alien0512
2006-05-02, 07:01 PM
謝謝版大幫我把文章移過來,我貼的時候忘記換區域了
為了怕引起筆戰,俺先聲明一下:|||:
任何防毒軟體、防駭軟體都有他的優缺點
就算是大廠出的東西不一定就是完美無缺
卡巴斯基也是一樣,如果6.0是完美的
就沒必要出新的Beta版本來讓大家測試
希望大家自己不要老是依靠防毒軟體
重點是您自己使用軟體的態度要正確
一個人測試出來的結果並不能代表什麼
這只是想要提醒所有使用電腦的人:
「防毒軟體非萬能,使用態度才重要」
(為尊重原作者,文章內容皆未做任何修改,所有言論不代表本人想法)
鳥人大亂測之 : 趨勢科技-反間諜精靈 3.0 (http://x-solve.com/blog/?p=46)
星期日 16 四月 2006 @ 4:28 pm
http://tw.news.yahoo.com/060405/78/306cn.html
http://tw.news.yahoo.com/060405/78/306cn/1.html
剛剛Kuon說,趨勢的Anti-Spyware程式可以下載試用了.
新聞看來很無奈…JR也被趨勢DoS過了… :p
知名國內大廠,怎麼可以放過我們*艾克索夫實驗室*的測試呢,何況要支持依下國產軟體,不然張明正叔叔花了1百多萬美金開發的,不玩玩看很浪費耶
因此,我在趨勢科技網站上,下載了新版的”反間諜精靈 3.0″試用版
整個package還算小,只有4.3 MB, 接著開始我們的簡單測試.
http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/Trend_Anti-Spyware.JPG
“反間諜精靈 3.0″試用版,因為它是一套Monitor程式,所以必須先安裝,並且也啟動他的所有即時監控,再來執行Rootkit測試,
http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/Trend_Anti-Spyware-2.JPG
首先,我使用Hxdef 1.0r 這套非常有名的User mode Rootkit (大家應該都知道), 第一步呢, 先不使用Packer作變形保護,也不改Source重新編譯, 直接在holy_father網站上download, 因為這套太老牌, 這樣的話其實所有的Anti-Virus都會偵測到.
殘念!!⊙_⊙(註:殘念 = 太可惜了、太遺憾了)
結果居然什麼都沒警告, 在執行掃描也什麼都偵測不到… Orz
http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/test1.JPG
第二測試用最近很多單位被植入的後門測試,這個Spyware會做DLL Injection
(請參考PK文章 (http://x-solve.com/blog/?p=44#comments)), 這才是真正危害的Spyware,如果”反間諜精靈 3.0″能偵測到就太好了.
殘念!! X 2
結果居然也是什麼都沒警告, 在執行掃描也什麼都偵測不到… ⊙_⊙
這樣我都沒勇氣繼續測試了,連這都抓不到…那怎麼對抗其他正規軍的Spyware !?
接下來測試一下我們的Archon, 使用Scan Engine 0.1.13.09, 這版偵測力很好,
但是因為Hxdef在系統中運作,為了要跟hxdef鬥法,造成Archon可能會慢一些, 大約花了5分鐘
(不過Archon是事後用的Scanner,不用常駐,5分鐘還可以接受 , 如果沒有Hxdef的話只要花75秒 )
果然出現預期中的3個malicious item
http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/archon.JPG
hxdef100.exe → hidden Process, hidden file
IE → malicious code injected
comph.dll → Injected DLL
我還是不死心,”反間諜精靈 3.0″ 應該是很厲害的,趨勢的耶! 怎麼會都沒有”叫” !?
既然真正危害的Spyware抓不到,那我用最基本Adware來試試看,我用WToolsA.exe, 這是一套國外網站常常會直入的Adware,不會偷資料,只算是單純的Adware.
果然!會叫了,不然我還怕它啞了,thx God!
>_< 而且即時監控也有用了
http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/IBIS.JPG
http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/IBIS-3.JPG
既然”反間諜精靈”有抓到,那來試試看Archon
http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/IBIS-2.JPG
WToolsA.exe,Wsup.exe也都找到.
