瑞星全功能安全软件2010测试报告（7月22日）
前言
　　在第一阶段的测试中，本人做过一次瑞星杀毒软件2010与卡巴斯基反病毒2009的对比测试。但测试结果反馈，卡巴斯基反病毒的主动防御模块表现糟糕地令人惊愕，而引起了很多卡巴斯基支持者的不满，抱怨测试不够公平之类，甚至有些过激的言语。因此，今日，将对RIS2010与KIS2010进行一次详细的对比测试。测试的主要目的是以KIS2010为标杆，衡量RIS2010取得的进步到底有多大。本报告主要提供给瑞星公司，测试结果不能排除偶然性，请读者自行判断。

测试内容：
测试环境：
操作系统：WindowsXP SP3(虚拟机)
内存：256MB
浏览器版本：IE6.0
程序版本：22.00.00.45

一BUG及建议反馈

此处的颜色与整体界面的色调不和谐。建议修改。


全盘扫描时，红框内的数据会闪烁。建议修改。




与冰刃1.22版本不兼容，出现蓝屏。dump及冰刃程序在附件中提供。


关机时，左上角未出现狮子的图标。

二对比测试
产品信息：
RIS2010
程序版本：22.00.00.45
病毒库更新到最新
KIS2010
程序版本：9.0.0459
病毒库更新到最新

1）资源占用比较



2）引擎性能比较
扫描对象信息：
病毒包内含957个病毒文件，多数加壳。







注：KIS2010的引擎对加多层壳尤其如*.exe>>PE_Patch.UPX>>UPX的文件脱壳速度异常缓慢。

3）暴力测试
1文件名：2.exe
该病毒通过安装全局系统钩子注入kSVHjMeWr5ZZY47.dll。
修改注册表：
注册表键： HKCR\CLSID\{480F828B-3E98-426A-AEBC-B4307DF4771D}\InprocServer32
注册表值： （默认）
类型: REG_SZ
值： C:\WINDOWS\system32\kSVHjMeWr5ZZY47.dll
然后通过explorer.exe挂钩：
挂钩类型：WH_GETMESSAGE（监控发送到消息队列的消息）
RIS2010的系统加固及木马行为防御将其拦截。







KIS2010的应用程序活动控制阻止其运行，但未以对话框形式通知用户。关闭应用程序活动控制后，KIS2010未拦截该病毒。


2文件名：12.exe
该病毒释放fon文件。
RIS2010的木马行为防御对此类行为可以轻松拦截。


KIS2010的应用程序活动控制阻止其运行，但未以对话框形式通知用户。关闭应用程序活动控制后，KIS2010未拦截该病毒。



3文件名：a.exe
该病毒通过services.exe修改注册表：
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\WMISEswew
注册表值： Type
类型: REG_DWORD
值： 00000110
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\WMISEswew
注册表值： Start
类型: REG_DWORD
值： 00000002
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\WMISEswew
注册表值： ErrorControl
类型: REG_DWORD
值： 00000001
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\WMISEswew
注册表值： ImagePath
类型: REG_EXPAND_SZ
值： C:\WINDOWS\system32\svchost -k WMISEswew
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\WMISEswew
注册表值： DisplayName
类型: REG_SZ
值： Windows Management Instrumente
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\WMISEswew\Security
注册表值： Security
类型: REG_BINARY
值： 01001480900000009C00000014000000...
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\WMISEswew
注册表值： ObjectName
类型: REG_SZ
值： LocalSystem
RIS2010的木马行为防御成功将其拦截，并将注册表回滚到被病毒修改之前。




KIS2010的应用程序活动控制阻止其运行，但未以对话框形式通知用户。关闭应用程序活动控制后，KIS2010未拦截该病毒。



4文件名：cc.bat
该病毒通过CMD.EXE启动conime.exe，ftp.exe，ping.exe。
RIS2010的误将其认为可信任程序，主动防御没有反应，但该程序出错。







   
用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2)

