从PCSL说起:实测江民KV2009主动防御及自我保护

  • 时间:
  • 浏览:7
  • 来源:大发湖北快3_大发湖北快3投注平台_大发湖北快3娱乐平台

  作 者:rocketboy

  近日,国内目前比较权威的反病毒软件测试实验室PCSL发布了08年11月份的测试结果(PCSL全称PC Security Lab, 是国际反病毒测试标准化组织AMTSO成员, 主要发起人是Jeffery Wu,目前原因有13家杀毒厂商参加测试, 每月发布一次测试结果)。

  测试结果如图所示,总共测试了1908个病毒样本,图示要素浅蓝色为静态测试的侦测数,红棕色为动态测试的侦测数。所谓静态测试,实在本来特征码扫描测试,而动态测试则是处在主动防御过程中发现的病毒。

  从上图不难 发现,江民KV09的静态侦测率原因达到了90%以上(浅蓝色要素),再去掉 红色要素通过主动防御识别的要素,总侦测率达到了99.5%, 从而获得了PCSL当月颁出的五星奖章。

  看得人这张图后,我对江民KV60 9有效而又零误报的主动防御产生了浓厚的兴趣,实在有必要好好研究一下。决定此人 动手测试一下看看PCSL对KV60 9的评测是与否名至实归。

  首先,介绍一下我的测试环境:

  硬件环境:

  CPU: Intel Core 2 Duo E460 0

  Memory : Kingston DDR2 667 1G + 2G

  Motherboard : Asus P5G-MX BIOS v0401

  HDD : Seagate Barracuda 760 .9 160 G

  VGA : Intel GMA960

  软件环境:

  Host OS为Windows Vista Ultimate SP1 简体中文版

  应为要实际测试病毒,本来采用了虚拟机,而要测试主动防御,须要让病毒发作,

  本来对虚拟机内的系统也采取了保护法律最好的办法。原因主本来主动防御测试,本来采用了比较早的病毒库(60 8/10/14),这么更新到最新病毒库。

  虚拟机的有并与否配置如下:

  1.使用Microsoft Virtual PC 60 7虚拟Windows XP SP2简体中文版,分配8G硬盘空间,512MB内存。并用影子系统60 8单一影子模式保护操作系统。如下图:

  2.使用VMWare Workstation 6.5虚拟Windows Vista Home Premium简体中文版,分配16G硬盘空间,1G内存。并用Returnil保护操作系统。如下图:

    那接下来本来挑选相当于的样本了,

  样本方面,我挑选了六个PCSL在其英文主站列出的malware list中的病毒,另外,还挑选了三个白多多破坏力比较强的,通过优盘传播的木马。

  其中,这六个PCSL的样本原因在11月份还是新病毒,本来绝大多数杀毒软件还这么入库。本来扫描是不必报毒的,这也为亲戚亲戚另一该人测试主动防御提供了便利。

  当然,哪此病毒现在早已入库了,在升级KV60 9至最新病毒库后,哪此样本都被KV09正确识别并清除了。

  以上图中的PLAY-MOVIE.exe为例,这是三个白多多会释放木马文件的恶意软件,不能看得人,病毒是在60 8-10-31最终完成的。

  通过将病毒送到分析网站,并通过其命名来回查入库日期,不能发现,F-Secure 是在08-11-02 入库的,江民KV60 9是在08-11-04入库的,而Sunbelt是在08-11-06入库的。

  亲戚亲戚另一该人不能看得人,在病毒文件被病毒作者制作出来前一天 ,到病毒文件的特征码真正被去掉 到杀毒软件的病毒之间,有几天的“真空期”,在这几天内,对于哪此未知病毒,一般的基于特征码扫描的杀毒软件(on-demand scanner)是无能为力的,本来原因安全软件包含 主动防御,不能监控病毒文件的高危行为,这么防住哪此恶意软件还是有原因的。

  下面就具体看看KV60 9对于哪此在当时来说,还是“未知病毒”的防御情况汇报是如可的吧:这里值得一提的是,对于主动防御的设置,是完整打开,监控模式采用智能模式。而原因病毒基本都这么入库,本来监控的开启和关闭也就并非重要了。

  先看一下前一天 提到的PLAY-MOVIE.exe,运行后,该文件做了所以动作,这类创建注册表键和网络连接,哪此都被KV60 9的主动防御发现,另外,还释放了若干个恶意文件,哪此都被KV60 9主防的FD(File Defence 文件防御) 监控到,本来六个盾牌也显示这是三个白多多宽度可疑的高危文件了。

