瑞星行为防御模块专项评测之五 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛企业产品讨论区 瑞星2010新品体验挑战专区瑞星行为防御模块专项评测之五

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

瑞星行为防御模块专项评测之五

Palkia 强壮不惑狮帖子:1079 注册: 2009-01-20 来自:Subspace	发表于： 2009-08-28 08:28 \| 只看楼主短消息资料字号：小中大 1楼瑞星行为防御模块专项评测之五历史测试帖 http://bbs.ikaka.com/showtopic-8657865.aspx 0824 http://bbs.ikaka.com/showtopic-8658611.aspx 0825 http://bbs.ikaka.com/showtopic-8659048.aspx 0826 http://bbs.ikaka.com/showtopic-8659258.aspx 0827 测试宗旨由于瑞星的此模块在之前的年版本中都显得十分“含蓄”，做此测试是为了让大家对2010版的新木马行为防御模块有个新认识，要让大家刮目相看，而不是为了找出它有多少能拦截或多少不拦截. 测试说明 1.使用目前还是绝对主流的xp3系统，测试系统默认进程数为21个； 2.不安装所有非智能主防模块并关闭系统加固； 3.行为防御设定为最高级并使用提示处理； 4.遇到相关问题诸如bug或改进建议等会在测试中说明； 5.遇到不报样本将使用eq监控详细行为并附上日志； 6.每次测试将附上当次测试使用的样本并根据测试情况设置较为合理的下载权限，有需要请下载； 7.保证每测试一个样本前将系统还原到干净状态. 0828 今日待测样本数：3个 MD5 7A848B9B5179C636209DC018ED09DBE6 CAD6E4B2953B044DC53AABCA17C5EAB6 ED05AC2F7E39ED54717C9E4A8962CCF7 - virus-3-1 CB80FC9202BA46B0549AB351B0F4741D - virus-3-2 今日说明云安全系统对于virus-3-1的分析结果居然是安全！？运行viurs-1, 没有任何拦截，相继出现了数个样本本体外的陌生进程运行5分钟后的进程列表。tmp文件应该是随机字符的。 0828-1-1.jpg (248.61 K) 2009-8-28 8:28:08 运行virus-2 出现cmd窗口，接着是瑞星自保提示 0828-2-1.jpg (33.68 K) 2009-8-28 8:28:08 接着是 0828-2-2.jpg (175.88 K) 2009-8-28 8:28:08 看看此时任务管理器进程 0828-2-3.jpg (169.91 K) 2009-8-28 8:28:08 等待。。。出现 0828-2-4.jpg (103.65 K) 2009-8-28 8:28:08 再看 0828-2-5.jpg (165.46 K) 2009-8-28 8:28:08 等待。。。 0828-2-6.jpg (110.02 K) 2009-8-28 8:28:08 0828-2-7.jpg (110.15 K) 2009-8-28 8:28:08 拦截后进程 0828-2-8.jpg (214.63 K) 2009-8-28 8:28:08 等待。。。继续拦截 0828-2-9.jpg (103.59 K) 2009-8-28 8:28:08 0828-2-10.jpg (109.39 K) 2009-8-28 8:28:08 0828-2-11.jpg (102.76 K) 2009-8-28 8:28:08 进程 0828-2-12.jpg (201.41 K) 2009-8-28 8:28:08 然后又等了3分钟左右，居然又出现 0828-2-13.jpg (41.62 K) 2009-8-28 8:28:08 看进程 0828-2-14.jpg (246.53 K) 2009-8-28 8:28:08 至此，样本本体还在，进程里还是有残余，后台ie可能会访问恶意网页或下载威胁。测试中木马行为防御弹窗全部点隔离删除选项处理。运行virus-3-1，出现 0828-3-1.jpg (34.95 K) 2009-8-28 8:28:08 0828-3-2.jpg (41.99 K) 2009-8-28 8:28:08 0828-3-3.jpg (35.20 K) 2009-8-28 8:28:08 0828-3-4.jpg (110.16 K) 2009-8-28 8:28:08 出现这么多动作的文件也是安全文件！？查询编号RS20090827084601375477 中的aaa.exe就是virus-3-1样本。md5为ED05AC2F7E39ED54717C9E4A8962CCF7 用瑞星扫描virus-3-2，会发现嵌入删除很多带毒文件，但扫描删除过后运行还是会攻击瑞星,最后还是被瑞星防御删除(即测试使用的virus-3-1) 总结虽然今日总体表现不太理想，但测试中系统未发现具体破坏表现。光是virus-2的测试就耗时至少15分钟了，貌似现在的病毒发作也开始不急着发作了。另外请注意下云安全系统把virus-3分析成安全文件的问题。附上virus-1的eq日志及3个样本，virus-3-2样本是扫描删除前，virus-3-1样本是使用瑞星扫描删除后。搞不懂扫描删除后文件大小比原来的还要变大了？用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; TheWorld) Palkia 最后编辑于 2009-08-28 08:31:36
Palkia 强壮不惑狮帖子:1079 注册: 2009-01-20 来自:Subspace	分享到：

Palkia 强壮不惑狮帖子:1079 注册: 2009-01-20 来自:Subspace	发表于： 2009-08-28 08:30 \| 只看楼主短消息资料字号：小中大 2楼回复: 瑞星行为防御模块专项评测之五上一帖附件满20了发到这帖来。。附件: 你的下载权限 1 低于此附件所需权限 180, 你无权查看此附件附件: 你的下载权限 1 低于此附件所需权限 200, 你无权查看此附件
Palkia 强壮不惑狮帖子:1079 注册: 2009-01-20 来自:Subspace

1415 在线工程师帖子:428 注册: 2009-06-29 来自:	发表于： 2009-08-28 08:45 \| 短消息资料字号：小中大 3楼回复：瑞星行为防御模块专项评测之五感谢楼主的支持，您提交的的样本已经上报，请继续关注瑞星~
1415 在线工程师帖子:428 注册: 2009-06-29 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT