SD和RVS终极对战变种机器狗群(RVS测试图文篇）权限已开放 制作完成！

woods12345

   各位兄弟同仁们很不好意思，关于RVS的测试让大家等了这么久！在下今天在这里给各位兄弟陪个不是！希望兄弟们能谅解。测试水平一般，路过的高手莫见笑
      RVS早期的版本我用机器测试过，因为结果不理想而放弃了。但是现在RVS新版本中的一大亮点就是加入了属于HIPS类型的“驱动过滤”和“应用程序过滤”功能，并且可以设置成以询问模式来提醒用户是否让XX.exe程序运行并加载驱动，这样更大程序上提升了RVS的“安全性” 易用性，但是也需要使用者有一定的专业知识和安全意识来判断是否允许XX.exe程序运行并加载驱动。以下是本人对于SD和RVS保护措施的个人意见（然而这样的功能对于没有一定的专业知识和安全意识的傻瓜级用户来说是起不来多大作用，搞不好他会全部点阻止最后搞得系统所有程序都不能运行了。所以我个人认为RVS的HIPS防护功能对于这样的傻瓜级用户就有点力不从心的感觉。我觉得要是SD的保护措施和RVS的保护措施结合应该很不错。结合之后可以把保护模式分为两种，第一种是普通模式，普通模式采用SD的保护措施来针对傻瓜级不懂电脑的用户，只要病毒有尝试穿透的行为就蓝屏或者重启。第二种专家模式，专家模式采用RVS的驱动过滤和应用程序过滤功能来针对有专业水平和安全意识的用户，建立白名单或者黑名单的过滤规则，防范病毒于未然。）
      下面开始测试，测试的版本有2.0.1.7098  2.0.0.5007 两个版本。
                                                   
测试平台：vmware 6.03
测试系统：windows XP sp2
测试软件：RVS2.0.1.7098   RVS2.0.0.5007
使用工具：Wsyscheck
测试样本：2008年1月-6月在网吧内收集的机器狗变种样本整理后共51个




    为了测试的公正性和无伪造测试 测试的系统安全情况如下

    1.测试系统的版本号




                           2.当前系统运行进程无可疑，当前系统运行正常！





                            3.当前系统启动项内无可以程序，当前系统启动项正常！





                            4.当前系统IE浏览器没有安装任何第三方流氓插件，当前系统IE浏览器正常！





    5当前系统无任何可疑连接和可疑端口开放，当前系统网络正常！




系统全面检查完毕。 当前测试使用系统正常无毒！

                                       测试开始
首先该我们今天的主角登场了，RVS2.0.0.5007热烈欢迎   

RVS2.0.0.5007的个人简历如下

5007的版本没有HIPS保护功能，只带有简单的病毒免疫功能。
RVS程序非第三方获取，是从官方下载的。大家可以校对MD5来确认我下的RVS的程序是不是官方下载的。

1.特写：




2.RVS的主操作界面




3.ID信息：文件: RVS_2008_Setup.exe
                    大小: 2309120 字节
                    文件版本: 2.0.0.5007
                    修改时间: 2008年10月30日, 2:40:28
                    MD5: E0F6632F681A737552814C95E5A61A89
                    SHA1: F4A503D87A538640A9CAE7D3D63AD413822BFFAD
                    CRC32: 35DB32FF


测试样本整理后全面特写




RVS2.0.0.5007的保护开启见下图


RVS2.0.0.5007病毒免疫功能开启，见下图



    全部OK了，开始按时间顺序运行病毒样本
   在一阵疯狂的点击中（我的手都快点软了 ），终于把所有样本全部点击完毕，一共51个文件。系统CPU都100%了，我在虚拟机操作不觉得一点卡， （可能是酷睿4500的CPU+1G内存的机器太强了吧） 。我想要是机器垃圾一点的话，那测试卡死个人哦！病毒运行后未重启系统情况如下图。

