08年各杀软主动防御简单测试

yissai

发这篇测试报告前，先说明下。
0.所谓知己知彼，学安全的不知道黑客怎么干的怎么行，因此学习一下。
1.所有杀软基本都是升级到最新的(现在不算新了，不过也差不多)
2.所有的试验都是在Vmware Workstation下，克隆多个xp professional后完成的，如果和实际硬件平台有什么区别，请大家告诉我。
3.用到的黑客软件有，类似灰鸽子的上兴远控(也许是变种，好像都是Delphi编的)，还用了个理论上更容易被主防拦下的flux，中文叫军刺，好像挺有名。一个国内的一个国外，呵呵。都是用了很典型的黑客攻击手段，还不是驱动级的流氓呢。这次主要测试远程控制类的，黑客比较常用的，不过不能代表全部。
4.原本我不是想要测试主动防御，只是想学习下当今流行的小黑们的招，学了3天后把上兴这个服务端做了次彻底的免杀，免杀对象就用virustotal的检测报告好了(报毒的我都没贴出来)
AntiVir              7.6.0.61        2008.02.01 -
Authentium    4.93.8 2008.02.01 -
AVG 7.5.0.516 2008.02.01 -
DrWeb 4.44.0.09170 2008.02.02 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5504 2008.02.01 -
FileAdvisor 1 2008.02.02 -
Fortinet 3.14.0.0 2008.02.02 -
McAfee 5221 2008.02.01 -
NOD32v2 2845 2008.02.02 -
Panda 9.0.0.4 2008.02.01 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.02 -
Sunbelt 2.2.907.0 2008.02.02 -
Symantec 10 2008.02.02 -
TheHacker 6.2.9.205 2008.02.01 -
VirusBuster 4.3.26:9 2008.02.01 -
金山，江民也做了免杀，virustotal里没有这2家。
以上少数杀软本来就不杀，有些是经我修改后不报毒的。
对卡巴我没有搞定，其他我试验的都成功了的。


粗略的学习后发现，免杀越来越傻瓜化大众化了。正如某杀软的广告说的，老的特征码的方法越来越满足不了大家的安全需求了。因此我想看看现在杀软主动防御的效果。可是在网上找了下发现测试的报告非常少，有篇是瑞星和微点的，用熊猫变种的测试，瑞星完败的。还有个测试瑞星的，黑软是用小猪(不知道是什么东西)，貌似瑞星打不过小猪，大家百度上搜一下就能找到。不过测试的杀软都不全面。我就索性自己来个对杀软的主防测试吧。(虽然只用了2个来测试，有些还是用1个，但是多少能看出杀软主防的功力吧，大家自己斟酌，不放心不相信的自己做测试)

引用以前一篇文章的一段话:

/*
列举几个我所知道的，对外宣传使用了主动防御系统的软件！
1.诺顿网络安全特警NIS2006
2.卡巴斯基kis6.0
3.瑞星
4.金山毒霸KAV2005
5.江民KV2005
6.超级巡警AST V3.0
7.东方微点
*** 这样看来，国内的主动防御技术的应用超过了国外，应该自豪了！！
*/

