国内杀软自我保护大PK之（二）——SSDT-HOOK篇

sologuy

楼主辛苦了！

期待国外杀软测试篇

SONGBOWEN

呵呵，怎么都期待国外的？

还有一个没测试完呢。。。。

过两天，要做病毒的实际测试，找一些AV终结者、熊猫烧香的样本，做免杀处理，然后在各个杀软下运行，看看谁不会被破坏

PS：最近不打算做国外的……

taiw_1144

原帖由 SONGBOWEN 于 2008-1-8 09:49 发表
呵呵，怎么都期待国外的？

还有一个没测试完呢。。。。

过两天，要做病毒的实际测试，找一些AV终结者、熊猫烧香的样本，做免杀处理，然后在各个杀软下运行，看看谁不会被破坏

PS：最近不打算做国外的 ...

这个测试不错，期待中

chow2006

原帖由 SONGBOWEN 于 2008-1-8 09:49 发表
呵呵，怎么都期待国外的？

还有一个没测试完呢。。。。

过两天，要做病毒的实际测试，找一些AV终结者、熊猫烧香的样本，做免杀处理，然后在各个杀软下运行，看看谁不会被破坏

PS：最近不打算做国外的 ...

个人认为，做病毒测试才会比较有实际意义，否则病毒绕过了杀软的监控，已经能对系统做出破坏，杀软即使仍工作正常，有什么实际意义？造成的损害与杀软被kill有什么实际区别？杀软要的不是自保，而是保卫系统。如果系统其他程序已被破坏，杀软仍在正常工作，是不是十分讽刺？

光棍帮

可以放心的使用国产杀软了,支持下

coolsila

这个测试不错，最好多测试几家的，比如国外的。相信结果会更有趣哦

shuipao

关键是目前病毒首先不是破坏系统，而是先咔嚓掉杀软然后再下载木马病毒对系统破坏盗取密码之类的。。咔嚓掉杀软的东东一般都是新东东或是免杀过的，所以监控根本无法监控到，当然有时候可能是利用系统的漏洞直接执行恶意脚本，此种情况貌似一般主防都没动静。
下载下来的木马一般不是新东东，即便杀软能识别不过也已经被干掉了，无法起到查杀作用了。。自保好就有个好处，可以和病毒拉锯战，让木马无法下载下来。虽然此时无法完全清除病毒，但是病毒木马也无法破坏存留。。等升级病毒库可以识别了就完全清除了。。

相反我倒认为病毒测试反而没有什么太大意义，因为杀软起作用首先得存活下来，如果一开始就已经被ko了，那根本就谈不上拦截防御了。。

ps：以上观点只是说如果自保好那最好，但并不是说自保不好就不行，费尔自保不好但并不影响它的防毒性能，首先他的名气不够，没有针对它的病毒，所以此时花大力气研究自保没有必要（就连最普遍的ifeo劫持，我都没见过多少劫持费尔的病毒。。）。所以相对而言目前费尔是安全的（有可能比那些自保好但是名气很大的杀软还要安全），等名气大了再增强自保并不晚。
而且得注意一个事实就是自保只是相对的，就拿此测试的kv08来说吧，剑盟就已经看到能挂掉它的病毒了，所以只要有针对性没有绝对安全的自保。
总之还是那句话，自己多注意比什么都好！

D-Tina

我用过江民2004 很好 哈哈 后来到期了 所以……

不过对江民印象一直都很好

taiw_1144

谈谈经验吧，开杀软监控上网，某一天QQ号突然被人在外地登陆，而杀软一直在工作中，日志中又有该木马结束该杀软的指令，但没成功。这样的话自我保护再强又有什么用呢？？所以我觉得病毒测试才是最重要的吧，有时候安软自我保护太强反而会害了用户！！

PS：本人无意口水，菜鸟一个，只是谈谈自己的看法！！！

chow2006

嗯，部分同意你的观点。
从目前的情况看，只要有人瞄准某个杀软为目标刻意做免杀，恐怕难于幸免。

总之还是那句话，自己多注意比什么都好！

这句是最实际的话，但往往被某些人认为是废话。

[ 本帖最后由 chow2006 于 2008-1-8 17:04 编辑 ]