关于BD的追加测试

显示全部楼层 · 发表于 2012-4-28 09:36:12

本帖最后由绅博周幸于 2012-4-28 09:37 编辑

首先大家看我这个测试帖子的30楼：http://bbs.kafan.cn/thread-1276794-3-1.html

有同学建议我对http://bbs.kafan.cn/thread-1211023-1-1.html中提供的样本进行测试，同时再测一些如tdss之类的恶性病毒。

具体我作出如下答复，也算是对BD的追加测试。

1.首先http://bbs.kafan.cn/thread-1211023-1-1.html的样本，BD的特征码就可以全部拦截（有用BD的同学自己进去测试），一点附件就被BD网页监控拦截了而且是拦截了所有的样本。一般正常情况下BD的用户肯定是不会关掉BD的监控的，既然特征码就可以拦截了，主防也就不用出马了，因此我就不用主防测试这些样本了。

2. 关于tdss等恶性病毒，BD区的同学已经有人做过测试了，具体在这里：http://bbs.kafan.cn/thread-1057949-1-16.html
既然都已经有人测试过了，我也就不重复测试了。

3.还有同学让我测最近流行的白+黑，我这里64位跑不起来，因此也就无法测试了。

显示全部楼层 · 发表于 2012-4-28 09:40:11

可BD主防没有回滚，可能有些对系统的修改没有被处理。。。

显示全部楼层 · 发表于 2012-4-28 12:30:18

为什么要测试动态防御，测主防——当然是为了测试防御未知病毒，免杀的病毒的能力！
既然是免杀的病毒，试问特征码和网页监控会拦截么？（此处指下载，不是挂马）
当然，因为我们不是会收集病毒的企业和个人，所以手头很少能找到这样的病毒，那么怎样测试杀软对未知和免杀病毒的防御呢？
当然是通过已知病毒了，因为病毒的行为特征几乎都是相同的，通过已知病毒可以测试主防对病毒行为的拦截情况。
而像lz这样测试主防还要遮遮掩掩，用查杀和网页监控过滤一遍的测试者，真是见所未见！
感觉lz在掩耳盗铃！自欺欺人！
明知白加黑bd拦截不好，用64推脱，真想测试，你安装虚拟机啊！

显示全部楼层 · 发表于 2012-4-28 12:32:50

还有，我说过那种半截式的测试（只看弹框就表示成功拦截的）是不完全的
建议用hips监控完行为了，再对照测试，拦截的是否完全，系统是否留下了隐患（注册表或文件修改类）

[讨论] 关于BD的追加测试