1 .任务管理器显示32个进程，CPU占用100%   


3.启动项内被样本创建了超多的启动程序



样本的效果，真是很黄很暴力




2.当前系统的IE浏览器被样本修改了主页并安装了一个未知插件





3.系统浏IE览器对外有一可疑连接



系统目前被狗狗们咬坏的体无完肤了，现在我来把系统重启。来看看最终的结果。

     

        RVS2.0.0.5007在开启保护和病毒免疫的情况下被穿透了，进入系统后系统安全情况如下

1.进入桌面首先见到的是一个16应用程序运行出错的提示




2.样本的进程开始发作了一共31个进程，CPU占用61%




3.启动项内样本创建的以下文件穿透了RVS（我想各位兄弟会问为什么只有这几样本能穿透，我告诉大家所有的样本并非出自一人之后，有的样本发现是在虚拟机环境下运行就不会发作以免我们这样的人对他进行测试或反编译，还有个情况就是病毒之间也有互相残杀。想必经常研究病毒的朋友也遇见过我说的这两个情况。不足之处希望兄弟们补充！）



最终RVS2.0.0.5007在开启保护和病毒免疫功能的情况下，被样本穿透。很遗憾病毒免疫功能没有起到很大的作用。





[ 本帖最后由 woods12345 于 2008-11-5 07:52 编辑 ]

woods12345

下面开始测试RVS2.0.1.7098在没有开启HIPS保护功能的防穿能力。


测试平台：vmware 6.03
测试系统：windows XP sp2
测试软件：RVS2.0.1.7098   
使用工具：Wsyscheck
测试样本：2008年1月-6月在网吧内收集的机器狗变种样本整理后共51个


                     测试使用系统安全情况检查
系统版本号如下图






1.当前系统进程检查 ，运行程序无异常  ！(意每次截图的时间都是不一样的)     见下图！





2.当前系统启动项检查无任何可疑程序，安全检查通过 ，确认安全！见下图






3  当前系统网络连接和端口开放情况正常！安全检查通过！确认安全







4.当前系统IE浏览器无任何流氓软件，IE浏览器安全检查通过，确认安全！！见下图




安全检查通过，确认系统正常无毒。可以进行测试！


RVS7098来源论坛一刀大师帖子中的下载地址，非第三方获取的   
安装程序特写：



ID信息：文件: RVS5007\2.0.1.7098.exe
                大小: 2732544 字节
                文件版本: 2.0.1.7098
                修改时间: 2008年11月2日, 18:29:30
                MD5: EF321BF96405E3CDDD35E63418B18FE3
                SHA1: 1A773C7F1B7D52F254790C0F84899B8E6727C862
                CRC32: 69829C53

                                          测试开始！
RVS7098开启影子保护模式  见下图







RVS7098的HIPS功能处于未保护状态，见下图



所有准备以就绪，RVS影子保护开启HIPS自我防穿保护关闭。下面该我们的狗狗上场了   
关门！！！ 放狗！！！！







待狗狗们一阵狂咬之后，系统已经是到了奔溃的边缘了，系统运行样本后安全情况如下图





   样本运行5分钟后刚准备来重启的，发现系统进程是越来越多，多的恐怖！狗狗们真是发疯的咬的！
    而且要的很认真，很卖力！
其他的图就不截了，这个时候卡的不行了我直接重启得了。
      我们来拭目以待看看最终的结果！  

样本运行5分钟左右后，系统安全情况见下图





重起中......................................