初步結論:
這個簡單測試看到了Pattern-Maching Based Detection跟 Behavior Based Detection的差異,
基本上兩者是互補的.
(詳細的測試或是心得,我們會在5/5號Spyware研討會中跟各位報告)
優缺比較:
反間諜精靈 3.0
對於已知的Adware有偵測效果,但是對於目前各單位被入侵的Spyware幾乎沒抵抗力.
對於Rootkit的偵測能力接近零,Hacker隨手改一個,應該都是偵測不到.這樣看來跟一般
免費的Anti-Adware是差不多能力的( http://www.adwarereport.com/).
優點:對於已知的Spyware偵測比較詳細,Archon只偵測執行中的Process,對於Registry的
分析沒有Pattern-Maching Base詳細,因為它們有病毒定義檔,對於已知的Spyware能有比較優秀的處理
Archon 1.0
對於未知的Spyware或是Rootkit可以分析出來,但是報告比較不詳細,出來的報告還需要技術人來看.
因為它主要對活動中的Spyware,對於靜態資料分析還不夠.
這樣的技術已經證明有一定效用,但是還需要繼續努力!…加油Birdman~
個人偏見:
“反間諜精靈”花了張叔叔100多萬美金,但是能力看來跟一般Free的Anti-Adware差不多,
我猜都是買同依個Database… Orz
它對於我們真正面對的Spyware威脅,看來也幫不上忙,每天都有一堆單位被大陸”備份資料”
對於日新月異Hacker的手法,到底錢花對刀口嗎!?
等等…大官們真的知道”刀口”在哪嗎?
什麼”這叫風險管理”…你連風險是什麼都不知道,怎麼管理?
你知道嗎?駭客每天都在哈哈笑 …你們每年花的幾千萬研發的或是買IDS/IPS/UTM錢,駭客都不怕耶 ^^
SI跟Hacker都在你背後微笑…ccc
當然這是個”微笑的產業”
To:張叔叔,100萬美金可以讓很多小朋友吃營養午餐喔! :p
Birdman
X-Solve, Inc
為了怕引起筆戰,俺先聲明一下:|||:
任何防毒軟體、防駭軟體都有他的優缺點
就算是大廠出的東西不一定就是完美無缺
卡巴斯基也是一樣,如果6.0是完美的
就沒必要出新的Beta版本來讓大家測試
希望大家自己不要老是依靠防毒軟體
重點是您自己使用軟體的態度要正確
一個人測試出來的結果並不能代表什麼
這只是想要提醒所有使用電腦的人:
「防毒軟體非萬能,使用態度才重要」
(為尊重原作者,文章內容皆未做任何修改,所有言論不代表本人想法)
鳥人大亂測之 : 趨勢科技-反間諜精靈 3.0 (http://x-solve.com/blog/?p=46)
星期日 16 四月 2006 @ 4:28 pm
http://tw.news.yahoo.com/060405/78/306cn.html
http://tw.news.yahoo.com/060405/78/306cn/1.html
剛剛Kuon說,趨勢的Anti-Spyware程式可以下載試用了.
新聞看來很無奈…JR也被趨勢DoS過了… :p
知名國內大廠,怎麼可以放過我們*艾克索夫實驗室*的測試呢,何況要支持依下國產軟體,不然張明正叔叔花了1百多萬美金開發的,不玩玩看很浪費耶
因此,我在趨勢科技網站上,下載了新版的”反間諜精靈 3.0″試用版
整個package還算小,只有4.3 MB, 接著開始我們的簡單測試.
http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/Trend_Anti-Spyware.JPG
“反間諜精靈 3.0″試用版,因為它是一套Monitor程式,所以必須先安裝,並且也啟動他的所有即時監控,再來執行Rootkit測試,
http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/Trend_Anti-Spyware-2.JPG
首先,我使用Hxdef 1.0r 這套非常有名的User mode Rootkit (大家應該都知道), 第一步呢, 先不使用Packer作變形保護,也不改Source重新編譯, 直接在holy_father網站上download, 因為這套太老牌, 這樣的話其實所有的Anti-Virus都會偵測到.
