12   1  /  2  页   跳转

[RAV] 瑞星2010版本测试手记(一)(二)(三)

瑞星2010版本测试手记(一)(二)(三)


瑞星2010版本测试手记(一)

2009629,很高兴能收到瑞星公司的邀请,参加瑞星2010版本的公测活动。
不经意间算起,和瑞星接触已经有10余年的时间了,见证了瑞星发展的每一步,也时常因为瑞星的进步而感到由衷的高兴!

测试环境:
主板:技嘉945GC
CPUIntel Pentium D 3.0GHz(家里)  酷睿E5200 2.8G(公司)
内存:3.0G
硬盘:希捷SATA160G
操作系统:Windows XP professional Service Pack2 (家里)
Windows XP professional Service Pack3 (
公司)
浏览器版本:7.0.5730.11
分区格式:FAT32
瑞星版本:22.00.00.19
病毒库版本:22.02.01.08



文件命名规则测试


我们先来测测瑞星的自我保护功能吧,一个连自身都无法保护好的安全软件不是一个成熟的软件!我试着删除瑞星安装文件夹下面的文件、删除瑞星相关注册表信息、添加映像挟持等操作,都被瑞星阻止了。显而易见,瑞星2010在某些方面确实加强了自身的保护。我下载了江民2009并做了同样简单的测试,可笑的是,江民居然没对其服务做保护,很容易就将江民的服务给禁用了,结果可想而知。而且,好像江民2009也没对映像挟持做保护,因为不是测试它,所以就没深入了。
记得在瑞星2009版测试的时候,我就曾经提过瑞星的安装、升级和运行时一定要考虑到文件同名规则(即同目录下不允许同名的文件和文件夹同时存在)。那好,测试一下吧。
首先测试安装,在%temp%目录下建立RAVTMP文件,安装时瑞星予以考虑了这个问题,测试通过。因为瑞星的安装直接考虑了ravtmp目录(包括子目录),因此不会出现任何问题。
接着测试升级,在%temp%目录下建立RAV文件,瑞星升级时直接予以了删除,并建立了RAV升级文件夹,不错,确实采纳了我的建议,继续,再在RAV文件夹下建立DOWNLOAD文件,没想到也通过了。可是,随着我们继续的深入,发现了问题。我们在rav\download这个目录里面建立文件夹CompsVer.inf再次升级时会导致瑞星提示“获取升级文件失败”无法继续升级,而这个提示会让用户以为是升级服务器繁忙造成的。因此说这个问题必须尽快解决。同样,RsUpdate.xml文件夹会导致出现网络连接失败的提示。
其实,我认为瑞星的升级文件完全可以放入瑞星的安装目录中进行啊。


开关机脚本等测试


在开关机脚本HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts中加入一个批处理文件,内容如下:
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\rising" /f
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RsRavMon" /f
剩下来的就是等待了,瑞星在程序升级更新后会自行关闭监控系统,那么关机脚本或者注销脚本就会因瑞星的自我保护失效而起作用,从而破坏瑞星。重启后瑞星的监控依然是绿伞,但是已经起不到任何作用了,形同虚设。
另外[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]项下面的BootExecute等位置因为时间关系没测试,不知道考虑了没有。

瑞星病毒库校验测试


C:\Program Files\Rising\Rav\def文件夹下放置着瑞星的病毒库,瑞星201022.02.01.04版本virusdb.cfg配置文件里面
9=virtro.def
CRC9=BAAA7B3F046E75DB02DD967126E152C2
注明了virtro.def文件的MD5值。
那么,我认为瑞星在每次启动时应该根据这个配置文件完成自身病毒库的校验。
我将virboot.def复制并改名为virinfo.defvirnorm.def(大小为7K),即使启用了瑞星自我保护,在启动瑞星时也是不报警的,可是再也无法检测已知病毒了。我检测了一个病毒包,正常情况下检测出20个病毒,替换后检测率为零。
关闭瑞星自我保护并不是无原则的放弃一切保护措施,对于瑞星核心文件的妥善保护是必须的,最起码的要做到当文件校验发生变化时要予以提示才行。
Kaspersky对于病毒库的校验一直做得不错,当任何的BASE文件被改变,启动其主程序时都会加以提示。
江民2009同样不提示,不过删除其病毒库到一定程度会导致程序锁死。很奇怪,我记得以前江民是验证的啊,不知何时取消了。
金山毒霸,前年他们技术人员打电话来我也简单说了一下,没细说,不知道他们做了没有,因为对金山印象不是太好,所以没检验了。

