【分享】瑞星08测试
我是瑞星的06、07版老用户了,我平时喜欢搞黑客类的工作,因此我这次测试了瑞星08.
我的配置比较烂,赛扬D+256MB内存。装好瑞星08后重启,升级,测试,到瑞星网站提交报告,似乎没什么问题。我做了反Rootkit和自我保护两个测试,发现瑞星似乎做得一般。
由于我之前做过一个反Rootkit测试(详见http://tcdiy.blog.163.com),于是我拿上次测过的6个Rootkit程序,先把 D:\rootkit\目录加入白名单,然后开始,发现除PCShare(测试时关闭了文件监控)之外的Rootkit都逃不过瑞星的法眼,hxdef和AFXRootkit甚至还现形于任务管理器。不过为什么不加上杀进程的功能呢?
PCShare由于用了驱动隐藏,把自身注入了svchost.exe,于是PCShare尝试连接客户端时,瑞星个人防火墙报警了,报告模块xxx.dll,要连接Internet,看来防火墙做得不错。
接下来,瑞星恶意代码防护报告svchost.exe存在恶意代码,估计是PCShare做出了什么行为吧,然后我按默认处理了。
在试自我保护的时候,任务管理器、taskkill、PCShare进程管理、Rootkit Unhooker都不能干掉瑞星的进程,但令我大跌眼镜的是,SysCheck可以轻松把瑞星干掉。自从我测Rootkit,IS就不用了,ntsd我忘记了测试。
接下来还有更奇怪的,我重启发现我的网络无法使用了,用我的光盘搞来搞去都没用,而且tasklist无法使用了,说RPC服务器无法启动,而且explorer加载变慢,服务只有在切换到“标准”才能查看,属性无法使用。“剪切”、“粘贴”无法使用。这是RPC服务被停止的症状!没办法,我解决不了,只好重装。
切换到另一个XP系统,装上影音风暴,瑞星2007报木马,于是打开隔离区,发现影音风暴的一个文件被隔离,同时发现svchost.exe被隔离了,病毒名称写Malicious Code.原来是瑞星08的误杀,是误杀害我重装了系统!
看来Rising还有很大的rising的余地啊!希望瑞星越做越好。
