【dong0022 V16+活动第一弹 评测篇】系统染毒后修复能力测试(星星悲剧了)
系统染毒后修复能力测试
就像武林高手一样:除了武艺出众之外“挨揍”的能力也得一流,不然人家一拳你就倒了
怎能称为高手?
同样,
好的安全软件除防御出色外,事后补救的能力也得牛!昨日测了染毒后瑞星的查杀能力,今日找到“强毒”来测试瑞星对深度染毒系
统的修复能力。
测试选取昨日表现第二好的金山毒霸SP5.0正式版作为测试对比。
注:测试原理
1.首先关闭安软所有监控;
2.双击让病毒运行并等待5分钟以让其充分感染系统;
3.为了测试各款软件的真实能力,测试时只开自主引擎即:
4.引擎开启情况:
瑞星:基础+云+基因+决策+工具中的系统修复
附件: 您所在的用户组无法下载或查看附件
金山:云+KSC+系统修复+KVM(关闭红伞引擎):
附件: 您所在的用户组无法下载或查看附件
废话少说上超级板砖
(样本来自于网络,已经入库了,重点测试的是染毒后杀软的修复能
力!)
病毒部分释放文件及修改截图:
附件: 您所在的用户组无法下载或查看附件
系统配置实用程序:
附件: 您所在的用户组无法下载或查看附件
火眼分析报告:
https://fireeye.ijinshan.com/ana... f8f26ac18ec471c04ba
此毒“路数”颇多还映像劫持了上百款安软及辅助工具
好了测试开始,先测试金山毒霸。
首先样本运行后删除自身:
运行前:
附件: 您所在的用户组无法下载或查看附件
运行后自删除,很真实的行为
附件: 您所在的用户组无法下载或查看附件
样本运行后等5分钟以让病毒充分“施展拳脚”(下同)然后再重启。
重启后运行毒霸的KSC一键云查杀,扫描出134项威胁:
附件: 您所在的用户组无法下载或查看附件
修复重启后系统修复成功,还行哈
接下来主角V16+登场(虚拟机恢复快照,使测试环境相同),但重启系统后瑞星悲剧的崩溃
应该是被映像劫持了
,侧面反映出自保的脆弱
,详细的描述和dump日志会单独开贴
说明。
附件: 您所在的用户组无法下载或查看附件
修复统计表:
附件: 您所在的用户组无法下载或查看附件
测试总结:
今日选取的感染型病毒非常有特点,映像劫持,下载器,运行后删除本体非常具有针对性。就算瑞
星程序没有崩溃,修复能力肯定也不如金山,因为瑞星缺少系统修复引擎!不要拿工具箱那个系统
修复工具来说事儿,那个基本是糊弄小朋友的。
系统修复的建议会在我后续的建议篇中详细
说明,希望官方能重视这个重要功能。当前互联网残酷环境下文件安全不等于系统安全!
