特殊测试费尔系统加固，费尔被穿过，官人请进

Flameocean

本测试也可以在我费尔测评4楼看到，希望大家指正：（http://bbs.kafan.cn/forum.php?mo ... 5277&fromuid=525863）

特殊测试：笔者刚才在卡饭国内下载由zhq445078388 卡饭饭友的进程截杀器测试版：http://zmpi-safe.3322.org/download/BetaNice_taskkill_1_0_1_0.exe本程序上传火眼系统没有恶意行为动作，为了是测试程序的防护能力。火眼系统http://fireeye.ijinshan.com/analyse.html?md5=e1a151468b644530b32fb44af9fa47b0
大家在测试时候，费尔可能会报毒，请放心使用，为了测试费尔的系统加固的水平和强度，为了进一步晚上费尔V8
测试如下，笔者把自保强度设置为最强，然后把系统加固里面的全部勾选上了。



      
笔者测试强制重启之后，费尔弹出了蓝屏故障保护，笔者选择了阻止，电脑出现了一分钟重启，根据作者提供强制重启原理的方法：｛
似乎是利用蓝屏来强制关机，希望费尔官方研究一下费尔的对策 ｝


强制启动原理：

---

在用户态重启机器 真是太方便不过了 直接调用ExitWindowsEx就可以了
但是在内核态 我们不能直接用ExitWindowsEx，
当然 根据WINDOWS的尿性 我们能找到NtShutdownSystem
但是这货没导出。。
所以下心找了下，结果在MJ0011那里 找到了这个神奇的方法
KeBugCheck(POWER_FAILURE_SIMULATE);
当时猛一看很奇怪 这个直接调用bugcheck 不就蓝屏了么。。
MJ大大很负责的在下面写了：
“也许你会认为这是BugCheck,那么你错了，这并不会引发bugcheck
这样实际上会调用了HalReturnToFirmware(HalRebootMachine)
当执行了BugCheck回调后，无BSOD，无Crash dump,只会进行非常干净、简单和直接的重启动；）”地址：http://zmpi-safe.3322.org/mybolklog/Ring0_shutdown.html

---

然后笔者重启电脑之后选择了其余几个选项包括关闭计算机和重启，费尔都没有提醒，电脑就自动重启和关机了 ，但是笔者刚才在国内区了解到COMODO成功拦截了强制重启，图片如下：




点评：希望费尔有针对性研究一下这个程序的原理，似乎是费尔设计考虑不周？？？？需要增加系统加固。
希望费尔官方解释一下）

zhq445078388

毛豆不是拦截了重启 是拦截了安装 因为没数字签名..

Flameocean

zhq445078388 发表于 2012-8-20 15:57
毛豆不是拦截了重启 是拦截了安装 因为没数字签名..

关键是毛豆拦截了这个强制进程的动作没

zhq445078388

Flameocean 发表于 2012-8-20 15:58
关键是毛豆拦截了这个强制进程的动作没

鬼知道...那货又没发 ..你测下呗
另外 是加驱的 只不过驱动入口就是强制重启了..~

Flameocean

zhq445078388 发表于 2012-8-20 15:58
鬼知道...那货又没发 ..你测下呗
另外 是加驱的 只不过驱动入口就是强制重启了..~

费尔是蓝屏了，依然重启系统，其他几个选项，直接重启，费尔没有反应

zzl2008

看来费尔的系统加固还需要加强啊！！！

Filseclab

从测评中了解到蓝屏保护起到了作用，但没有阻止1分钟后依然重启，蓝屏保护设计目标也是尽量阻止某些蓝屏一段时间，不能阻止全部蓝屏事件。关机保护是V8的一个辅助功能，它的设计目标不是为了阻止所有的关机方法，和自我保护一样过强的保护容易造成系统的不稳定风险，所以V8只对常见的关机方法进行了保护，满足日常安全保护的需要。我们会测试一下这个程序看是否有提升保护的空间和需要。

Flameocean

Filseclab 发表于 2012-8-20 16:59
从测评中了解到蓝屏保护起到了作用，但没有阻止1分钟后依然重启，蓝屏保护设计目标也是尽量阻止某些蓝屏一段 ...

你们一点要测试一下这个程序，其他几个选项，包括关键，重启，强制重启，费尔都不能拦截

Filseclab

Flameocean 发表于 2012-8-20 17:06
你们一点要测试一下这个程序，其他几个选项，包括关键，重启，强制重启，费尔都不能拦截

好的。

老机子

zhq445078388 发表于 2012-8-20 15:58
鬼知道...那货又没发 ..你测下呗
另外 是加驱的 只不过驱动入口就是强制重启了..~

此货表示，那是毛豆对没有数字签名的任何可执行文件的正常弹窗！将其加在可信安全程序，可以顺利安装！
——此货同时表示点击，你那货的智能分析。开始优化可以将毛豆搞坏！但没有任何蓝屏！刚才重启了一下，OK！平心而论，你这个兼有内存整理，和进程强制结束2重功效，还是不错的！