毒眼的有关测试二

taoyuan237

自保部分
最新的3。5版本加入了自保
所以我测试测试
1
taskkill /f /im  命令

显示成功，但是实质上失败
PID完全没有变说明没有成功介绍
2任务栏管理器
不用说失败
3
ntsd -c q -p 命令

四个一起结束的时候，进程被干掉
不过毒眼好像有进程守护，如果不在一定时间内干掉，那么毒眼会自动启动
五
APT，比较正规的测试了

没打钩的是没通过的
测试过程中弹出了
说明下，毒眼似乎对驱动有自己的处理方式
加入了可信名单的程序也不一定都可以加载驱动成功
只有部分能加载

测试部分二
进程结束之后的控制
实现我已经干掉了毒眼的所有进程，然后以ARK为例示范
IceSword
运行后出现
天琊运行后同样出现
表面上进程都被干掉了，实际上对于驱动还是有一定控制的
重新启动进程后

报警，由此可见，即使毒眼进程被干掉，他同样可以监视系统，下次启动的时候一样可以处理
3内核破坏测试
由于很多东西不能用，所以我找了个能用的ARK
RootkitUnhooker
首先找到SSDT
我ununhook all
SSDT HOOK被彻底干掉了。



此处HOOK同样干掉
在用天琊加驱
依然失败

稍有不同的是
打开毒眼后对备份的文件没有再次报警
我也不知道算过了还是没过。。
大家自己考虑吧
说明下
重启毒眼后只HOOK了这玩意
用来结束进程的，别的未见再次HOOK

junplus

沙发支持，这个和网盾比起来怎么样~~

herofw

回二楼这个是杀毒 软件
跟网盾不是同一类
不过跟微点有点类似的行为防御软件

taoyuan237

测试完了，明天试试镜像劫持

kaba2

自保部分
最新的3。5版本加入了自保
显示成功，但是实质上 ...
taoyuan237 发表于 2009-12-27 21:59

         其实你有些测试过于严了，有些吹毛求疵，如果都不能启动、都不能加载，何来第3步、第4步？破坏内核，那就是所有都过了，还是多找些病毒实测，其实有些没有自保，查杀率一样百分之八、九十，而有自保的，也不过是八、九十，自保有时就是好看的，一旦过了什么保也没用…

Ayer

不错，改天有时间我也测试一下新版的自保能力。

1e3e

支持毒眼，看上去不错

BungholE

毒眼防护还不错。。

250662772

毒眼都禁止这些ark工具加驱了还有什么可测试的,通通的不行,可以用现在流氓软件测试.如修改主页,修改图标,创建桌面主页的测试就知道效果了,

ken112

毒眼都禁止这些ark工具加驱了还有什么可测试的,通通的不行,可以用现在流氓软件测试.如修改主页,修改图标,创 ...
250662772 发表于 2009-12-28 11:59

说得很对，实用才是硬道理！！！！要能干掉流氓软件，强龙还压不过地头蛇呢！