KIS2010未拦截该病毒的运行，但病毒以出错结束。

5文件名：cc.exe
该病毒通过services.exe修改注册表：
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ias
注册表值： Type
类型: REG_DWORD
值： 00000120
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ias
注册表值： Start
类型: REG_DWORD
值： 00000002
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ias
注册表值： ErrorControl
类型: REG_DWORD
值： 00000000
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ias
注册表值： ImagePath
类型: REG_EXPAND_SZ
值： %SystemRoot%\System32\svchost.exe -k netsvcs
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ias
注册表值： DisplayName
类型: REG_SZ
值： NVIDIA Driver Service
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ias\Security
注册表值： Security
类型: REG_BINARY
值： 01001480900000009C00000014000000...
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ias
注册表值： ObjectName
类型: REG_SZ
值： LocalSystem
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ias
注册表值： Description
类型: REG_SZ
值： Provides desktop level support to the NVIDIA display driver
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ias
注册表值： Module
类型: REG_SZ
值： Z:\scan\cc.exe
RIS2010的木马行为防御将其拦截。



KIS2010的应用程序活动控制阻止其运行。关闭应用程序活动控制后，KIS2010未拦截该病毒。



6文件名：good24.exe
该病毒有联网行为。但进程未退出。
RIS2010的防火墙将其拦截。




KIS2010的应用程序活动控制阻止其运行。关闭应用程序活动控制后，KIS2010未拦截该病毒。



7文件名：kao.bat
该病毒启动conime.exe，ftp.exe，释放dboysb.sys。
RIS2010未拦截。

KIS2010未拦截。

8文件名：love.exe
该病毒主要针对NOD32，通过批处理，将NOD32的服务关闭。
修改rundll32.exe，指向tete2003750t.dll。

RIS2010在其一连串动作执行后，将其拦截，并将系统回滚到被病毒修改之前。

RIS24.PNG (25.49 K)

2009-7-22 19:42:48

KIS2010的应用程序活动控制阻止其运行。关闭应用程序活动控制后，KIS2010未拦截该病毒。


8文件名：net.exe
该病毒在C:\WINDOWS\system32路径里，启动net1.exe。
RIS2010未拦截。

KIS2010未拦截。

9文件名：svchost.exe
该病毒通过CMD.EXE启动cacls.exe。
RIS2010的木马行为防御将其拦截。


KIS2010的应用程序活动控制阻止其运行。关闭应用程序活动控制后，KIS2010未拦截该病毒。


10文件名：0DYSC.EXE
该病毒释放kill.bat删除自身，启动conime.exe，存在联网行为。
RIS2010的防火墙将其拦截。


KIS2010的应用程序活动控制阻止其运行。关闭应用程序活动控制后，KIS2010未拦截该病毒。



11文件名：01.scr
该病毒会释放dllcache.exe，修改核心内存，存在联网行为。
通过services.exe，修改注册表：
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32
注册表值： Type
类型: REG_DWORD
值： 00000001
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32
注册表值： Start
类型: REG_DWORD
值： 00000003
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32
注册表值： ErrorControl
类型: REG_DWORD
值： 00000001
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32
注册表值： ImagePath
类型: REG_EXPAND_SZ
值： \??\C:\WINDOWS\system32\drivers\sysdrv32.sys
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32
注册表值： DisplayName
类型: REG_SZ
值： Play Port I/O Driver
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32
注册表值： Group
类型: REG_SZ
值： SST wanport drivers
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Security
注册表值： Security
类型: REG_BINARY
值： 01001480900000009C00000014000000...
然后，加载驱动文件sysdrv32.sys。
RIS2010的系统加固，防火墙将其拦截。加载驱动未拦截。

RIS28.PNG (27.21 K)

2009-7-22 19:42:48

KIS2010的应用程序活动控制阻止其运行。关闭应用程序活动控制后，KIS2010未拦截该病毒。


12文件名：1.exe    病毒名：Backdoor.Win32.ShangXing.bqv
该病毒在后台启动IE浏览器，通过services.exe修改注册表：
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\微软名称：KB969898
  注册表值： Type
      类型: REG_DWORD
      值： 00000110
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\微软名称：KB969898
  注册表值： ErrorControl
      类型: REG_DWORD
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\微软名称：KB969898
  注册表值： ImagePath
      类型: REG_EXPAND_SZ
      值： C:\Program Files\Common Files\Microsoft Shared\MSINFO\KB969898安全更新程序
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\微软名称：KB969898
  注册表值： DisplayName
      类型: REG_SZ
      值： 安全更新程序
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\微软名称：KB969898
  注册表值： Description
      类型: REG_SZ
      值： 现已确认 ActiveX 控件中存在一些安全问题，攻击者可能会利用这些问
然后在后台启动mspaint.exe，修改IE和mspaint.exe的核心内存。。
RIS2010的应用程序加固将其拦截。