我也不清楚到底有哪些杀软有主防，反正之前做免杀的那些里除了这7个外，都没有主防。



下面是测试：
1.诺顿网络安全特警NIS2007
Norton Internet Security 版本 15.0.0.60
首先拿诺顿开刀。 看了看界面里没有用到"主动防御"的字眼。我只从它的某些广告里看到过"主动防御"，不过其实是SONAR，是启发式的。算了，姑且测试一下。
先用上兴的服务端，norton的特征库里本来就没(汗)，运行后,弹出操作系统的错误:遇到意外关闭，可能norton是从较底层进行主动防御的结果(听说symatec知道微软源代码)，可norton没跳出来说是自己的功劳，没办法，能力不足无法理解。
换flux，norton报毒直接杀了，因此关了norton的实时防护，来测试主动防御，运行后norton还是没反应，木马成功运行，不过windows自带的数据执行保护(DEP)跳出来强关了exploer.exe。接下来就是反复的开桌面，关桌面。。。这时木马已经残留在系统中，别想用norton杀干净了。
不甘心，又试了试上兴，居然能运行了。。后来经对比发现norton的主动防御(如果有)是基于实时防护打开的基础上的，也就是说norton的实时防护不仅仅作用于静态文件，因此无论如何都得开着了。因此上述上兴木马的测试是正确的。而要对flux的测试需要重做。而且必须做做一下对norton的免杀。
把flux病毒手工清理干净，禁了DEP，做完免杀，打开实时防护，运行病毒，跟第一次运行flux一样，就是少了DEP，桌面还是无限跳，木马的客户端能看到"肉鸡"一上一下,可见木马大部分已经扎根在系统里了。这有可能是免杀做失败了，也可能是norton的防御，懒得深究了。
小结: Norton的主动防御非我心目中的主动防御，SONAR用在静态查杀，就是一启发式，或许再加个网络2字不管它了。总之用norton的如果被此类黑客软件攻击，用户一定会心惊肉跳的。Norton的主动防御测试完毕，测试算是失败了，不是norton失败，是我到现在还没搞清楚norton有没有真正的主动防御，看着上兴的结果，好像有一点吧，如果有的话，这样的主动防御我是不放心的。

2.卡巴斯基kav7.0.0.125,(虽然不是kis,同样也有主动防御)。
第一个测试就很郁闷，这个要好好对待了。常看到有人说卡巴的主动防御不是特别好，那就实测一下。
卡巴就方便多了，关文件保护，开主动防御，没norton的麻烦了。
启动flux，卡巴报警，内容大致如下:
进程试图注册拷贝为一个自启动对象。此行为是典型的木马。
我看这是典型的注册表监控，不是我测试重点。
木马成功拦截。
启动上兴，卡巴报警，内容如下:
已检测到可疑系统活动。具体内容是说物理内存访问，ModifyRegValue操作违规吧，这次没flux这么坚决了。
紧接着再来一条报警如下:
进程试图注入到另外一个进程。这个行为是典型的恶意程序。详细信息也写得很清楚，不细说了。
小结，总算卡巴都防御了，虽然要用户判断，还不错。
多说一句，卡巴有个致命弱点，注册时间到期就罢工了，许多黑客都利用这一点改时间躲过卡巴主动防御。建议大家用卡巴就去弄个360安全卫士出的锁时间的名叫360TimeProt，我试过的确有效。

3.瑞星2008
国内杀软老大，高调推出主动防御，认真测试一下。
看瑞星的介绍，它的主动防御分为多层，主动防御项里主要起作用的我看是系统加固，恶意行为检测和隐藏进程检测。其他几个需要用户添加规则。好了，关闭实时监控，主动防御全开。
运行flux,跳出报警，大多是修改注册表什么的，不过都是在木马完成注入ie之后，木马部分激活，重启前黑客可完全控制系统，重启后由于瑞星刚才的拦截，病毒残废，不过残留在系统内。手工清理完病毒。
运行上兴，瑞星马上报告，主动防御，修改内核数据/device/phiscalmemory，我以为成功拦截，可惜木马同样成功运行，这时黑客想干嘛就干嘛。最可怕的是，用户还以为成功拦截了一个木马呢。
为谨慎起见，我把所有主动防御的强度全开到最高(原来是推荐的中等)，还是老样子，死心了。
小结，结合那个小猪和熊猫的测试结果，可以说目前瑞星2008的主动防御是半桶水，就在那里晃了，根本不完善。主特征辅主防，觉得作辅助还不够格，不如大大方方的说没有主防呢。

4.金山毒霸KAV2008
kav2008界面上明确说了恶意行为拦截需要文件实时防毒同时开启。。没办法，懒得弄免杀flux了，只有上兴的免杀。
防御全开，启动上兴，没任何拦截措施，木马成功进入。
小结，不做评论。

5.江民KV2008
关监控，开主动防御。
启动flux,老套的注册表拦截，然后是木马成功运行，和瑞星的区别就是拦截的项目少一些。
启动上兴，没任何反应，这里不如瑞星，但是木马运行的结果半斤八两，都是拦截失败。
小结，没啥好说的。

