转自金山论坛
金山毒霸2008恶意行为拦截之不完全评测
金山毒霸2008之恶意行为拦截评测
By:feng
为了让广大毒霸用户了解金山毒霸2008的新增功能“恶意行为拦截”特作此主要功能评测,
注:非金山毒霸2008恶意行为的所有功能。
运行环境有别,请勿进行雷同测试!
from:http://www.btweb.com.cn/duba2008
主要功能一:
将“宿主释放病毒、注入应用程序的dll释放或远程下载病毒”等恶意行为的宿主作为可疑程序拦截并提示用户处理
可解决的实际问题:宿主毒霸无法查出,但释放的Dll或其他文件毒霸能查,通过恶意行为拦截功能可将宿主反查并上报到毒霸服务器。
实例1:当毒霸验证服务端判断WinRar的md5值是病毒
步骤:
(1)使用毒霸扫描Winrar.exe确认Winrar并不带病毒
 
 image001.jpg (59.06 KB)
2007-10-17 17:40
(2)使用Winrar释放一个病毒样本,见截图
(原先毒霸2007只有下面的发现病毒被删除气泡,现在多了一个恶意行为拦截气泡)
image002.jpg (36 KB)
2007-10-17 17:40
防火墙的气泡提示
image003.jpg (18.82 KB)
2007-10-17 17:40
毒霸杀毒日志
image004.jpg (18.74 KB)
2007-10-17 17:40
------------------------------------------------------------------------------
主要功能二:将释放出来的病毒文件路径添加到监控名单中阻止文件再次生成
实例:继续以上操作打开相同的病毒压缩包,释放病毒到同上的路径,效果如下截图
1.文件创建失败,被防火墙的恶意行为规则拦截(该路径在重启前都将无法创建此文件名的文件)
image005.jpg (25.66 KB)
2007-10-17 17:40
2.宿主会被恶意行为拦截提示:Winrar可疑文件清除成功
image006.jpg (7.67 KB)
2007-10-17 17:40
------------------------------------------------------------------------------
主要功能三:将可疑程序或注入的dll上报毒霸服务器进行验证(其中进程与注入的DLL在服务器返回的结果组合较多[5种以上],故不再进行详细测试)
1.在Winrar(服务器判断正常)进程中注入一个未经数字签名或毒霸服务器无法识别的文件,结果如下图
image007.jpg (19.91 KB)
2007-10-17 17:40
image008.jpg (18.71 KB)
2007-10-17 17:40
2.日志
image009.jpg (17.29 KB)
2007-10-17 17:40
------------------------------------------------------------------------------
主要功能四:实时在线可疑、恶意程序判断、PE文件修改上报功能
经过完以上测试后会发现毒霸目录下的Suspect存在一些zip压缩包(都是未经金山或微软数字签名的可疑文件会被上传服务器验证)
PE文件上报功能:当宿主修改PE文件时,宿主会被识别为可疑行为进行上报
 | 
[复制链接]
发表于 2007-10-17 17:56:57
发表于 2007-10-17 21:18:18
