国内杀软自我保护大PK之（一）-----进程篇

国内杀软自我保护大PK之（一）——进程篇首发 点饭技术论坛
http://www.mpfans.org/thread-1530-1-1.html

作者：小宋


转帖请保留以上信息！谢谢合作！
   国内杀软自我保护大PK之（一）——进程篇一、参测软件：

1、东方微点主动防御软件
2、费尔托斯特安全
3、瑞星杀毒软件2008
4、金山毒霸2008
5、江民杀毒软件2008


二、测试方法：

1、用任务管理器结束进程
详细介绍：使用任务管理器，直接结束进程，然后将任务管理器改名、加壳，再次尝试结束进程（主要是避免某些安全软件对其的信任机制影响测试结果）。

2、用taskkill命令行结束进程
详细介绍：使用taskkill /f /im:xxx来结束杀软的进程。

3、用ntsd结束进程
详细介绍：用tasklist得到PID，然后用ntsd -c q -p PID来结束进程。

4、用冰刃结束进程
详细介绍：使用冰刃，直接结束进程，然后将冰刃改名、加壳，再次尝试结束进程（同意是避免某些安全软件对其的信任机制影响测试结果）。

5、用狙剑结束进程
详细介绍：使用狙剑的进程管理功能结束杀毒软件的进程。

6、使用Wsyscheck结束进程
详细介绍：使用Wsyscheck的进程管理功能结束杀毒软件的进程。

7、使用net stop停止服务
详细介绍：用net start获得进程名，然后net stop XXXXX，停止杀软的服务


三、测试开始：

1、东方微点主动防御软件

(1)首先上场的任务管理器，打开任务管理器，依次结束MPSvc.exe、MPMon.exe、MPSvc1.exe、MPSvc2.exe四个进程，微点没有任何反抗，被结束了。。。

接下来，打开处理过的任务管理器，结束上述四个进程，很高兴看到，任务管理器出现了出错提示——内存分配访问无效，

截图 2008-1-6 12.13.38.png (17.14 KB)
2008-1-6 13:36



也就是说，微点信任原版的任务管理器，但是，经过修改的任务管理器无法结束他的进程！

(2)我们来试试taskkill吧，如图，微点成功的保护自身不被命令行界面的taskkill结束！

截图 2008-1-6 12.17.04.png (14.35 KB)
2008-1-6 13:36



(3)ntsd上场，结果如图：

截图 2008-1-6 12.19.24.png (15.37 KB)
2008-1-6 13:36



其他进程同上，均没有被结束。

(4)该冰刃出马了，老牌的进程管理工具，威力强大啊～嘻嘻
使用原版的冰刃，成功的批量结束了微点的全部进程（按住Ctrl键，选择所有的进程，右击，结束），不再截图
接下来，对冰刃做加壳处理，看看结果如何呢？

截图 2008-1-6 12.23.37.png (44.99 KB)
2008-1-6 13:36



很遗憾，微点依然被结束了，此轮微点战败！

(5)该轮到狙剑了，我们来试试吧！

截图 2008-1-6 12.27.25.png (35.64 KB)
2008-1-6 13:36



很遗憾，微点的进程再次被全部结束。。。。

(6)使用Wsyscheck结束微点的进程，看看微点的表现如何吧！

截图 2008-1-6 12.30.24.png (32.15 KB)
2008-1-6 13:36



微点再次遭劫，进程全部被Kill，惨不忍睹啊！

(7)net stop停止服务测试

截图 2008-1-6 12.32.21.png (7.17 KB)
2008-1-6 13:36



这个方面，微点的表现还是不错的，net stop没有得逞，呵呵～

好了，微点的测试部分告一段落了，接下来，我们要试一试费尔。

2、费尔托斯特安全

注：因为是在虚拟机中测试，没有办法用90天注册码激活，所以，用试用版进行测试，与注册版应该是没有区别的，请大家放心。
另外，不考虑FilMsg.exe进程，只考虑费尔的主进程Twister.exe。