     最终RVS2.0.1.7098在没有开启HIPS保护下被穿透，但是穿透的样本数量明显比5007要少，我在运行样本的时候，有一部分样本运行失败，提示该程序不是有效的win32应用程序。我想RVS在不开启HIPS保护情况下默认会阻止一些非法驱动文件加载，不然那些样本不会运行失败。

   系统重启后安全安全情况见下图。（由于开启Wsyscheck之后样本进程就自己消失，我只能用系统的任务管理器和启动项来检查）

    1.样本已经穿透了RVS正洋洋得意的在运行中。。。。。。。见下图



  

    2.样本已经成功添加到启动项内，开机自动运行。具体见下图




3.样本在C盘根目录下成功下载3个木马程序  具体见下图





4.样本conime.exe出站连接四个不明IP




这个是另外不明IP的连接，很快就闪过了。







RVS2.0.1.7098在影子保护模式下没有开启HIPS防穿措施来测试样本，样本成功穿透。RVS2.0.1.7098没有开启HIPS保护下防穿失败！

打完！收工！@@@@@@@





[ 本帖最后由 woods12345 于 2008-11-4 20:15 编辑 ]

woods12345

1.RVS2.0.1.7098的自我防穿保护，类似HIPS中的AD防御功能只是相对比HIPS的AD比较简单化！

RVS7098的HIPS只有拦截应用程序和驱动文件加载+放行应用程序和驱动文件加载

  


   2.拦截规则以白名单+黑名单来预先制定哪些文件能运行那些文件不能运行，以及哪些驱动文件能加载哪些驱动文件不能加载。

下面的是白名单模式，RVS已经预先加入系统中正常的应用程序和驱动文件。




   下面的是黑名单模式，可以预先添加危险的应用程序和驱动文件，这个需要使用者有一定的专业知识，以便正确的判断程序是否正常，加载驱动是否危险！对于电脑小白不推荐实机使用




   由于测试需要运行样本，样本穿透RVS的关键是驱动，我在测试的时候只开启驱动拦截这一项，
拦截模式采取直接拦截不用询问！具体设置见下图



  
                   测试开始！！！
   来人  ！！！      
   关门！～！放狗@@@@      

狗狗们又一次很卖力的狂咬RVS。。。。。。。。。。
样本运行后系统安全情况如下图

1任务管理器查看进程一共41个，CPU占用100%（由于样本使RVS拦截驱动加载，所以、Wsyscheck无法运行）




2.启动项内已经被样本添加了很多开机启动 具体见下图



3。样本出站连接一些不明IP  具体见下图






忽然又多了几个连接，见下图



系统安全程度再一次到了奔溃的边缘，现在我来重启系统

等待最终的结果。




系统重启完毕，但是结果很可惜，最终RVS7098在开启HIPS保护的驱动拦截措施下防穿失败，被QQgame.exe和Display3D.exe两个样本穿透成功。

系统重启之后安全情况见下图

1.两个样本已经穿透RVS7098并正常运行在任务管理器中  。  具体见下图






2.样本成功穿透RVS7098并且在启动项内创建自身开机运行 。具体见下图



3.样本出站连接一个不明IP地址   。      具体见下图








   最后总结：RVS7098 的HIPS防护功能还需有待加强，51个样本我反复测试只有这两个样本最终脱颖而出成功穿透。我个人觉得RVS的防护措施+SD的防护措施结合才是王道！




















[ 本帖最后由 woods12345 于 2008-11-4 22:13 编辑 ]

woods12345

人工置顶一下。。。。

fufuji97

怎么没有评分功能了

一刀大师

工程浩大，慢慢等待

tianyu520

呵呵 期待已久了  继续等待  支持楼主   虽然偶一直用的SD

yjflq2002

兄弟辛苦了。支持你。。

天月来了

请设法帮忙测试360的那个辅助这类软件进行防穿保护的那个软件配合RVS5007后，是否还会被穿

一直好奇360的那个效果怎样的
http://www.360.cn/down/soft_down14.html

SONGBOWEN

原帖由 天月来了 于 2008-10-30 09:36 发表
请设法帮忙测试360的那个辅助这类软件进行防穿保护的那个软件配合RVS5007后，是否还会被穿

一直好奇360的那个效果怎样的
http://www.360.cn/down/soft_down14.html

360是白名单式的，只要伪造一个白名单内存在的驱动就OK了，至于如何伪造，我还没研究……