6.超级巡警AST V4.0
这个明确写有主动防御。
我关了实时监控，开启发预警和主动防御，详细设置都设为报告并记录。
启动flux,跳出窗口说某父进程创建子进程，是否同意。我点禁止，拦下了。
启动上兴，结果同上。
小结，无法区别是否是恶意行为，对有点水平的人来说是个手工查杀的好工具，对很多不太懂的用户来说就是一麻烦。
如果设置只记录不报告的话，就是一个加强版日志记录器。

7.东方微点micropoint
主防御辅特征的防毒软件。
启动flux,报告为未知恶意软件（看来特征库里没有，真可怜啊，倒也方便了我），并告知在system32下创建某某exe程序，建议删除。木马被拦截。
启动上兴，结果同上，还是被拦截。
我并不惊讶，微点的确没令人失望。也许微点1年前就有如此能力了，可惜。
令我惊讶的是，我做重复测试的时候，刚放入木马服务端还没运行，微点就拦截了。原来微点有本地生成特征码的技术，这一点很是有创意。这时我感到对微点的测试刚刚开始，我放入了所有我做的上兴小变种（每个变种都是对某一杀软的免杀），结果全部因为特征码被拦截，看来自动提取特征码初步认定是有效的。

总结，所有拦截成功的杀软，还要担心下误杀率。测试只针对主动防御，各杀软都有自己的优缺点。
做主防测试好累啊，开了无数次虚拟机，到处找杀毒软件和更新安装，怪不得测试报告那么少。抱歉没有贴图没有录像，不直观，请大家凑合着看吧，贴了图就太长了- -b 。
另外，刚又搜到这篇测试报告，里面也有主动防御，顺便贴出来，觉得很可笑。http://www.jd-bbs.com/viewthread.php?tid=1479932
如果哪位高手有其他主防测试报告，希望拿出来分享。

by canius

KFfoxstep

so kind of you,3q

xqiafl

瑞星有文件规则的.  你可以先设置下文件规则,再运行下木马. 看看,还能过不.

系统加固, 与应用程序访问控制,  这两者的效果是不一样的.  能突破"系统加固"

不一定能突破"FD规则的"

还有,.江民也照样过了?  江民也有FD规则的.  这种木马,江民都拦不到??

我以前, 用鸽子,测试时, 江民2008的效果,还不错.

jpzy

感觉测试AST的那个，病毒根本还没有运行起来呢，不能算是拦截成功~~！

不过瑞星的主防我记得国内区说是挺厉害的，也会像微点那样报未知木马和衍生物的~！！

xqiafl

如果,你只看的起系统加固, 说明, 你还不是很会用瑞星哦.

先详细使用会了, 再用木马测试, 这样, 会得出更准的结果!

jpzy

原帖由 xqiafl 于 2008-2-11 09:46 发表
瑞星有文件规则的.  你可以先设置下文件规则,再运行下木马. 看看,还能过不.

系统加固, 与应用程序访问控制,  这两者的效果是不一样的.  能突破"系统加固"

不一定能突破"FD规则的"

还有,.江民也照样过了?  江 ...

用FD过测试，未免有点投机取巧的嫌疑了~~~~~

试问，有多少用户装上杀软以后会自己设置文件规则的！？

baerzake

这个帖我想转移到国内区，居然要审核不能转

xqiafl

唉. 算了吧.  这个本来就是瑞星的一个功能.

即然是主动防卸, 当然要手动设置下子.    你们用HIPS 时, 完全不用设置???

我虽然不是瑞星用户,  我用卡巴的.  但, 前几在, 深研了下瑞星, 觉得没广告说的那差.

在于个人爱好吧!

baerzake

测试者应该是用的默认设置测试的，默认FD不会很严的，毕竟要考虑到用户的易用

xffsfy

俺想知道这是什么时候测试的....
NIS2008都出来了，还测试2007？况且铁壳家族称具有主防的SEP也泄露好长时间了，为什么不测试SEP？
卡巴修复那个时间问题也很久了，而且360的那个工具已经被突破了也是路人皆知的事情...