谢测试