本帖最后由 思齐鼠 于 2013-2-12 08:59 编辑
下载火绒:www.huorong.cn
战况播报,在已经进行的两轮测试中,:
·在第一轮阴沟里翻船,因为一个细节问题,获得了0.6分
·在第二轮,面对未知的高威胁病毒,全面失守,导致系统沦陷,获得0.3分 ·在第三轮宏病毒查杀修复测试中,出色侦测/修复宏病毒样本,等第:优秀
PS.本帖将会在接下来的几天中持续更新!欢迎关注!
测试分为:
·行为拦截测试(连载中·······)
·宏病毒查杀修复测试(完成)
测试:Sky Raker&zyymartin
病毒样本支持:Security Observer(http://seco.avkit.net)
行为拦截测试: 评分标准 在关闭软件的传统杀毒功能和云扫描功能(如果有的话),保留其他所有功能的情况下,运行样本。如果HIPS有弹窗,均选择拒绝操作并结束进程。 对每个样本,
1.HIPS完全没有反应,系统沦陷的,得0分。
2.HIPS给出了足以使用户警觉的提示,但未能作出任何实质性阻止的,得0.3分。
3.HIPS给出了提示,阻止病毒部分活动,减小了病毒危害,或对手动检查、清除有较大帮助的,得0.6分。
4.HIPS阻止了病毒大部分实质性操作,病毒不能再危害系统的,得0.9分。(成功防御)
5.HIPS阻止了病毒所有操作,病毒对系统无任何影响的,得1分。(完全防御)
6.如果我主观判断HIPS弹窗很难引导用户做出正确选择,所得分数减半(取小数点后第一位)。
对每种HIPS,统计其总得分,满分为5分。(HIPS均使用默认设置,默认规则)
1.脚本杀手——小身材,大危害! 病毒名称:Bomb 样本名称:bomma01.vbs
介绍:
乍看起来,这个样本很可笑,它只有两句话。但在虚拟机内运行它时,我感觉压力很大。所有文件,包括我的交换文件夹下的文件,都被删除了。顺便说一句,把它送到VirScan.org上扫描,没有一个杀毒软件认为它是病毒,或者是有害程序。
可能许多杀毒软件、主动防御软件的分析人员会对这种代码嗤之以鼻。确实,要求杀软和HIPS检测这类代码并保证低误报率,那是强人所难。然而对用户来说,当他双击这个文件,没有任何提示,没有任何窗口,突然自己所有的重要资料都被删除了,还有什么比这更恐怖的呢? 防御难度:★★ 测试方法: 运行前,把Windows文件夹下所有文件拷贝到E盘一份,假设这些是用户的重要文件。 成功防御判定:
该病毒运行后,用户的重要文件未被删除,即表明HIPS能够成功防御。 测试结果: 刚刚运行就触发了火绒的系统加固规则,弹出了提示框,足以使用户警醒
但是好像出了一点小小的问题额·····我们可以看到提示框内容有点矛盾,上面字体稍小的黑色文字建议用户阻止,而下面黄色按钮“允许”旁边确实建议推荐,如果不是有一定基础的用户,肯定蒙了,这算不算一个小小的缺陷呢?我猜官方在做这个弹窗的时候可能把按钮做成图片格式的了,导致按钮上的文字不能随机应变,但是这个问题背后可是有很大隐患的,希望快快修复啊
得分:0.6分 o(∩_∩)o 继续努力,有些小小的BUG还是需要修复哈
2.未知高危险木马——未知的高威胁,结果如何? 病毒名称:Trojan.Ransom/Backdoor 样本名称:cacl.exe
介绍: 这种类型的病毒木马可是一个大坑,不能被大多数反病毒软件捕获,如果不及时拦截很有可能给用户带来很严重的威胁。本项测试选取了一个最新的变态的木马病毒,首先来看它的行为:注入explorer.exe,而后explorer.exe会自动创建run文件,接下来如果HIPS没有完全拦截干净,那它就可以大摇大摆地大肆破坏了,打开后门,感染系统文件,包括XueTr的驱动= =,并且威胁用户交钱才能保系统平安!、 防御难度:★★★★ 测试方法: 双击运行程序,查看HIPS的拦截状态,并且开启Xture检查系统有无异常 成功防御标准: HIPS成功截断该文件的注入操作,并且没有打开任何端口,系统没有任何异常即为拦截成功 测试结果: 双击运行程序以后呢,火绒当机立断,弹出了提示窗,看来系统加固还是可以的!点击阻止以后却没能阻止病毒的脚步,病毒还在继续入侵渗透!
这时电脑变得很卡,表示压力山大啊!!!!!CPU狂飙至100%,看来这下是中招了!
果不其然,用XueTr查看电脑有无异常时,发现电脑多个端口被打开,这下砸门变成了肉鸡········
看来拦截失败,火绒这次没能为用户安全保驾护航TvT不过毕竟是新产品,不用着急,这个病毒样本可是穿毛豆的,但是呢还是需要继续努力啊
得分:0.3分 测试系统沦陷- -,用户处于水深火热中·········但是弹出提示窗,足以使用户警醒
|