ㄚ一
2007-07-25, 08:39 PM
原本只是單純的在測試Panda 2008的Truprevent功能
因為這個功能在Panda 2007 11.00.02(不含)後就失效了
我曾經回報過這個問題,所以我就試看看在2008上是否被修正了
其中一個樣本,就是之前很流行的黑色炸彈,在開啟Panda的已知病毒防護下系統被瓦解
並且再啟不能!
以下是賽門鐵克對黑色炸彈的資訊
http://www.symantec.com/security_response/writeup.jsp?docid=2007-041519-4515-99&tabid=2
Panda死了以後,我就測試看看其他軟體,測了Cyberhawk Pro,還有Norton AntiBot跟F-Secure
其中F-Secure因為已經入庫,無法測試DeepGuard的防禦能力如何,所以以下只比較Cyberhawk Pro跟Norton AntiBot
首先這是病毒樣本跟正常程式放在一塊的樣子,可以清楚的看到圖示是正常的
http://i126.photobucket.com/albums/p97/yanzilme/sample_1.png
直接運行樣本,檔案馬上就被感染了,同時系統上其他的*.exe也正迅速被感染中
http://i126.photobucket.com/albums/p97/yanzilme/sample_2.png
桌面上也多出一個黑色炸彈的程式,執行後是作者對你勒索的宣言
http://i126.photobucket.com/albums/p97/yanzilme/fuxk_1.png
打開Norton AntiBot他沒有任何反應,此時還可以明顯感覺的硬碟的I/O正在飛快的存取
而且在進程監視器中,black-day.exe亮了兩個黃燈,如果你選擇終止進程,黑色炸彈會重生
並且繼續感染你的系統,必須選擇隔離,感染的動作才總算停止了
http://i126.photobucket.com/albums/p97/yanzilme/NAB_1.png
接下來就是Norton AntiBot正在做清理的動作,還蠻久的我等了大約有10分鐘以上
http://i126.photobucket.com/albums/p97/yanzilme/nab_2.png
最後提示重新啟動系統
http://i126.photobucket.com/albums/p97/yanzilme/nab_4.png
我在啟動之前看了一下狀態,顯示移除了993的malware(與圖片不同是因為我事先截圖的關係)
http://i126.photobucket.com/albums/p97/yanzilme/nab_3.png
重開機後系統還是掛了...
http://i126.photobucket.com/albums/p97/yanzilme/nab_dead.png
Norton AntiBot被打敗了...
其實我測試Norton AntiBot的樣本還不多,黑色炸彈雖然不如熊貓燒香或是威金那麼有名
但是沒有在第一時間擋住說真的還漫奇怪的,因為黑色炸彈並不算罕見,而且破壞力又高
然後我又測試了CyberHawk Pro
樣本一執行,隨既出現警告並阻止了進程的行為
http://i126.photobucket.com/albums/p97/yanzilme/cyber_1.png
等級評定為非常危險
http://i126.photobucket.com/albums/p97/yanzilme/cyber_2.png
告訴你這類攻擊普遍出現於蠕蟲以及木馬上,選項上我選擇拒絕但不記住這個動作
http://i126.photobucket.com/albums/p97/yanzilme/cyber_3.png
然後又執行了一次這個黑色炸彈,這回CyberHawk Pro挑出了紅色警告
而且沒有其他動作的選項給你按,按了繼續後,黑色炸彈直接被刪除了
http://i126.photobucket.com/albums/p97/yanzilme/cyber_4.png
刪除後你可以在Cyberhawk Pro的隔離區中發現它的芳蹤
http://i126.photobucket.com/albums/p97/yanzilme/cyber_5.png
結論:
沒有一款軟體是無堅不摧的,在我長期測試HIPS的時間裡
如犀牛,SSM,KAV,F-Secure,GSS等被過也都有,但普遍來說機率很低
有些像KAV以及Panda又經常被我拿放大鏡來檢驗
何謂用放大鏡檢驗?就是我會把它們的緝毒引擎的即時防護關閉
然後單單測試PDM以及Truprevent功能,既使在這樣的情況下被過的機會還是非常的少
證明了他們的防護機制是經的起火煉的
Cyberhawk Pro最近這幾次的改版非常顯著,跟以往我剛使用的時候真的有蠻大的差別
首先系統資源的佔用降低,不脫開機的速度,測了不少樣本抵擋的成功率非常高,至少我測到目前還沒有被過
舊版的Cyberhawk Pro實在真的有些容易被過,我每天都可以遇到至少一隻可以過Cyberhawk Pro的樣本
不過現在改善很多了,如果不需要使用Rootkit Scan還有規則自定這些功能,Cyberhawk Free真的會是一個非常不錯的選擇!
