瑞星全功能安全软件测试----瑞星VS中华吸血鬼 bbs.ikaka.com

DoctorLc - 2008-9-30 18:59:00

系统环境：
XP SP3（虚拟机）
248MB内存
瑞星最新版本
系统加固，木马攻击拦截设置为高。

测试样本为中华吸血鬼病毒。
记得，该病毒作者曾经相当狂，说要饿死所有杀毒软件。
看看RIS如何制服它！

运行样本。主动防御成功捕捉到它的动作。

释放DLL文件

释放驱动

创建文件

修改HOST文件

防火墙也成功阻止了病毒连接网络。

重启后，系统一切正常。

比较完美的防御。

瑞星主动防御及自我保护测试----瑞星VS机器狗
http://bbs.ikaka.com/showtopic-8547744.aspx
瑞星主动防御及自我保护测试----瑞星VS熊猫烧香P
http://bbs.ikaka.com/showtopic-8546985.aspx
瑞星主动防御及自我保护测试----瑞星VS灰鸽子
http://bbs.ikaka.com/showtopic-8547991.aspx
瑞星主动防御及自我保护测试----瑞星VSautorun类病毒
http://bbs.ikaka.com/showtopic-8549949.aspx
瑞星主动防御及自我保护测试----瑞星VS未知样本
http://bbs.ikaka.com/showtopic-8550169.aspx

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)

jmbt - 2008-9-30 19:11:00

支持

newcenturymoon - 2008-9-30 19:21:00

放的npf.sys貌似是网络嗅探用的
能把样本发上来麽

DoctorLc - 2008-9-30 20:39:00

引用:

原帖由 newcenturymoon 于 2008-9-30 19:21:00 发表
放的npf.sys貌似是网络嗅探用的
能把样本发上来麽

happysunday2003 - 2008-9-30 20:45:00

当然要强烈而又激烈的顶

上面说的病毒创建的文件和驱动什么的如果放行后

自己删除也行吧？？

shideleiwfe - 2008-9-30 20:55:00

DMA传输模式

DoctorLc - 2008-9-30 21:00:00

引用:

原帖由 happysunday2003 于 2008-9-30 20:45:00 发表
当然要强烈而又激烈的顶

上面说的病毒创建的文件和驱动什么的如果放行后

自己删除也行吧？？

如果放行了。。。搞不好瑞星的自我保护就被攻破了。。。具体没测试

09的主动防御应该说不错了。

1輩吇筷楽 - 2008-9-30 21:04:00

说明了瑞星2009有进步呀:default6: :default6:

newcenturymoon - 2008-9-30 21:06:00

哈果然是中华吸血鬼
但那个npf.sys应该是他下载的http://9u***.cn/wm/arp.exe
http://9u***.cn/wm/wincap.exe释放的

DoctorLc - 2008-9-30 21:37:00

引用:

原帖由 newcenturymoon 于 2008-9-30 21:06:00 发表
哈果然是中华吸血鬼
但那个npf.sys应该是他下载的http://9u***.cn/wm/arp.exe
http://9u***.cn/wm/wincap.exe释放的

版主果然是版主！分析的很正确！:kaka1:

RIS2009 - 2008-9-30 23:13:00

如果安装正常文件会有这样的提示拦截么？:default6:

DoctorLc - 2008-10-1 11:06:00

默认设置提示会比较少吧。

瑞星卡卡安全论坛