KIS2010的应用程序活动控制阻止其运行。关闭应用程序活动控制后，KIS2010未拦截该病毒。


13文件名：6(1).exe
该病毒启动mshta.exe，修改IE浏览器。
RIS2010未拦截。

KIS2010的应用程序活动控制阻止其运行。关闭应用程序活动控制后，KIS2010未拦截该病毒。


14文件名：1314.exe
该病毒启动Microsoft.exe，services.exe，修改注册表：
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\KLJS
  注册表值： Type
      类型: REG_DWORD
      值： 00000110
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\KLJS
  注册表值： Start
      类型: REG_DWORD
      值： 00000002
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\KLJS
  注册表值： ErrorControl
      类型: REG_DWORD
      值： 00000000
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\KLJS
  注册表值： ImagePath
      类型: REG_EXPAND_SZ
      值： C:\WINDOWS\system32\kljs_Server.exe
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\KLJS\Security
  注册表值： Security
      类型: REG_BINARY
      值： 01001480900000009C00000014000000...
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\KLJS
  注册表值： ObjectName
      类型: REG_SZ
      值： LocalSystem
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\KLJS
  注册表值： Description
      类型: REG_SZ
      值： 傀儡僵尸服务端程序。
kljs_Server.exe尝试联网。
RIS2010的防火墙将其拦截。
KIS2010的应用程序活动控制能阻止该病毒运行，关闭应用程序活动控制后，KIS2010的主动防御提示：行为类似PDM.Trojan.generic。

总结：
　　从以上的测试结果来看，RIS2010与KIS2010各有各的特色。暴力测试中，均关闭了各自的文件监控，主要考验对未知病毒的防御能力。KIS2010能抵御的病毒，RIS2010基本均能抵御。这足以说明瑞星的进步速度有多快！另外，还需申明的是，KIS2010的应用程序活动控制仍就依靠一个特定的数据库才能对病毒进行拦截。这就是为什么以上病毒没有来得及运行，就被KIS2010阻止的原因，KIS2010根本没对以上文件进行行为的监控。引用资料“应用程序控制模块，将所有可执行文件根据其完整性和来源进行分类，并将可执行文件的信息收集后保存到一个卡巴斯基实验室服务器的特定数据库中，保持实时更新，同时通过包括“云安全”网络在内的其他来源进行补充。”。严格地说，若该特定数据库长时间未更新，那么未知病毒入侵，KIS2010的应用程序活动控制根本无法防御。当关闭该项功能后，KIS2010的主动防御模块对于病毒的入侵没有招架之力，被病毒加载驱动后，KIS2010的进程被结束，用户的计算机就交给了病毒。因此，在用户端对病毒的行为分析能力，RIS2010远远超过KIS2010。而从资源占用来看，RIS2010比KIS2010控制的好一些。在引擎方面，KIS2010的脱壳速度存在较大问题，RIS2010的扫描速度虽然与其他杀毒软件相比不算快，但还是领先KIS2010。就这份测试报告，我们惊喜地看到RIS2010已经对KIS2010形成了不对称优势。如果瑞星能够借鉴KIS2010的应用程序活动控制这项技术来拓展主动防御的能力，那么瑞星赶上卡巴斯基这样的世界一流反病毒软件已经不远。

以上为今日的测试报告，若报告中出现错误，请多多包涵。

昨日测试报告：http://bbs.ikaka.com/showtopic-8645516.aspx

补充两个问题：

防火墙不能识别流行的网游，这非常不应该！


该对话框的图标建议修改。既然提示的内容为“可信任程序”，为何图标内还有禁止符号？

看看

期待工程师的回复~

感谢楼主的测试，问题已收集，同时意见建议会尽快反馈

恩 测试的不错 不愧是本本获得者