  显然,主动防御不能识别并帮助用户阻止这个 未知的木马。

    再来看下三个白多多恶意多多线程 ,RPT.exe。

  这个 多多线程 运行后,会启动IE,并上网去下载三个白多多木马多多线程 到本地。是三个白多多典型的Trojan-Downloader的行为。这点也被KV的主动防御抓住了。如下图:

    再来看另外三个白多多恶意软件,IAInstall.exe。

  该多多线程 运行后,会在注册表创建三个白多多键值,使得此人 不能开机自动运行。(被KV09的RD – Registry Defence 注册表防护侦测到), 并释放file.exe和InternetAntivirsProtect.exe,伪装成杀毒软件。

  通过下面在虚拟机中Windows XP和Windows Vista下的截图,不能更清晰的了解该病毒的行为:

  再接下来,为了进一步验证江民KV60 9的主动防御,同時 测试监控失效(被用户误操作关闭等)的情况汇报下,对病毒的防御。

  我又将江民的监控关闭,打开主动防御,看看江民不能防住。

  我挑选了三个白多多同事优盘上的已知病毒。这是三个白多多木马下载器,江民的命名是TrojanDownloader.VB.jxd,该病毒主要通过优盘传播,样本创建于60 8年4月底,08年5月初入库。运行该病毒后,病毒会释放文件到系统文件夹,本来,原因在中毒的机器上用暴风影音(StormCodec)运行媒体文件,则会生成三个白多多和该媒体文件同名的exe文件。同時 ,改写优盘的分区表,将优盘空间占满。

  结果,KV60 9在WinXP和Vista下都成功拦截住了这个 病毒的恶意行为:

  如同我前一天 所说的,现在新病毒经常出显的下行下行速率 这么快,本来主要通过互联网快速传播,从新病毒经常出显在互联网上,到安全软件厂商拿到样本,完成分析和入库,是有一段时间的。对于在此期间的保护,主动防御就十分必要了。本来随着现在0day漏洞太少,恶意代码层出不穷,主动防御的必要性也就这么高了。

  从我前一天 分析的十几个 样本,亲戚亲戚另一该人本来能发现,如今的病毒相比前几年来说,种类上有九成以上是木马,还有一定量蠕虫。哪此木马的主要目的是窃取账号,从而牟取利益。我在平时浏览网页的前一天 ,有时也会遇到网页被挂马。本来,主动防御对于保护此人 电脑用户的信息安全也就显得尤为重要了。从实际的是用来看,KV的主动防御的粒度在国内杀毒软件中间是最完善的,作为一款杀毒软件,其主动防御的完善性,相比有些专业的HIPS,都毫不逊色。甚至不能用作分析病毒行为的工具了。KV的主动防御有着完善的FD(File Defence)/RD(Registry Defence)和AD(Application Defence),原因防火墙能集成更完善的ND(Network Defence)语录就完美了。

  另外,我还简单测试了一下KV60 9的自我保护能力。

  实在,从熊猫烧香或更早有些的病毒开始英文,从它们反汇编出来的代码中间就不能看出,它们增加了对杀毒软件的对抗,一旦运行,会尝试关闭包含 有些关键词的多多线程 ,在这个 情况汇报下,杀毒软件的自我保护就显得比较重要的,而在这点上,江民又是国内厂商中非常突出的,本来连微软MVP的pjf写的IceSword本来能开始英文其多多线程 ,这在国际上,能做到的安全软件厂商本来超过三家吧。

  先尝试用多多线程 管理器开始英文KV60 9的三个白多多多多线程 KVMonXP.kxp(监控)和KVSrvXP.exe(服务),开始英文失败。

本来,使用传说中的IceSword,无法开始英文。

  再用APT,这同样是三个白多多系统权限很高的工具,直接用最底层的Kernel Kill,还是无法开始英文。

  最后,再尝试用微软MVP兼员工的Mark Russinovich编写的PsKill来开始英文KV09的相关多多线程 ,同样以失败告终。

  由此可见,KV60 9具有强大的自我保护能力。即使是对Windows极端熟悉的开发人员编写的工具都无法开始英文KV的多多线程 ,相信病毒作者肯定也无能为力了。