贊助商連結
因為這個功能在Panda 2007 11.00.02(不含)後就失效了
我曾經回報過這個問題,所以我就試看看在2008上是否被修正了
其中一個樣本,就是之前很流行的黑色炸彈,在開啟Panda的已知病毒防護下系統被瓦解
並且再啟不能!
以下是賽門鐵克對黑色炸彈的資訊
http://www.symantec.com/security_response/writeup.jsp?docid=2007-041519-4515-99&tabid=2
Panda死了以後,我就測試看看其他軟體,測了Cyberhawk Pro,還有Norton AntiBot跟F-Secure
其中F-Secure因為已經入庫,無法測試DeepGuard的防禦能力如何,所以以下只比較Cyberhawk Pro跟Norton AntiBot
首先這是病毒樣本跟正常程式放在一塊的樣子,可以清楚的看到圖示是正常的
http://i126.photobucket.com/albums/p97/yanzilme/sample_1.png
直接運行樣本,檔案馬上就被感染了,同時系統上其他的*.exe也正迅速被感染中
http://i126.photobucket.com/albums/p97/yanzilme/sample_2.png
桌面上也多出一個黑色炸彈的程式,執行後是作者對你勒索的宣言
http://i126.photobucket.com/albums/p97/yanzilme/fuxk_1.png
打開Norton AntiBot他沒有任何反應,此時還可以明顯感覺的硬碟的I/O正在飛快的存取
而且在進程監視器中,black-day.exe亮了兩個黃燈,如果你選擇終止進程,黑色炸彈會重生
並且繼續感染你的系統,必須選擇隔離,感染的動作才總算停止了
http://i126.photobucket.com/albums/p97/yanzilme/NAB_1.png
接下來就是Norton AntiBot正在做清理的動作,還蠻久的我等了大約有10分鐘以上
http://i126.photobucket.com/albums/p97/yanzilme/nab_2.png
最後提示重新啟動系統
http://i126.photobucket.com/albums/p97/yanzilme/nab_4.png
我在啟動之前看了一下狀態,顯示移除了993的malware(與圖片不同是因為我事先截圖的關係)
http://i126.photobucket.com/albums/p97/yanzilme/nab_3.png
重開機後系統還是掛了...
http://i126.photobucket.com/albums/p97/yanzilme/nab_dead.png
Norton AntiBot被打敗了...
其實我測試Norton AntiBot的樣本還不多,黑色炸彈雖然不如熊貓燒香或是威金那麼有名
但是沒有在第一時間擋住說真的還漫奇怪的,因為黑色炸彈並不算罕見,而且破壞力又高
然後我又測試了CyberHawk Pro
樣本一執行,隨既出現警告並阻止了進程的行為
http://i126.photobucket.com/albums/p97/yanzilme/cyber_1.png
等級評定為非常危險
http://i126.photobucket.com/albums/p97/yanzilme/cyber_2.png
告訴你這類攻擊普遍出現於蠕蟲以及木馬上,選項上我選擇拒絕但不記住這個動作
http://i126.photobucket.com/albums/p97/yanzilme/cyber_3.png
然後又執行了一次這個黑色炸彈,這回CyberHawk Pro挑出了紅色警告
而且沒有其他動作的選項給你按,按了繼續後,黑色炸彈直接被刪除了
http://i126.photobucket.com/albums/p97/yanzilme/cyber_4.png
刪除後你可以在Cyberhawk Pro的隔離區中發現它的芳蹤
http://i126.photobucket.com/albums/p97/yanzilme/cyber_5.png
結論:
沒有一款軟體是無堅不摧的,在我長期測試HIPS的時間裡
如犀牛,SSM,KAV,F-Secure,GSS等被過也都有,但普遍來說機率很低
有些像KAV以及Panda又經常被我拿放大鏡來檢驗
何謂用放大鏡檢驗?就是我會把它們的緝毒引擎的即時防護關閉
然後單單測試PDM以及Truprevent功能,既使在這樣的情況下被過的機會還是非常的少
證明了他們的防護機制是經的起火煉的
Cyberhawk Pro最近這幾次的改版非常顯著,跟以往我剛使用的時候真的有蠻大的差別
首先系統資源的佔用降低,不脫開機的速度,測了不少樣本抵擋的成功率非常高,至少我測到目前還沒有被過
舊版的Cyberhawk Pro實在真的有些容易被過,我每天都可以遇到至少一隻可以過Cyberhawk Pro的樣本
不過現在改善很多了,如果不需要使用Rootkit Scan還有規則自定這些功能,Cyberhawk Free真的會是一個非常不錯的選擇!
贊助商連結