Panda TruPrevent 测试

jordanpchome

Panda在经过超过3年的密集研究和开发，终于在2004年推出TruPrevent行为的技术。

自此后，TruPrevent已经进化成整套的行为技术，这在封锁零时差恶意程式之主动防御上，比之前任何需依赖病毒的定义档的功能上大大的改善了效率。TruPrevent 持续地适应着新的恶意程式技术并利用之，它是建构在反恶意程式引擎核心之上。到现在为止共有超过5百万的电脑执行着TruPrevent，所有的这些电脑同时也是密集互动的honeypot节点，他们也会向PandaLabs回报任何被TruPrevent 标示为可疑且无法被一般防毒软体定义档侦测的新恶意程式样本。技术上，TruPrevent 包含2个主要的技术：行为分析(连结)以及行为封锁(连结)，这也是平常所讲的系统及应用程式强化。

• 行为分析

作为真正对抗那些成功避过定义档、启发式、以及行为封锁的新恶意程式在电脑中执行的最后一道防线。变形的拦截、在执行阶段、在每个程式呼叫的操作和API中、以及在允许程式完整执行之前将他们互相关连，这种即时的关连致使程式能单独依据他们的行为而被允许或拒绝执行。不像其他的行为技术，这是一种自主式的且不会出现询问使用者的技术性问题（"您是否要允许xyz程式注入一个程序到explorer.exe或是记忆体位置abc？"）。此技术不需要任何的定义档的更新，因为它是完全基于应用程式的行为。一个bot将不会成为bot，如果它不运作的像是bot，但是如果真的发生这样的事情，它仍旧会被此技术所侦测到，而不管它的外观或是名称。

• 行为封锁

TruPrevent 行为封锁是第二个主要的元件，骇客以及恶意程式不当地滥用合法应用程式的权限以注入程式码而攻击系统。要从根本杜绝这些类型的攻击，有一种成本-效益比非常好的方式，就是以规则为准的封锁技术，它可限制授权应用程式在系统中可执行的动作。KRE是由一组政策所组成，他们由一组描述群组之某特定应用程式之允许和拒绝的动作规则而被定义，规则可以被设定以控制应用程式的档案、使用者帐号、登录注册记录、COM物件、Windows服务、以及网路资源存取。

• 基因启发引擎

"基因"技术是受到生物学中的基因学所激发，而且它的功用在于瞭解为何有机体每个都是不同且和其他有机体互有关连。这些技术是基于处理和解析"数位基因"，他们在我们的例子中可以代表每个被扫瞄档案的数百个特征。这种基因启发式引擎是在2005年推出的，它的基因启发式引擎目的是藉由使用一个专有的演算法关连档案的特征，这种基因的特征定义软体在电脑上被执行时，执行恶意的或是无害的动作的潜在可能性。基因启发式引擎有能力判断档案是无害的、蠕虫、间谍程式、特洛伊、或是病毒等。

--------------------------------------------------------------------------------
简单的来说，TruPrevent可以利用上述这三点的结合对抗未知病毒，但是真的能发挥效果吗？
于是笔者使用了样本测试，测试样本为0504卡饭包，早上11点38分更新病毒码之后关闭自动更新，剩余样本如下...



测试平台（实机测试）：

Win7 X86 （已经打上所有Hotfix）
Panda Internet Security 2010 （已经打上所有Hotfix）
AVG LinkScanner 9.0
金山网盾3.5Shadow Defender 1.1.0.326

--------------------------------------------------------------------------------

0504-1-11-14 失败，运行后删除自己本身，防火墙提示连外之后无反应


0504-1-12-1 失败，运行后删除自己本身，防火墙提示连外之后无反应


0504-1-12-11
防火墙提示连外，释放恶意软件和桌面图标，右下角出现广告，过了一会出现清除病毒的提示

但是释放出来的恶意软件病没有清除，似乎只清除了下载物，且成功加载服务，右下角出现广告























0504-1-12-13 失败，运行后删除自己本身，释放恶意软件但是不能运行，应该是作业系统的问题，桌面出现恶意捷径











0504-1-13-1 还没测试就不小心删除了样本所以没有测试，真的非常抱歉...

0504-1-13-14
释放了且成功运行C:\Users\J_Bear\AppData\Local\Temp\svchosty.exe

防火墙提示连外之后没有动作



0504-1-14-8 成功防御且隔离样本





---------------------------------------------------------

有些样本没反应可能是下载者，但是因为网速太慢或是其他原因所以并没有后续动作

至于让我感到失望的，像是加载服务这种明显的恶意动作Panda竟然毫无反应

或许TruPrevent并不是像AVG Identity Protection变成一款智能HIPS...

唉，该怎说呢...多少还是有点失望吧...测试结果仅供参考...

luobinhan23

很早的技術了以現在的觀點還不錯就是工作集一下子變大了

★比尔·盖帽★

楼主电脑里字体好小

jefffire

昨天的包不少下载者，还有不少死链，没什么意思

luobinhan23

楼主电脑里字体好小
★比尔·盖帽★ 发表于 2010-5-5 13:47

    我們從小看習慣了正體OS都是這個樣子

★比尔·盖帽★

我們從小看習慣了正體OS都是這個樣子
luobinhan23 发表于 2010-5-5 01:54 PM

    原来如此

JusT.Like

墙裂支持...围观下...

jason_jiang

意料之中
如果先看了那段早期的介绍再用TP，多半会失望

jordanpchome

意料之中
如果先看了那段早期的介绍再用TP，多半会失望
jason_jiang 发表于 2010-5-5 01:59 PM

    要我移除熊猫嘛...

jason_jiang

回复 9# jordanpchome

2010的水平也就这样了，等2011beta再看吧