杀毒软件自我保护测试
发布: 2008-01-30 | 作者: 佚名 | 来源: 转载
说明:
1.SSDT恢复 用syscheck的不加强化检测(无驱动 仅读写内存)
2.结束进程 不加载驱动 使用软件(syscheck)
3.停止服务(net命令停止服务) 主要测试使用net命令停止服务可以破坏哪些保护(病毒也常用这招)
4.删除文件(加载驱动删除杀软的HOOK文件) 使用软件(360filekill,unlocker)
5.卸载全局钩子 使用软件(syscheck)
参与测试杀毒软件均采用默认设置

说明:
---------未通过测试---------
成功(杀软无任何提示下成功操作 监控失效)
----------通过测试----------
失败(该操作被阻止或无法成功)
提示(该操作被提示 有阻止的机会)
蓝屏(出现蓝屏)
无效(杀软无任何提示下成功操作 但监控仍然有效)
无 (杀软无相对应项或无法检测出)
例外情况:
(1).卸载全局钩子后部分程序出错 重启shell以后保护失效
(2).把360filekill的易语言组件报毒了 unlocker只能部分删除 但是保护仍然被破
(3).把360filekill的文件报成病毒(易语言组件) unlocker不能完全删除 这时再打开病毒程序 虽然有报毒却不能阻止运行
(4).SSDT恢复可以破坏FS的hips模块 但是无法使病毒监控失效 但是也这时候也可以把进程结束了 保护一样破
(5).结束后打开任何程序假死好一阵子 不过仍然能打开 属于成功那类吧
[关于易语言组件报毒的问题:这跟病毒库有关系,所以在这次测试中未尽准确,已知上述测试杀毒软件中最新病毒库报易语言病毒的有 AVG Panda VBA32]
后注:
卸载全局钩子,大概都是把杀软右键杀毒的dll全局卸载了,所以对文件监控是没什么影响的。只有金山比较例外,因为会使部分程序立刻出错,之后金山也崩溃了,保护失效。因为测试比较粗略,无法顾及杀软自身设置等。例如卡7主动防御把注册表保护的System Services开了就可以拦截360删除工具的驱动等来避免被删除文件或结束进程,至于结束进程的测试,为了区别只是用了syscheck 真的没有加载驱动(加载了估计除FS&卡7外全无提示),停止服务的只要有依存关系的注意用net stop停止的顺序就可以达到无提示了。删除文件这个因为360删除工具有加驱动,所以不拦的基本全过了,因为现有杀毒软件还没有多少会对驱动加载拦截。