瑞星卡卡安全论坛个人产品讨论区瑞星杀毒软件瑞星杀毒软件V16+V16+新引擎测试专区 【dong0022 V16+活动第一弹 评测篇】系统染毒后修复能力测试(星星悲剧了)

1   1  /  1  页   跳转

[评测] 【dong0022 V16+活动第一弹 评测篇】系统染毒后修复能力测试(星星悲剧了)

【dong0022 V16+活动第一弹 评测篇】系统染毒后修复能力测试(星星悲剧了)

系统染毒后修复能力测试



就像武林高手一样:除了武艺出众之外“挨揍”的能力也得一流,不然人家一拳你就倒了 怎能称为高手?  同样,


的安全软件除防御出色外,事后补救的能力也得牛!昨日测了染后瑞星的查杀能力,今日找到“强毒”来测试瑞星对深度染毒系


统的修复能力。


测试选取昨日表第二好的金山毒霸SP5.0正式版作为测试对比


注:测试原理

1.首先关闭安软所有监控;
2.双击让病毒运行并等待5分钟以让其充分感染系统;
3.为了测试各款软件的真实能力,测试时只开自主引擎即:

4.引擎开启情况:

瑞星:基础+云+基因+决策+工具中的系统修复


 附件: 您所在的用户组无法下载或查看附件

金山:云+KSC+系统修复+KVM(关闭红伞引擎):


 附件: 您所在的用户组无法下载或查看附件


废话少说上超级板砖样本来自于网络,已经入库了,重点测试的是染毒后杀软的修复能


力!


病毒部分释放文件及修改截图:



 附件: 您所在的用户组无法下载或查看附件


系统配置实用程序:



 附件: 您所在的用户组无法下载或查看附件


火眼分析报告:
https://fireeye.ijinshan.com/ana... f8f26ac18ec471c04ba


此毒路数颇多还映像劫持了上百款安软及辅助工具

好了测试开始,先测试金山毒霸。

首先样本运行后删除自身:

运行前:


 附件: 您所在的用户组无法下载或查看附件


运行后自删除,很真实的行为


 附件: 您所在的用户组无法下载或查看附件


样本运行后等5分钟以让病毒充分施展拳脚(下同)然后再重启。

重启后运行毒霸的KSC一键云查杀,扫描出134项威胁:



 附件: 您所在的用户组无法下载或查看附件


修复重启后系统修复成功,还行哈

接下来主角V16+登场(虚拟机恢复快照,使测试环境相同),但重启系统后瑞星悲剧的崩溃


应该是被映像劫持了,侧面反映出自保的脆弱,详细的描述和dump日志会单独开贴


明。



 附件: 您所在的用户组无法下载或查看附件


修复统计表:



 附件: 您所在的用户组无法下载或查看附件


测试总结:


今日选取的感染型病毒非常有特点,映像劫持,下载器,运行后删除本体非常具有针对性。就算瑞


星程序没有崩溃,修复能力肯定也不如金山,因为瑞星缺少系统修复引擎!不要拿工具箱那个系统


修复工具来说事儿,那个基本是糊弄小朋友的。系统修复的建议会在我后续的建议篇中详细


说明,希望官方能重视这个重要功能。当前互联网残酷环境下文件安全不于系统安全!

最后编辑dong0022 最后编辑于 2013-11-21 13:21:45
分享到:
gototop
 

回复: 【dong0022 V16+活动第一弹 评测篇】系统染毒后修复能力测试(星星悲剧了)

测试样本:(解压密码virus)
 附件: 您所在的用户组无法下载或查看附件

请按照文章开头的测试原理部分在虚拟机中操作,不要实机运行,避免不必要的麻烦。
崩溃dump日志单独开贴反馈了
http://bbs.ikaka.com/showtopic-9262542.aspx
自保和系统修复能力有严重问题,希望能抓紧解决一下。
gototop
 

回复 2F networkedition 的帖子

刚才在编辑呢,你速度好快呀
gototop
 

回复 5F cjyrs 的帖子

映像劫持的防护早先版本是可以防御住的,毒霸现在的自保都没有问题,真不知星星怎么倒退了
系统修复引擎的建议我后面的建议篇会详谈,到时可以来讨论一下。
当时万字评测时就说过系统修复引擎的问题,但好像官方没太重视。
主防的问题不是一朝一夕的事儿,我后续的建议也会对主动防御的改进进行探讨
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT