日期:2005-07-04 BY alic63
測試環境:
系統:windows xp sp1(漏洞全補,除了sp2)
瀏覽器:IE SP2
防毒程式:Kaspersky personal 5.0372
Zlock 2005(以上防毒程式,以更新至最新病毒碼後,先解除常駐)
防火牆:outpost 2.7

原廠網址:
KASPERSKY:www.kaspersky.com.tw
Zlock:www.ggreat.com.tw

測試樣本:
天堂木馬3隻

提起zlock或許有很多人多沒聽過,但有用過DOS系統的人,或許對這防毒程式不莫生,因為在那時代可是蠻流行的DOS版的防毒程式,而且是目前算碩果 謹存的本土防毒公司,其防毒功能確實不錯,但進入WINDOWS時代,其也有發展出屬於視窗防毒程式,因為其公司廣告沒某家PXX的大和加上有更多的防毒 軟體可以選擇,也漸漸的莫落,也許如它網頁所說的要保障其使用者為少數中毒使用者;至於KASPERSKY這名字目前我想也不用太多介紹了,因為目前為當 紅的防毒軟體之一,其防毒能力,相信為其愛好者深信,或許大家為什麼會存疑?這兩種防毒程式怎麼可以相比呢?或許卡巴的病毒庫之多,偵測率也目前是排名第 一的,但解毒能力,卻在有一次的無意中測試,發覺ZLOCK並不遜色於卡巴,情況會如下的實際測試中說明:

前言:
於相同環境下,並且確認已能偵測到此次的木馬,將防毒程式解除,並運行三隻天堂木馬,並於運行後,運行單一防毒程式,觀察其解毒殺毒能力。


(一)
測試1:ZLOCK 2005中毒環境解毒能力。
1、運行三個天堂木馬後於工作管理員情形。




2、首先將ZLOCK 2005常駐程式啟動,但同時也發現三隻天堂木馬生成的dll檔,將捆綁IE,將所得的資訊回傳至設計者,當然outpost 2.7也發現ie有異常變動,當然是要阻止其放行。




3、然後ZLOCK 2005 即時監控即發現在WINDOWS目錄下生成的三個天堂木馬EXE檔(這為之前所執行的三隻天堂木馬而生成的放置WINODWS系統下的可執行檔),並且刪了它。






4、並且立即做全系統掃毒,掃到兩個\WINDOWS\SYSTEM32\*.DLL並顯示必須重開機清除。




5、並且運行掃除目前常駐的三隻天堂木馬,並刪除(中毒中仍然刪除)




6、然後於開機後用卡巴全系統掃毒測試確認已無中毒情況,目的,更加確認ZLOCK是否有將病毒清除乾淨。







(二)
測試2:Kaspersky personal 5.0372中毒環境解毒能力:

1、如同上面測試方式也將其三隻天堂木馬運行,讓其常駐於記憶體中。



2、如上運行kaserpsky 常駐程式,然後其木馬程式也如同測試一所述,生成的dll也要將捆綁IE,但OUTPOST也將其攔截,此時KASPERSKY發出中毒訊息,並問我是否 刪除,當然選擇刪除,但一直無法刪掉,選擇重覆一直會出現警告視窗,這時我就選擇略過。








3、然後持續偵測到其他的DLL木馬程式,仍持續問是否要刪除,重覆上面2的情況,仍然無法刪除。




4、當放棄刪除其生成的DLL程式後,KASPERSKY又偵測到常駐的三隻天堂木馬,但仍無法刪除,只好選擇系統重開後刪除。





5、於重開後才順利解毒完成。



測試心得:
測試(一)
於此次的測試中,發覺ZLOCK能在中毒環境中殺掉病毒確實有其實力存在,但其監控能力似乎有點不是很穩定,反覆測試幾次後,有時監控非常敏感,執行 ZLOCK常駐後馬上發現隱藏的所有木馬程式,如果沒發現時,如果直接運行中毒檔案,就能將常駐在記憶體中的木馬糾出來,否則只能靠手動全系統掃描的方式 去掃除。

測試(二)
至於卡巴其監控能力確實很好,而且相當的穩定,大約常駐後,30秒至一分鐘左右,就可以糾出木馬,但唯一的卻無法在中毒環境中刪除木馬程式,須重開後才能全部清除,不過其能力相當不錯,用其當監控確實可以讓人蠻放心的。

PS.此次的測試只是要了解防毒殺毒能力,於力求公平情況下測試,或許不盡完善,謹供參考。 這是去年年底所做的測試,分享給大家參考。
創作者介紹

NO VIRUS BLOG

NO VIRUS 發表在 痞客邦 PIXNET 留言(0) 人氣()