【转贴】内存杀毒,这个名词早就不令人陌生了, 然而,瑞星中所谓的内存杀毒,却只是一个美丽的谎言.
前阵使用了一下瑞星最新版本2006网络版,在监控设置中有着内存监控这一项,突发奇想来试试这所谓的内存杀毒效果如何.
测试方法很简单,首先关闭瑞星的监控.接着我从网上弄来一个比较古老木马.直接用右键"瑞星杀毒",成功的发现病毒TrojanSpy.HuaXue.
接着我为这病毒加上了一层压缩壳,用的最近比较流行的国产upack,这只是一款压缩壳,而不是加密壳.加完后继续用右键"瑞星杀毒",这次,瑞星哑了,加了upack的病毒,成功躲过瑞星的追杀.
再下来,我打开了瑞星的监控,双击运行该木马,木马成功植入系统并运行,而瑞星依然没有任何的反应.内存监控已然失效.
再下来,打开瑞星杀毒软件的界面,在左边选择内存,然后清楚其他的选择,点击杀毒,数秒以后,依然提示发现病毒数0个.
现在,让我来大略的解释一下压缩壳:压缩壳只对可执行文件的代码/格式进行压缩,使之所占有的存储空间变小,这种壳并不同于加密壳,它没有加密功能,在壳完全运行起来后,被压缩的代码就都会在内存中还原,即和加壳前的代码几乎是完全相同的.
然而瑞星所谓的内存杀毒,并不是真正的扫描内存,而只是将迁移到内存中的文件扫描一遍,而这次的扫描,只是扫描硬盘文件.此时病毒是加壳的,而瑞星无法识别这种壳,因而无法发现病毒的存在.如果瑞星扫描的是内存,运行起来的压缩壳,将会很轻松的被发觉.
在这方面,mcafee则做得很好,有些病毒直接扫描扫描不出,但一旦双击运行,则立刻会被拦截掉.瑞星仍需再接再厉,愚民的幌子则不必再打了.
