【梦幻原创】5.1卡巴斯基2010（build 353）虚拟化技术测试【包括sandbox/PDM/HIPS】

syfwxmh

注意：此测试只代表该版本号的特性，不代表正式版本的安全特性！


本测试测试新版本sandbox、PDM、HIPS等虚拟化技术防护。


本测试遇到的所有问题将会上报到俄罗斯虚拟化技术部经理。

所有测试样本来源自 卡饭病毒测试组、卡饭样本区。

友情提醒：如果您希望转载此文章，请保留作者信息，谢谢您的合作！

测试使用 自动模式（HIPS）

由于今天偶女朋友找我有事所以 ~~测试样本有点少，抱歉了

等到正式版available，我会进行更为详尽的测试。

traces已经上报到俄罗斯。

测试配置（主）：
Windows Vista Ultimate SP1（X86）
Q8200 2.33GHZ
KIS 2009 8.0.0.506(a,b)(EN)

测试配置（辅（Vmware 6.5.2））（X86）：
Windows XP SP3
KIS 2010 beta 9.0.0.353(EN)
安装包大小56.1mb

官方对于该虚拟化模块的简介与BUG收集：
SandBox - technology that aids in anonymous and safe (without history tracking) execution of any application, including those vulnerable to an external exposure (Local Area Network, Internet). Allows operations with programs received from variety of untrusted sources that may or may not be malicious. For safe and anonymous surfing it is recommended to launch browsers from inside the SandBox.

SandBox:HIPS,PDM,OAS - the chain of technologies that control the access to virtual paths, registry functions, application files, which are located inside the Sandbox.

SandBox:Compatibility&Performance - Evaluation of different application performance from within the SandBox

主界面

比原来的漂亮很多

sandbox篇

添加MT浏览器到sandbox


绿色和谐的框框，给人一种安全感：）


即使在沙盘内运行，卡巴的防毒依然会进行

我们已经下载的东西没有保存到桌面上，那么到底保存在哪里了呢？

看见没，和sandboxie一模一样

HIPS/PDM篇
Part1（HIPS with sandbox）



嵌入驱动拦截

回滚

行为启发后的报毒（虽然是名称但是确实是启发出来的，而且是行为启发）
Part2 （HIPS Without Sandbox）






总结：两部分虽然一个是在sandbox中运行，另一个是实机运行，但是防护效果是完全相同的。而且所有在sandbox内生成的文件或下载的文件都保存在sandbox的文件夹内，而这些文件是被禁止访问的。这样安全性会提升非常大，当然现在的2010HIPS还是有些安全性问题，例如在自动模式下回滚触发机制不完全，对于一些低受限的病毒样本存在遗漏现象（这里指有生成物，但是对系统无害。因为恶意行为已经拦截。）

