May 14 2008

Anti-Malware Test Lab 07年9月杀软自我保护测试

Published by Donald at 7:44 pm under 最新测试

当今在对付有害程序的过程中,我们会发现越来越多的有害程序都将目标瞄准了我们的安全软件们,不管是杀毒软件还是防火墙还是别的什么。它们采用各种手段试图终止/禁用/修改/劫持我们的安全软件们,试图让它们失去作用…这个时候,杀软除了要清除病毒外,更要保护自身组件和功能的完整性。这次测试就是对各杀软这项能力的考验。

参与测试产品/厂商:

  1. Avast! Professional Edition 4. 7
  2. Avira Premium Security Suite 7.0
  3. BitDefender Internet Security 10
  4. DrWeb 4.44
  5. ESET Smart Security 3.0
  6. F-Secure Internet Security 2007
  7. Kaspersky Internet Security 7.0
  8. McAfee Internet Security 2007
  9. Microsoft Windows Live OneCare 1.6
  10. Panda Internet Security 2007
  11. Sophos Anti-Virus 6.0
  12. Symantec Internet Security 2007
  13. Trend Micro PC-Cillin 2007
  14. VBA32 Antivirus 3.11
  15. ZoneAlarm Internet Security 7.0

测试平台:

Windows XP SP2

测试下列类型攻击:

  1. 修改文件/注册表键值访问权限
  2. 修改/移除组件
  3. 删除杀毒软件病毒库
  4. 修改/删除关键注册表键值
  5. 进程终止
  6. 修改进程/代码
  7. 卸载驱动

测试过程:

  1. 在干净的虚拟机上安装杀毒软件
  2. 启动系统
  3. 评估成功安装,各组件是否正常工作
  4. 保存此时虚拟机的镜像
  5. 测试一个自我保护项目
  6. 评估程序组件是否能够正确工作
  7. 将系统回滚到保存的镜像(第4步)

测试项目(有些不太懂,没有翻译^^):

  1. 系统级自我保护:
  1. Hook restoration 挂钩恢复
  2. Modification of file access permissions 修改程序访问权限
  3. Modification of registry key access permissions 修改注册表访问权限
  1. Protection of the antivirus product’s own files:杀毒软件产品自身文件保护
  1. Modification / removal of modules 修改/移除组件
  2. Deletion of antivirus databases 删除杀毒软件病毒库
  1. Protection of the antivirus product’s registry keys:杀毒软件自身注册表键值保护
  1. Modification / deletion of important registry keys (manual): 修改/删除关键注册表键值(手动)
  1. Startup keys 开机启动键值
  2. Service keys 服务键值
  3. Configuration keys 设置键值
  1. Protection of the antivirus product’s processes: 杀毒软件进程保护
  1. Prevention of process termination: 阻止进程终止
  1. From the Task Manager 从任务管理器终止
  2. User-level API: 用户级API
    • 1. Standard (TerminateProcess)
    • 2. Terminate all threads of a process (TerminateThread)
    • 3. Terminate process as a task (EndTask)
    • 4. Terminate process as a job (EndJob)
    • 5. Terminate process using the debugger (DebugActiveProcess)
    • 6. Modify instructions pointer (EIP)
    • 7. WinStation Terminate Process
    • 8. “Bruteforce” message posting
    • 9. Delete at next reboot
  3. System message:
    • 1. WM_CLOSE
    • 2. WM_QUIT
    • 3. WM_SYSCOMMAND/SC_CLOSE
  4. Kernel-level API: 内核级API
  • 1. ZwTerminateProcess
  • 2. ZwTerminateThread
  1. Modification of processes / code: 修改进程/代码
  1. Code injection (CreateRemoteThread) 代码插入
  2. DLL injection 动态链接库插入
  3. Modification of memory protection attributes (VirtualProtectEx) 修改内存保护特性
  4. Writing in process memory (WriteProcessMemory)进程内存写入
  1. Driver unloading 驱动卸载


测试结果(系统级)点击图片看大图:

测试结果(进程终止)点击图片看大图:

测试结果(进程修改)点击图片看大图:

测试结果(驱动保护)点击图片看大图:

从各个测试结果中看,总体表现最佳的是驱动保护和进程修改项目(只有5个产品没有通过)。

从这次测试中的结果来看,只有四个产品(Kaspersky Internet Security 7.0, VBA32 Antivirus 3.11, Symantec Internet Security 2007 and F-Secure Internet Security 2007)有令人满意的自我保护。

这些产品中只有获得97%分数,得到自我保护金奖的Kaspersky Internet Security 7.0是确实可靠的。

奖项:

金奖

Kaspersky Internet Security 7.0 (97%)


银奖

VBA32 Antivirus 3.11 (71%)
Symantec Internet Security 2007 (71%)
F-Secure Internet Security 2007 (61%)


铜奖

ZoneAlarm Internet Security 7.0 (58%)
Panda Internet Security 2007 (48%)
McAfee Internet Security 2007 (47%)
ESET Smart Security 3.0 Beta (44%)
Trend Micro PC-Cillin 2007 (42%)


未通过

Avast! Professional Edition 4.7 (33%)
Avira Premium Security Suite 7.0 (33%)
Sophos Anti-Virus 6.0 (33%)
DrWeb 4.44 (32%)
Microsoft Windows Live OneCare 1.6 (32%)
BitDefender Internet Security 10 (30%)

本次测试详情请点击这里查看。详细测试方法请点击这里


最后,忘了图片链回去啊链回去

Creative Commons License
The Anti-Malware Test Lab 07年9月杀软自我保护测试 by Donald, unless otherwise expressly stated, is licensed under a Creative Commons Attribution-Noncommercial-No Derivative Works 2.5 China Mainland License.

相关文章

Leave a Reply