【360杀毒卡饭公测】——名字没想好，帮忙取个名把-二楼更新360云测试

taoyuan237

测试平台XP SP3（msdn原版）
1资源占用
有人说，任务栏管理器里面看到的内存占用量不一定真实，有可能造假）。所以本次我选用了Wsyscheck（虽然用任务栏管理器和Wsyscheck的结果都一样，没有一点区别）
资源占用见图


安装了360安全卫士和360杀毒
一个5进程
全部默认设置，ARP防护为开启
总共占用内存约13.78M可以说还是很小的
非默认设置（把360杀毒防护级别调整为最高）
资源截图


约21M也不大


PS
360会注入一些进程，插入进程的模块所占用内存无法计算。
至于硬盘占用部分


卫士和杀毒加起来约325M尚可接受，这个问题
我个人认为大可不必纠结有兴趣的自己去研究




下面才是重头戏
我素很邪恶滴
咱们用样本说明一切第0001号样本-----某VBS
行为简介-隐藏全部文件夹创建快捷方式指向自己以此自动运行
行为亮点（没有亮点滴东西是不会拿出来滴）-使用NTFS数据流的有关技术文件展示


效果展示查杀结果


本体查杀演示（说明此样本本身360可以检测）


结论，无法扫描到NTFS流数据。很杯具滴结果
样本二 被感染的MP3音频文件
样本l亮点-此MP3被病毒感染使用特定播放器播放的时候播放器会弹出下载窗口要求下载插件（病毒)
要求很简单，完美修复此MP3（其实修复很简单）
样本展示
其实没什么好测试的，就是扫描一下下就完事了（别拍我，我怕疼）


能检测到，准确的报出了名字
点击处理呢


杯具产生了
结论，杯具就是这样形成滴。样本0003号
样本亮点-加驱inline hook一些函数来阻止普通杀软访问自己，实现不被查杀的目的
展示

由于以前做过测试，且本次我机器不赏脸。这玩意运行一次蓝一次（有dmp为证）所以就无图无真相了
结果是360可以突破驱动保护直接扫描到文件
样本第0004号
样本亮点-见图（因为不太好描述）
值得说明下，这东西是跟着开屏的安装程序进来的
第一部分，安装安装滴时候，360安全卫士那是灰常滴安静啊。安装完，就出现上面那玩意了
这样本考察的是对注册表的清理，故俺本次使用360的有关功能
插件清理，俺最喜欢滴功能了，扫之

无结果（败北）
在看看系统修复


嗯，修复了一堆在看看我的电脑

那是该咋地还咋地啊
为什么会这样捏？既然你诚心诚意的问了，我就大发慈悲的告诉你。因为根本没修复到这项，白洞，白色的明天等着我们


样本第0005号


样本亮点-生成的MD5自动变形，以此逃避云安全（我素不素太邪恶了）

完美查杀，变形后的DLL
那么由此引发一个讨论，单靠MD5,CRC32这样类似的算法，首次扫描是肯定无法判定的那么到底是什么原理呢？俺不知道，等待讨论
样本0006号
样本亮点-暂无
就是一般的替换系统文件



双击后，啥提示也没有
看到360实时保护里的一行记录我寒了


随后，君不见黄河之水天上来
360已经倒下，他不是一个人在战斗
so不知道是何原因，这东西没啥新意。就是替换了下QMGR.DLL
360应该不会这么脆弱把，应该可以拦截的。等待高人解答。

总结下，360杀毒在扫描这方面做的很好，病毒其实很难躲过扫描引擎的扫描，我记得很久以前有人做过有关测试我这里没有细测（指驱动保护一类，NTFS数据流的有关问题俺是没搞懂咋回事，等待官人解答），有兴趣的同学可以自己翻翻。收集端有云覆盖，也不是太差。不过修复功能还是稍稍弱了些。
另外自保方面，360做的也还算不错，至于被干掉的问题，我不作评论，毕竟加了驱。我只能批判他的自动识别系统是怎么会放过那病毒驱动。
附上APT测试


图中除了打勾的那个以外都能通过，打勾的那个还是被加了驱的（360自动放过，不关我事）
至于人机交互方面我不得不说360做的不错
免打扰和U盘防护充分体现这一点


看看U盘防护的设置细节
默认只扫描根目录，通常病毒不会深入感染，没必要全盘扫描，很多杀软并没有这样的设置。
可以说比较贴心
网盾部分和安全游览器方面我没精力去测试了，而且我机器补丁打齐了，也不方便故没有测试。
但是我要喷
某用户求助附上


随后我联系了此人，按照我的方法他提供了文件
我拿到文件一看


我无语了

taoyuan237

声明得知360在云服务器上搭建了新的未知东东，使得360云的反馈速度大大增加
（这个未知的东东有些样本不能识别不能识别的反映速度并不快）
据小道消息，这东东能识别的样本几秒就识别完毕
于是我做出如下测试
这些是我今天收集的样本（全部自己收集的不是逛论坛，所以存在重复上报的问题可能性较小）
断网过滤的结果

下面是纯考验360服务器的部分了

云查杀检测1
我们看到了明确提示上传了load1.exe
由此我最少可以说明load1.exe在360服务器上是未知的
上传30秒后我做了二次扫描，很惊奇的发现云服务器已经识别


估计这就是那未知东东的威力把，具体是啥玩意呢？我不知道。。

空口无凭，大家可以看看我2次截图的时间
截图相差41S
除开我点鼠标的时间是差不多的。。毕竟我做不到卡着点让他完成扫描，见谅见谅

unix

沙发留给自己
taoyuan237 发表于 2010-4-14 17:43

又是一个想拿奖的

Jameshandsome

很强大啊， XE的各种测试……

毒⑧

很技术。。俺的那么没技术水平

紫雪纷纷

不错   看懂一点

yboo.100

虽然是评测，但是作者的观点很重要~
记得在文章中阐述自己的观点哦

bbcallen

一说观点，就要口水了

求abc.exe

白羊座

回复 8# bbcallen


    那个是360安全浏览器执行文件

lomo

技术流，我准备虚构个子虚乌有的流水账。。。