(1)任务管理器

截图 2008-1-6 12.39.40.png (16.87 KB)
2008-1-6 13:36



费尔成功的保护住了自己的进程！

接下来修改的测试就不必要了，那个是为了信任任务管理器的安全软件准备的测试……

(2)用taskkill试试

截图 2008-1-6 12.42.25.png (7.85 KB)
2008-1-6 13:36



很高兴地看到，费尔依然没有被结束！

(3)用ntsd结束费尔的进程

截图 2008-1-6 12.45.35.png (16.97 KB)
2008-1-6 13:36



很遗憾，费尔挂了。。。。

(4)用原版的冰刃1.22也轻松的结束了费尔的进程。。。

接下来，试试加壳的冰刃吧！

截图 2008-1-6 12.51.36.png (45.99 KB)
2008-1-6 13:36



很遗憾，费尔再次惨遭结束。。。。

(5)狙剑出马

截图 2008-1-6 12.54.33.png (32.16 KB)
2008-1-6 13:36



费尔再挂。。。。

(6)Wsyscheck

截图 2008-1-6 12.56.26.png (30.88 KB)
2008-1-6 13:36



费尔的自我保护真的不怎么样，再次被结束掉了。。。。

(7)net stop测试

由于费尔没有服务，所以，此项无法进行测试！

3、瑞星杀毒软件2008

(1)依然是任务管理器

PS：这个是平时用的最多的进程管理工具了吧。。。

为了测试很方便，只测试实时监控主进程！

截图 2008-1-6 13.03.31.png (6.81 KB)
2008-1-6 13:36



截图 2008-1-6 13.03.59.png (17.01 KB)
2008-1-6 13:36



瑞星保护住了自身的进程，所以，不必修改任务管理器，再做测试了。

(2)taskkill测试

瑞星的进程比较多，逐个测试吧。。。

截图 2008-1-6 13.06.24.png (6.8 KB)
2008-1-6 13:36



截图 2008-1-6 13.08.33.png (14.65 KB)
2008-1-6 13:36



被结束了两个，不过并不影响瑞星的功能（为什么？我也不知道……），主动防御和实时防毒都正常。。。

(3)ntsd测试

截图 2008-1-6 13.11.02.png (6.77 KB)
2008-1-6 13:36



再次遭到拦截，没有成功！

(4)老将（冰刃）出马，一个顶俩，试试吧！

首先上原版冰刃，轻松结束瑞星的全部进程！

接下来，试试加壳的冰刃吧！

截图 2008-1-6 13.13.51.png (33.89 KB)
2008-1-6 13:36



瑞星再次遭到被结束进程的命运。。。

PS：该死的瑞星，没办法恢复进程，只好重启虚拟机，继续测试。。。。

(5)狙剑

截图 2008-1-6 13.16.12.png (35.93 KB)
2008-1-6 13:36



遗憾，再遭结束厄运。。。。

PS：又要重启，真麻烦，能不能和费尔、微点学习学习？重启下程序就OK了。。。

(6)Wsyscheck

截图 2008-1-6 13.19.04.png (29.97 KB)
2008-1-6 13:36



瑞星再挂。。。进程全部消失了。。。

PS：额滴神，又要重启啊，烦死了。。。

(7)最后一个，net stop停止服务测试

截图 2008-1-6 13.22.41.png (8.38 KB)
2008-1-6 13:36



终于没有被结束了。。。。

PS：测试的过程中，重启了3次，真的够麻烦。。。。。

好了，本次的测试先告一段落，金山和江民留着明天或者后天再测吧！



ps:金山 江民的测试 已经由作者 自己补上   在 #15  ........

[ 本帖最后由 devilcode 于 2008-1-7 11:46 编辑 ]

爱·妖姬

其实都不怎么样

moonsilver

鉴定存在此问题，楼主对瑞星做如下规则设置再试试

[ 本帖最后由 moonsilver 于 2008-1-7 23:22 编辑 ]

taiw_1144

貌似微点允许已知安全软件结束微点进程,便于管理!!

忧郁浪子

小宋做的这个测试啊 呵呵
他一直用E盾的 怎么现在玩起测试了

PC0amera

微点只允许它信任的安全软件结束自己的进程....

Nblock

有趣的测试 Wsyscheck能结束微点进程？再试试不能吧  

江民进程可以被这个软件轻易结束 全驱动病毒的作者

gxrsprite

有人测试 江民 卡巴 用icesword 不挂的
就看你把它们测完了

引用：貌似微点允许已知安全软件结束微点进程,便于管理!!


那只要微点自己有这个功能不就得了 还要工具？？ 瞎说呢把
他能识别是不是安全软件？？那病毒仿造一个呢

[ 本帖最后由 gxrsprite 于 2008-1-6 21:07 编辑 ]

Nblock

原帖由 gxrsprite 于 2008-1-6 21:06 发表
有人测试 江民 卡巴 用icesword 不挂的
就看你把它们测完了

引用：貌似微点允许已知安全软件结束微点进程,便于管理!!


那只要微点自己有这个功能不就得了 还要工具？？ 瞎说呢把
他能识别是不是安全软件？？ ...

“微点允许已知安全软件结束微点进程”  这个保留意见 我这边 其他软件里的ws或者其他工具就能结束微点的进程

关于进程保护 我想微点未来肯定会有大动作的  逼上梁山没办法的事情   目前就等572版预升级先出来再测。

[ 本帖最后由 Nblock 于 2008-1-6 21:17 编辑 ]

SONGBOWEN

呵呵，我的原创文章啊，LZ转的还挺快～

PS：加分都给他了