自身染毒校验测试


测试环境:VMware 5.5.1 19175


关闭瑞星自我保护,我拷贝了两个感染了Win32.Xorala.a感染型病毒的瑞星系统文件到瑞星目录,文件名为RavMonD.exeRsMain.exe后,打开了瑞星自我保护。重新启动后,瑞星监控运行正常,并没有提示用户瑞星程序文件发生改变。双击桌面上的瑞星快捷方式,立即报告发现病毒,但是无法清除(拒绝了染毒文件的运行),从而无法通过双击桌面快捷方式打开瑞星主程序。但是,奇怪的是,却能通过双击监控图标正常打开瑞星主程序,打开过程一切正常,并没有报告发现病毒。全盘扫描,已有数百个文件感染了病毒,选择清除后却报告为不处理,不知何故。200971星期三瑞星主程序升级到22.00.00.20,病毒库升级到22.02.02.02,发现可以顺利清除。但是主程序被感染后运行仍没有报警。监控程序ravmond.exe因在使用,清除时显示为不处理,重启后导致系统重复感染。
我随后拿Kaspersky 7.0.0.125做了同样的测试,关闭了卡巴斯基7.0的自我保护功能后,我拷贝了感染Win32.Xorala.a病毒的卡巴斯基主程序到其安装目录进行覆盖,重启后运行。卡巴斯基运行后立即报警其主执行程序感染了病毒,并要求重启。重启后其完成了自身的解毒,然后又用其完成了全盘病毒的清除。
江民2009的这项测试也有些戏剧性,我用的是官网上下载的KV2009_dl_jiangmin100d.exe进行安装的(未升级前)。升级前用感染了Win32.Xorala.a病毒的KVXp.kxpKVMonXP.kxp替换了源文件。重启后发现江民监控能正常启动,提示KVMonXP.kxp感染了病毒,病毒名为Hacktools/vb.aspx.a,病毒文件居然全部按照删除处理,导致江民染毒的文件被删除的差不多了,连主程序也被删除了。我又用升级后的江民2009进行了同样的测试,江民2009监控也能启动和报毒,江民主程序无法打开,进入其目录检测发现KVXp.kxp在解毒过程中被破坏(不再删除),无法再运行,但是整个解毒过程没有任何提示。

另外在测试中发现,每次设置瑞星自我保护功能都需要重新启动计算机,设置开启和关闭都是如此,希望改进。
空闲时段查杀在测试时无法顺利通过双击右下角空闲时段查杀图标打开界面,好不容易打开后无法停止查杀,并导致运行其它程序缓慢。不知是不是版本问题。22.00.00.20版有此问题,其它版本未测试。

在关机时ravmond.exe常发生错误。
最后编辑hymwxm 最后编辑于 2009-07-13 20:33:48
分享到:
gototop
 

回复:瑞星2010版本测试手记(一)


写的很详细。支持一下。
gototop
 

回复:瑞星2010版本测试手记(一)

看来瑞星还需要加强,楼主的建议非常好。
曾经有一份记忆在记忆的深处
曾经有一段过去让过去很痛苦
曾经有一个恋人让恋人小声哭
曾经有一种期待变期待为领悟
曾经有一次相遇在相遇的最初
曾经有一个笑颜让笑颜很模糊
曾经有一半自己使自己迷了路
gototop
 

回复: 瑞星2010版本测试手记(一)(二)

瑞星2010版本测试手记(二)



    刚在U盘上发现一个染毒文件,我及时予以了删除,可在删除病毒创建的autorun.inf文件时居然提示无法删除,后经查发现是瑞星监控的问题,关闭后即可删除。


    我不知道瑞星的想法是什么,但对于移动存储设备来说,光清除病毒是不够的,删除病毒创建的autorun.inf文件也是必须的啊,如果此文件存在,那么下次用户是无法通过双击进入U盘的。更过分的是,也不做一下判断,居然连用户建立免疫文件夹的权利也禁止了,呵呵。

最后编辑hymwxm 最后编辑于 2009-07-13 20:36:49
gototop
 

回复:瑞星2010版本测试手记(一)(二)

感谢楼主提供的测试手记!
您发现的问题已反馈瑞星相关部门处理。
欢迎您进一步深入测试2010版。
gototop
 

回复:瑞星2010版本测试手记(一)(二)

测试感觉上是暴力了点,但是我们从中也看出了瑞星现在还存在的缺陷。感谢楼主的分享。
安全,在任何行业中都是重中之重。
gototop
 

回复:瑞星2010版本测试手记(一)(二)

楼主上传个测试中使用的文件行不?
要么俺们只能干看着。

请时刻记住:微软是我们不共戴天的敌人,要找准时机彻底消灭它!
gototop
 

回复: 瑞星2010版本测试手记(一)(二)



引用:
原帖由 hymwxm 于 2009-7-4 18:15:00 发表
瑞星2010版本测试手记(二)

刚在U盘上发现一个染毒文件,我及时予以了删除,可在删除病毒创建的autorun.inf文件时居然提示无法删除,后经查发现是瑞星监控的问题,关闭后即可删除。
我不知道瑞星的想法是什么,但对于移动存储设备来说,光清除病毒是不够的,删除病毒创建的autorun.inf文件也是必须的啊,如果此文件存在,那么下次用户是无法通过双击进入U盘的。更过分的是,也不做一下判断


感谢楼主的反馈,这个问题目前正在解决,请等待后续升级
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手QQ群 64866930
gototop
 

回复: 瑞星2010版本测试手记(一)(二)



引用:
原帖由 瑞星工程师12 于 2009-7-6 14:00:00 发表
[quote] 原帖由 hymwxm 于 2009-7-4 18:15:00 发表
瑞星2010版本测试手记(二)

刚在U盘上发现一个染毒文件,我及时予以了删除,可在删除病毒创建的autorun.inf文件时居然提示无法删除,后经查发现是瑞星监控的问题,关闭后即可删除。
我不知道瑞星的想法是什么,但对于移动存储设备来说,光清除病毒是不够的,删除病毒创建的autorun.in



22.00.00.38仍没解决,查一下系统加固吧
gototop
 

回复:瑞星2010版本测试手记(一)(二)

不错吗
卡饭-江湖的fans
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT