查看: 16672|回复: 82
收起左侧

[分享] 【2.12】火绒互联网安全软件正式版全方位测评/体验 多图杀猫/宏病毒查杀结果修正!

  [复制链接]
思齐鼠
发表于 2013-2-10 20:38:59 | 显示全部楼层 |阅读模式
本帖最后由 思齐鼠 于 2013-2-12 08:59 编辑


下载火绒:www.huorong.cn
战况播报,在已经进行的两轮测试中,:
·在第一轮阴沟里翻船,因为一个细节问题,获得了0.6分
·在第二轮,面对未知的高威胁病毒,全面失守,导致系统沦陷,获得0.3分                                ·在第三轮宏病毒查杀修复测试中,出色侦测/修复宏病毒样本,等第:优秀

PS.本帖将会在接下来的几天中持续更新!欢迎关注!
测试分为:
·行为拦截测试(连载中·······)
·宏病毒查杀修复测试(完成)


测试:Sky Raker&zyymartin
病毒样本支持:Security Observer(http://seco.avkit.net)


行为拦截测试:
评分标准
在关闭软件的传统杀毒功能和云扫描功能(如果有的话),保留其他所有功能的情况下,运行样本。如果HIPS有弹窗,均选择拒绝操作并结束进程
对每个样本,
1.HIPS完全没有反应,系统沦陷的,得0
2.HIPS给出了足以使用户警觉的提示,但未能作出任何实质性阻止的,得0.3
3.HIPS给出了提示,阻止病毒部分活动,减小了病毒危害,或对手动检查、清除有较大帮助的,得0.6
4.HIPS阻止了病毒大部分实质性操作,病毒不能再危害系统的,得0.9(成功防御)
5.HIPS阻止了病毒所有操作,病毒对系统无任何影响的,得1(完全防御)
6.如果我主观判断HIPS弹窗很难引导用户做出正确选择,所得分数减半(取小数点后第一位)
对每种HIPS,统计其总得分,满分为5分。(HIPS均使用默认设置,默认规则



1.脚本杀手——小身材,大危害!
病毒名称:Bomb
样本名称:bomma01.vbs
介绍:
乍看起来,这个样本很可笑,它只有两句话。但在虚拟机内运行它时,我感觉压力很大。所有文件,包括我的交换文件夹下的文件,都被删除了。顺便说一句,把它送到VirScan.org上扫描,没有一个杀毒软件认为它是病毒,或者是有害程序。
可能许多杀毒软件、主动防御软件的分析人员会对这种代码嗤之以鼻。确实,要求杀软和HIPS检测这类代码并保证低误报率,那是强人所难。然而对用户来说,当他双击这个文件,没有任何提示,没有任何窗口,突然自己所有的重要资料都被删除了,还有什么比这更恐怖的呢?
防御难度:★★
测试方法:
运行前,把Windows文件夹下所有文件拷贝到E盘一份,假设这些是用户的重要文件
成功防御判定:
该病毒运行后,用户的重要文件未被删除,即表明HIPS能够成功防御。
测试结果:
刚刚运行就触发了火绒的系统加固规则,弹出了提示框,足以使用户警醒


但是好像出了一点小小的问题额·····我们可以看到提示框内容有点矛盾,上面字体稍小的黑色文字建议用户阻止,而下面黄色按钮“允许”旁边确实建议推荐,如果不是有一定基础的用户,肯定蒙了,这算不算一个小小的缺陷呢?我猜官方在做这个弹窗的时候可能把按钮做成图片格式的了,导致按钮上的文字不能随机应变,但是这个问题背后可是有很大隐患的,希望快快修复啊


得分:0.6分 o(∩_∩)o 继续努力,有些小小的BUG还是需要修复哈


2.未知高危险木马——未知的高威胁,结果如何?
病毒名称:Trojan.Ransom/Backdoor
样本名称:cacl.exe
介绍:
这种类型的病毒木马可是一个大坑,不能被大多数反病毒软件捕获,如果不及时拦截很有可能给用户带来很严重的威胁。本项测试选取了一个最新的变态的木马病毒,首先来看它的行为:注入explorer.exe而后explorer.exe会自动创建run文件,接下来如果HIPS没有完全拦截干净,那它就可以大摇大摆地大肆破坏了,打开后门,感染系统文件,包括XueTr的驱动= =,并且威胁用户交钱才能保系统平安!、
防御难度:★★★★
测试方法:
双击运行程序,查看HIPS的拦截状态,并且开启Xture检查系统有无异常
成功防御标准:
HIPS成功截断该文件的注入操作,并且没有打开任何端口,系统没有任何异常即为拦截成功
测试结果:
双击运行程序以后呢,火绒当机立断,弹出了提示窗,看来系统加固还是可以的!点击阻止以后却没能阻止病毒的脚步,病毒还在继续入侵渗透!

这时电脑变得很卡,表示压力山大啊!!!!!CPU狂飙至100%,看来这下是中招了!

果不其然,用XueTr查看电脑有无异常时,发现电脑多个端口被打开,这下砸门变成了肉鸡········


看来拦截失败,火绒这次没能为用户安全保驾护航TvT不过毕竟是新产品,不用着急,这个病毒样本可是穿毛豆的,但是呢还是需要继续努力啊
得分:0.3分 测试系统沦陷- -,用户处于水深火热中·········但是弹出提示窗,足以使用户警醒



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 9人气 +11 收起 理由
hwl573452046 + 2 支持测试!
WEI.ER + 1 版区有你更精彩: )
Micropoint + 2 版区有你更精彩: )
minimini + 1 版区有你更精彩: )
微点卫士 + 1 火绒还是太嫩,评测得真好!围观

查看全部评分

思齐鼠
 楼主| 发表于 2013-2-10 20:39:30 | 显示全部楼层

2L 宏病毒查杀修复测试(2.12重测版) 等第:优秀

本帖最后由 思齐鼠 于 2013-2-12 08:58 编辑

宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。一旦某一文档感染上宏病毒,如果不很好的修复或者是被反病毒软件进行了直接删除或隔离的处理,如果这是一个很重要的文档,那么用户只有哭的份了TvT。
测试样本数:3
侦测数:3
测试结果:三个样本才刚刚解压,一个一个都被敏锐的火绒实时防护发现了!!好样的








我们按照火绒的建议进行了“清除”处理,这里的清除是清除有问题的宏哦~

然后我们再对已经做过处理的病毒样本进行分析,这里咱们偷个懒,上传到VT扫描哈
https://www.virustotal.com/file/725651bdb79e66127c369cbef6c3bf98d0c653fe45c0d7872dc8e01ebb7eff6f/analysis/1360630206/
https://www.virustotal.com/file/5f0b72f7f9867e9cd28cf8b4aeb4eb4dd3e0912eee81e20a745d960791b8746e/analysis/1360630303/
https://www.virustotal.com/file/8cd92620a4085e90c89135cafaa0837592eee9c184acd993f2bfed4f93112efd/analysis/1360630359/

可以看到三个处理过的样本已经不被报告病毒或者仅有一款报告病毒(误报),处理成功!
样本(已经处理过的)



等第:优秀  o(∩_∩)o 哈哈,灵敏的病毒防护+优秀的修复能力

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
淘气水果派
发表于 2013-2-10 20:43:11 | 显示全部楼层
真好奇火绒能力到底如何
大金鱼先生
发表于 2013-2-10 20:52:58 | 显示全部楼层
本帖最后由 大金鱼先生 于 2013-2-10 22:34 编辑

支持下期待LZ的测试
690565755
发表于 2013-2-10 20:57:38 | 显示全部楼层
支持楼主,坐等楼主更新啊
617902068
发表于 2013-2-10 21:02:19 | 显示全部楼层
支持测试~~~
JJH505787076
发表于 2013-2-10 21:03:40 | 显示全部楼层
持续关注...
munchen
发表于 2013-2-10 21:16:15 | 显示全部楼层
这~~下面那个允许(推荐)
Flameocean
发表于 2013-2-10 21:34:45 | 显示全部楼层
明明是推荐,这不是真正拦截了,错误的提醒,只能算一半啊
nzqdcc
发表于 2013-2-10 21:40:35 | 显示全部楼层
支持下,持续关注中
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-25 05:20 , Processed in 0.125318 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表