[防御测试] 金山vs熊猫xxoo（修复不够智能！！！）

显示全部楼层 · 发表于 2012-4-19 18:07:23

测试目的：为了得体验分数，换根毛巾用用
测试环境
虚拟机
windows xp sp3
内存 512m

(谁是我呢？啦啦啦啦）
1.病毒样本（熊猫烧香xxoo)
病毒百科
熊猫烧香是一种经过多次变种的蠕虫病毒变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要通过下载的档案传染。对计算机程序、系统破坏严重。
2.测试内容部分
1.防御
先将金山毒霸升级到最新版本

然后关闭云防御

单击样本运行
成功

2 先让病毒运行，再启动毒霸
已经中毒了

下面点击毒霸
有拦截
成功
3 看修复情况

等啊等啊

真的有这么多么。。。。。。91项
我的md
记录行为2012-4-19 17:01:18       c:\windows\system32\drivers\spo0lsv.exe       访问网络       UDP [本机 : 137 (netbios-ns)] ->  [192.168.96.1 : 137 (netbios-ns)]       允许       [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2012-4-19 17:01:26       c:\windows\system32\drivers\spo0lsv.exe       修改文件       C:\Program Files\Kingsoft\kingsoft antivirus\kdumpfix.exe       允许       [文件组]所有执行文件 -> [文件]*; *.exe
2012-4-19 17:01:26       c:\windows\system32\drivers\spo0lsv.exe       修改文件       C:\Program Files\Kingsoft\kingsoft antivirus\kdumprep.exe       允许       [文件组]所有执行文件 -> [文件]*; *.exe
2012-4-19 17:01:26       c:\documents and settings\administrator\桌面\gamesetup.exe       结束其他进程       c:\windows\system32\drivers\spo0lsv.exe       允许       [应用程序]*
2012-4-19 17:01:45       c:\windows\system32\drivers\spo0lsv.exe       修改文件       C:\Program Files\Kingsoft\kingsoft antivirus\KSafeWeibo.exe       允许       [文件组]所有执行文件 -> [文件]*; *.exe
2012-4-19 17:01:48       c:\windows\system32\drivers\spo0lsv.exe       修改文件       C:\Program Files\Kingsoft\kingsoft antivirus\kvipupd.exe       允许       [文件组]所有执行文件 -> [文件]*; *.exe
2012-4-19 17:02:31       c:\windows\explorer.exe       创建新进程       c:\windows\system32\notepad.exe       允许       [应用程序]*       命令行: "C:\WINDOWS\system32\NOTEPAD.EXE" C:\Documents and Settings\Administrator\桌面\新建文本文档.txt
2012-4-19 17:02:41       c:\windows\system32\drivers\spo0lsv.exe       修改文件       C:\RECYCLER\S-1-5-21-796845957-1383384898-1606980848-500\Dc11.exe       允许       [文件组]所有执行文件 -> [文件]*; *.exe
2012-4-19 17:05:21       c:\program files\kingsoft\kingsoft antivirus\kscan.exe       从其他进程复制句柄       c:\windows\system32\verclsid.exe       允许       [应用程序]*       句柄: (File) C:\Documents and Settings\Administrator
2012-4-19 17:14:45       c:\program files\kingsoft\kingsoft antivirus\kscan.exe       删除文件       C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\DCARHINP\funb_n20120331[1].js       允许       [文件组]所有执行文件 -> [文件]*; *.js
2012-4-19 17:14:46       c:\program files\kingsoft\kingsoft antivirus\kscan.exe       删除文件       C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\DCARHINP\init0331[1].js       允许       [文件组]所有执行文件 -> [文件]*; *.js
2012-4-19 17:14:46       c:\program files\kingsoft\kingsoft antivirus\kscan.exe       删除文件       C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\LA1LP8SZ\funb2_n20111216[1].js       允许       [文件组]所有执行文件 -> [文件]*; *.js
2012-4-19 17:14:46       c:\program files\kingsoft\kingsoft antivirus\kscan.exe       删除文件       C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\LA1LP8SZ\localStorage[1].js       允许       [文件组]所有执行文件 -> [文件]*; *.js
2012-4-19 17:14:47       c:\program files\kingsoft\kingsoft antivirus\kscan.exe       删除文件       C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\LA1LP8SZ\online[1].js       允许       [文件组]所有执行文件 -> [文件]*; *.js
2012-4-19 17:14:47       c:\program files\kingsoft\kingsoft antivirus\kscan.exe       删除文件       C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\VBYL0FLU\20120419[1].js       允许       [文件组]所有执行文件 -> [文件]*; *.js
2012-4-19 17:14:48       c:\program files\kingsoft\kingsoft antivirus\kscan.exe       删除文件       C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\VBYL0FLU\57516[1].js       允许       [文件组]所有执行文件 -> [文件]*; *.js
2012-4-19 17:14:49       c:\program files\kingsoft\kingsoft antivirus\kscan.exe       删除文件       C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\VBYL0FLU\common_n1216[1].js       允许       [文件组]所有执行文件 -> [文件]*; *.js
2012-4-19 17:14:49       c:\program files\kingsoft\kingsoft antivirus\kscan.exe       删除文件       C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\YVJ3G1DA\baidu[1].js       允许       [文件组]所有执行文件 -> [文件]*; *.js
2012-4-19 17:14:49       c:\program files\kingsoft\kingsoft antivirus\kscan.exe       删除文件       C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\YVJ3G1DA\fw[1].js       允许       [文件组]所有执行文件 -> [文件]*; *.js
2012-4-19 17:15:20       c:\program files\kingsoft\kingsoft antivirus\kxetray.exe       创建新进程       c:\program files\kingsoft\kingsoft antivirus\kvipupd.exe       允许       [应用程序]*       命令行:  -update:0 -kvipinit:10001&1508
2012-4-19 17:15:21       c:\program files\kingsoft\kingsoft antivirus\kscan.exe       从其他进程复制句柄       c:\program files\kingsoft\kingsoft antivirus\kvipupd.exe       允许       [应用程序]*       句柄: (File) C:\Program Files\Kingsoft\kingsoft antivirus
好吧
我表示太多了

看看情况

powertool的图标没了（文件被删除）
这。。。。。。
能不能不要删除啊啊啊啊啊
毒霸的修复引擎又打了酱油了
尼玛桑不起啊。。。。。。。。。。
4 写在之后
感觉前面测试的大大（有个人测过熊猫烧香，发现图标没变，反映过的）
那个问题仅仅是删除文件是没有意义的

这种仅仅删除文件的做法没有多大意思
如果用户电脑上所有可执行文件全部被感染了，金山仅仅是删除文件了事，那么不如知己重装系统得了
何必安装杀软呢，裸奔不是更基情么？？？
啦啦啦，到此结束，我的体验分啊。。。。。啦啦啦
  熊猫烧香病毒样本.rar (42.63 KB, 下载次数: 2) 要分啊。。。。。。。换毛巾啊啊啊啊啊啊啊啊