殘念!!⊙_⊙(註:殘念 = 太可惜了、太遺憾了)
結果居然什麼都沒警告, 在執行掃描也什麼都偵測不到… Orz
http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/test1.JPG
第二測試用最近很多單位被植入的後門測試,這個Spyware會做DLL Injection
(請參考PK文章 (http://x-solve.com/blog/?p=44#comments)), 這才是真正危害的Spyware,如果”反間諜精靈 3.0″能偵測到就太好了.
殘念!! X 2
結果居然也是什麼都沒警告, 在執行掃描也什麼都偵測不到… ⊙_⊙
這樣我都沒勇氣繼續測試了,連這都抓不到…那怎麼對抗其他正規軍的Spyware !?
接下來測試一下我們的Archon, 使用Scan Engine 0.1.13.09, 這版偵測力很好,
但是因為Hxdef在系統中運作,為了要跟hxdef鬥法,造成Archon可能會慢一些, 大約花了5分鐘
(不過Archon是事後用的Scanner,不用常駐,5分鐘還可以接受 , 如果沒有Hxdef的話只要花75秒 )
果然出現預期中的3個malicious item
http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/archon.JPG
hxdef100.exe → hidden Process, hidden file
IE → malicious code injected
comph.dll → Injected DLL
我還是不死心,”反間諜精靈 3.0″ 應該是很厲害的,趨勢的耶! 怎麼會都沒有”叫” !?
既然真正危害的Spyware抓不到,那我用最基本Adware來試試看,我用WToolsA.exe, 這是一套國外網站常常會直入的Adware,不會偷資料,只算是單純的Adware.
果然!會叫了,不然我還怕它啞了,thx God!
>_< 而且即時監控也有用了
http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/IBIS.JPG
http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/IBIS-3.JPG
既然”反間諜精靈”有抓到,那來試試看Archon
http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/IBIS-2.JPG
WToolsA.exe,Wsup.exe也都找到.
初步結論:
這個簡單測試看到了Pattern-Maching Based Detection跟 Behavior Based Detection的差異,
基本上兩者是互補的.
(詳細的測試或是心得,我們會在5/5號Spyware研討會中跟各位報告)
優缺比較:
反間諜精靈 3.0
對於已知的Adware有偵測效果,但是對於目前各單位被入侵的Spyware幾乎沒抵抗力.
對於Rootkit的偵測能力接近零,Hacker隨手改一個,應該都是偵測不到.這樣看來跟一般
免費的Anti-Adware是差不多能力的( http://www.adwarereport.com/).
優點:對於已知的Spyware偵測比較詳細,Archon只偵測執行中的Process,對於Registry的
分析沒有Pattern-Maching Base詳細,因為它們有病毒定義檔,對於已知的Spyware能有比較優秀的處理
Archon 1.0
對於未知的Spyware或是Rootkit可以分析出來,但是報告比較不詳細,出來的報告還需要技術人來看.
因為它主要對活動中的Spyware,對於靜態資料分析還不夠.
這樣的技術已經證明有一定效用,但是還需要繼續努力!…加油Birdman~
個人偏見:
“反間諜精靈”花了張叔叔100多萬美金,但是能力看來跟一般Free的Anti-Adware差不多,
我猜都是買同依個Database… Orz
它對於我們真正面對的Spyware威脅,看來也幫不上忙,每天都有一堆單位被大陸”備份資料”
對於日新月異Hacker的手法,到底錢花對刀口嗎!?
等等…大官們真的知道”刀口”在哪嗎?
什麼”這叫風險管理”…你連風險是什麼都不知道,怎麼管理?
你知道嗎?駭客每天都在哈哈笑 …你們每年花的幾千萬研發的或是買IDS/IPS/UTM錢,駭客都不怕耶 ^^
SI跟Hacker都在你背後微笑…ccc
當然這是個”微笑的產業”
To:張叔叔,100萬美金可以讓很多小朋友吃營養午餐喔! :p
Birdman
X-Solve, Inc