所有问题或建议已经上报到俄罗斯：）

自动模式下的HIPS日志（防护成功率3/3=100% *样本数较少不具有代表性）
2009-5-1 17:24:49  BO4587.exe  High Restricted High value of threat rating calculated heuristically
2009-5-1 17:24:58  setup.exe  High Restricted High value of threat rating calculated heuristically
2009-5-1 17:24:58 Allowed: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLStartProc BO4587.exe  c:\documents and settings\administrator\local settings\temp\messenger\setup.exe KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLStartProc
2009-5-1 17:24:59 Denied: KLSystemData/KLSystemFiles/SystemExe setup.exe  C:\WINDOWS\system32\fjmps.exe KLSystemData/KLSystemFiles/SystemExe
2009-5-1 17:24:59 Denied: KLSystemData/KLSystemFiles/SystemDll setup.exe  C:\WINDOWS\system32\uqnkh.dll KLSystemData/KLSystemFiles/SystemDll
2009-5-1 17:25:00 Allowed: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLStartProc setup.exe  c:\windows\system32\net.exe KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLStartProc
2009-5-1 17:27:34 Windows Explorer   C:\Documents and Settings\Administrator\桌面\Kafan\2.exe
2009-5-1 17:27:34 Windows Explorer   C:\Documents and Settings\Administrator\桌面\Kafan\2.exe
2009-5-1 17:39:29 2.exe   High Restricted
2009-5-1 17:39:29 2.exe   C:\Documents and Settings\Administrator\桌面\Kafan\2.exe
2009-5-1 17:39:31 2.exe Allowed: KLPrivateData/KLOtherSoft/KLInternetBrowsers/Internet Explorer/Main  hkey_users\S-1-5-21-1275210071-1677128483-1801674531-500\Software\Microsoft\Internet Explorer\Main
2009-5-1 17:39:31 2.exe Allowed: KLPrivateData/KLOtherSoft/KLInternetBrowsers/Internet Explorer/Main  hkey_users\S-1-5-21-1275210071-1677128483-1801674531-500\Software\Microsoft\Internet Explorer\Main
2009-5-1 17:39:31 2.exe Allowed: KLPrivateData/KLPrivateUserFiles/My documents2  C:\Documents and Settings\Administrator\My Documents\desktop.ini
2009-5-1 17:39:31 2.exe Allowed: KLPrivateData/KLPrivateUserFiles/My documents2  C:\Documents and Settings\Administrator\My Documents\desktop.ini
2009-5-1 17:39:31 2.exe Allowed: KLPrivateData/KLPrivateUserFiles/My documents2  C:\Documents and Settings\Administrator\My Documents\desktop.ini
2009-5-1 17:39:31 2.exe Allowed: KLPrivateData/KLPrivateUserFiles/My documents2  C:\Documents and Settings\Administrator\My Documents\desktop.ini
2009-5-1 17:39:31 2.exe Allowed: KLPrivateData/KLPrivateUserFiles/My documents2  C:\Documents and Settings\Administrator\My Documents\desktop.ini
2009-5-1 17:39:31 2.exe Allowed: KLPrivateData/KLPrivateUserFiles/My documents2  C:\Documents and Settings\Administrator\My Documents\desktop.ini
2009-5-1 17:39:31 2.exe   C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
2009-5-1 17:39:31 2.exe   C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
2009-5-1 17:39:31 2.exe Denied: KLSystemData/KLStartupRegKeys/Common Startup  hkey_users\S-1-5-21-1275210071-1677128483-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
2009-5-1 17:39:31 2.exe Denied: KLSystemData/KLStartupRegKeys/Common Startup  hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
2009-5-1 17:39:32 2.exe   C:\Documents and Settings\Administrator\Favorites\网址导航.url
2009-5-1 17:39:32 2.exe   HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SKQOHBD
2009-5-1 17:39:32 2.exe   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\skqOhBd/ytkl
2009-5-1 17:39:32 2.exe   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\skqOhBd/qzxqi
2009-5-1 17:39:32 2.exe   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\skqOhBd/qzvdrn
2009-5-1 17:39:32 2.exe   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\skqOhBd/iioqgta
2009-5-1 17:39:32 2.exe Denied: KLSystemData/KLSystemFiles/SystemDll  C:\WINDOWS\system32\lEFao.dll
2009-5-1 17:39:32 2.exe   C:\WINDOWS\SYSTEM32\371wLN.bat
2009-5-1 17:39:33 2.exe Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLStartProc  c:\windows\system32\371wln.bat
2009-5-1 17:39:33 2.exe   C:\Documents and Settings\Administrator\桌面\Kafan\2.exe
2009-5-1 17:39:40 371wLN.bat   C:\Documents and Settings\Administrator\桌面\Kafan\2.exe
2009-5-1 17:27:30 Windows Explorer   C:\Documents and Settings\Administrator\桌面\Kafan\1.exe
2009-5-1 17:27:30 Windows Explorer   C:\Documents and Settings\Administrator\桌面\Kafan\1.exe
2009-5-1 17:28:39 1.exe  Yes Low Restricted
2009-5-1 17:28:39 1.exe  Yes C:\Documents and Settings\Administrator\桌面\Kafan\1.exe
2009-5-1 17:28:42 1.exe  Yes C:\Documents and Settings\Administrator\桌面\Kafan\digiwet.dll
2009-5-1 17:29:15 1.exe Denied: KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/KLLLDiskAccess Yes Device\Harddisk0\DR0

[ 本帖最后由 syfwxmh 于 2009-5-1 18:25 编辑 ]

syfwxmh

update

lm91128

占了沙发再看

kav2046

看完了，很感谢楼主的测试，继续支持梦幻，同时更加期待2010！

303898443

为使更多的网友能看懂，建议今后使用汉化界面，毕竟有很多的网友是不精通英文的。

syfwxmh

我是为了上报方便所以才用的英文界面：）

苏怅

原帖由 syfwxmh 于 2009-5-1 19:09 发表
我是为了上报方便所以才用的英文界面：）

上报方便我们就不方便

syfwxmh

没办法~~为了上报BUG嘛

一刀大师

期待早出正式版。

浪滔天

感谢梦幻的测试，2010确实有不少新的东西。