杀毒软件自我保护测试

发布: 2008-01-30 |  作者: 佚名 |   来源: 转载

上一篇 下一篇
本测试主要是测试监控无提示情况下能破坏哪些杀毒软件

  说明:
  1.SSDT恢复 用syscheck的不加强化检测(无驱动 仅读写内存)
  2.结束进程 不加载驱动 使用软件(syscheck)
  3.停止服务(net命令停止服务) 主要测试使用net命令停止服务可以破坏哪些保护(病毒也常用这招)
  4.删除文件(加载驱动删除杀软的HOOK文件) 使用软件(360filekill,unlocker)
  5.卸载全局钩子 使用软件(syscheck)


  

  参与测试杀毒软件均采用默认设置
另类测试


  说明:
  
  ---------未通过测试---------
  成功(杀软无任何提示下成功操作 监控失效)

  ----------通过测试----------
  失败(该操作被阻止或无法成功)
  提示(该操作被提示 有阻止的机会)
  蓝屏(出现蓝屏)
  无效(杀软无任何提示下成功操作 但监控仍然有效)
  无 (杀软无相对应项或无法检测出)

  例外情况:
  (1).卸载全局钩子后部分程序出错 重启shell以后保护失效

  (2).把360filekill的易语言组件报毒了 unlocker只能部分删除 但是保护仍然被破

  (3).把360filekill的文件报成病毒(易语言组件) unlocker不能完全删除 这时再打开病毒程序 虽然有报毒却不能阻止运行

  (4).SSDT恢复可以破坏FS的hips模块 但是无法使病毒监控失效 但是也这时候也可以把进程结束了 保护一样破

  (5).结束后打开任何程序假死好一阵子 不过仍然能打开 属于成功那类吧

  [关于易语言组件报毒的问题:这跟病毒库有关系,所以在这次测试中未尽准确,已知上述测试杀毒软件中最新病毒库报易语言病毒的有 AVG Panda VBA32]

  后注:

  卸载全局钩子,大概都是把杀软右键杀毒的dll全局卸载了,所以对文件监控是没什么影响的。只有金山比较例外,因为会使部分程序立刻出错,之后金山也崩溃了,保护失效。因为测试比较粗略,无法顾及杀软自身设置等。例如卡7主动防御把注册表保护的System Services开了就可以拦截360删除工具的驱动等来避免被删除文件或结束进程,至于结束进程的测试,为了区别只是用了syscheck 真的没有加载驱动(加载了估计除FS&卡7外全无提示),停止服务的只要有依存关系的注意用net stop停止的顺序就可以达到无提示了。删除文件这个因为360删除工具有加驱动,所以不拦的基本全过了,因为现有杀毒软件还没有多少会对驱动加载拦截。

TAG: 杀毒软件
上一篇 下一篇