(由于机器近期需处理较多任务,未进行高风险的测试,暂时只给出了一些表观现象,稍有研究整理)
测试环境:Core2 Duo 2.2真实主机,2GB RAM,Windows Server 2003 R2 SP2最新补丁,IE7.0.5730.13,RAV2009 21.00.50,IIS6.0开启HTTP服务ASP,DirectX9c
测试内容:
1、C盘根目录文件重名名测试(有问题)
2、瑞星文件夹读写测试(通过)
3、注册表相关位置更改测试(有问题)
4、磁盘底层操作(通过)
5、界面功能测试(通过)
6、autorun读写测试(通过)
7、注册表比对(未完成)
8、IceSword调试与文件敲除(未得出结论)
问题与建议:
1、(问题)无法保护boot.ini,该文件至关重要,一旦被删除或被修改将无法开机,必须使用光盘才能修复。强烈建议保护该文件。
2、(问题)无法保护config.sys、io.sys、msdos.sys、autoexec.bat等旧版本文件,这些文件损坏可能导致Windows 98和/或DOS工具箱无法正常使用。
3、(建议)建议对Vista与XP或2003的兼容引导程序进行研究,此类兼容引导可能用到第三方工具,这些工具受到破坏将无法开机。
4、(建议)建议对System Volume Information、Recycled、Recycler等进行保护,很多病毒都会感染这些位置。3721流氓软件曾使用过C:\WINDOWS\Downloaded Program Files,也应严加监控。
5、(建议).vbs与.vbe文件病毒非常危险,瑞星在很长一段时间内无法查杀,病毒不会在盘符右击菜单中产生项目,选择“打开”或“资源管理器”均会中毒,并且不能被原先的自启动提示拦截。(考虑到安全原因未挂盘测试)由于病毒是依靠系统自导的wscript.exe加载的,因此数字签名判断对此病毒无效,命令行判断亦无效。建议对.vbs、.vbe、和系统中的wscript.exe严加监控。
6、(建议)病毒可能会对压缩文件进行加密,然后使用密码读取,建议在查杀压缩文件时,将加密或其他原因无法查杀的压缩文件记入日志。
7、(建议)建议通过“云安全”计划,用户的系统文件受损时,可以从服务器或网络上的其他计算机中自动寻找对应版本的文件,以便第一时间恢复,防止杀毒软件杀掉病毒后系统文件缺失无法开机。
8、(建议)软件界面不符合相关Windows软件标准,顶部“首页”、“杀毒”一栏和底部“电脑安检”、“快速查杀”一栏均无法通过键盘访问,同时设置中的某些项目不能通过Tab键切换到。用户鼠标损坏时将不能使用相关功能。建议在用户体验与防模拟按键之间作出平衡。
9、(建议)尽管“应用程序控制”中的“规则应用对象”可以选择“*”,但是监测的文件不能使用通配符,这在某些情况下相当不便(例如想要监测所有.vbs文件或根目录下的autorun.inf)。建议增加文件通配符支持、路径范围通配支持等。并且“防挂起”、“防结束”功能没有了。
10、(建议)建议在触发自我保护规则时,给出相应的进程名、触发目标等信息,以便发现可疑文件。
11、(建议)建议增加注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services的保护,防止病毒创建服务、开启服务(例如远程桌面终端服务、Telnet等)和篡改服务。杀毒软件自身的服务受到保护,但RFW和RAS的服务未受保护。
12、(建议)杀毒软件在升级后若需要重启,用户选择不重启,此时系统是危险的,建议增加相关保护措施,或者升级需要重启时暂时不执行升级,而将升级过程移至下一次重启时进行。
13、(问题)Process Explorer无法对瑞星的进程进行结束和调试,但可以修改优先级。
14、(建议)有时启动瑞星杀毒软件会提示要求重启,此时计算机可能是缺乏保护的,若病毒找到相关注册表项加以破坏,可能导致瑞星被摧毁或者永远提示需要重启,须设法防范(注册表比对尚未完成,未进行相关试验)。另外如果此时进入安全模式,瑞星仍然提示重启,无法进行安全模式杀毒。
15、(??)RAV2009的病毒隔离好像没有旧版的强,WinRAR展开带毒文件时WinRAR本身不会提示出错,而且提示带毒时文件仍可被复制等操作。
[黑客导师]zayoo
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Avant Browser; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)
