May 14 2008
Anti-Malware Test Lab 07年9月杀软自我保护测试
当今在对付有害程序的过程中,我们会发现越来越多的有害程序都将目标瞄准了我们的安全软件们,不管是杀毒
软件还是防火墙还是别的什么。它们采用各种手段试图终止/禁用/修改/劫持我们的安全软件们,试图让它们失去作用…这个时候,杀软除了要清除病毒外,更要保护自身组件和功能的完整性。这次测试就是对各杀软这项能力的考验。
参与测试产品/厂商:
- Avast! Professional Edition 4. 7
- Avira Premium Security Suite 7.0
- BitDefender Internet Security 10
- DrWeb 4.44
- ESET Smart Security 3.0
- F-Secure Internet Security 2007
- Kaspersky Internet Security 7.0
- McAfee Internet Security 2007
- Microsoft Windows Live OneCare 1.6
- Panda Internet Security 2007
- Sophos Anti-Virus 6.0
- Symantec Internet Security 2007
- Trend Micro PC-Cillin 2007
- VBA32 Antivirus 3.11
- ZoneAlarm Internet Security 7.0
测试平台:
Windows XP SP2
测试下列类型攻击:
- 修改文件/注册表键值访问权限
- 修改/移除组件
- 删除杀毒软件病毒库
- 修改/删除关键注册表键值
- 进程终止
- 修改进程/代码
- 卸载驱动
测试过程:
- 在干净的虚拟机上安装杀毒软件
- 启动系统
- 评估成功安装,各组件是否正常工作
- 保存此时虚拟机的镜像
- 测试一个自我保护项目
- 评估程序组件是否能够正确工作
- 将系统回滚到保存的镜像(第4步)
测试项目(有些不太懂,没有翻译^^):
- 系统级自我保护:
- Hook restoration 挂钩恢复
- Modification of file access permissions 修改程序访问权限
- Modification of registry key access permissions 修改注册表访问权限
- Protection of the antivirus product’s own files:杀毒软件产品自身文件保护
- Modification / removal of modules 修改/移除组件
- Deletion of antivirus databases 删除杀毒软件病毒库
- Protection of the antivirus product’s registry keys:杀毒软件自身注册表键值保护
- Modification / deletion of important registry keys (manual): 修改/删除关键注册表键值(手动)
- Startup keys 开机启动键值
- Service keys 服务键值
- Configuration keys 设置键值
- Protection of the antivirus product’s processes: 杀毒软件进程保护
- Prevention of process termination: 阻止进程终止
- From the Task Manager 从任务管理器终止
- User-level API: 用户级API
- 1. Standard (TerminateProcess)
- 2. Terminate all threads of a process (TerminateThread)
- 3. Terminate process as a task (EndTask)
- 4. Terminate process as a job (EndJob)
- 5. Terminate process using the debugger (DebugActiveProcess)
- 6. Modify instructions pointer (EIP)
- 7. WinStation Terminate Process
- 8. “Bruteforce” message posting
- 9. Delete at next reboot
- System message:
- 1. WM_CLOSE
- 2. WM_QUIT
- 3. WM_SYSCOMMAND/SC_CLOSE
- Kernel-level API: 内核级API
- 1. ZwTerminateProcess
- 2. ZwTerminateThread
- Modification of processes / code: 修改进程/代码
- Code injection (CreateRemoteThread) 代码插入
- DLL injection 动态链接库插入
- Modification of memory protection attributes (VirtualProtectEx) 修改内存保护特性
- Writing in process memory (WriteProcessMemory)进程内存写入
- Driver unloading 驱动卸载
测试结果(系统级)点击图片看大图:
测试结果(进程终止)点击图片看大图:
测试结果(进程修改)点击图片看大图:
测试结果(驱动保护)点击图片看大图:
从各个测试结果中看,总体表现最佳的是驱动保护和进程修改项目(只有5个产品没有通过)。
从这次测试中的结果来看,只有四个产品(Kaspersky Internet Security 7.0, VBA32 Antivirus 3.11, Symantec Internet Security 2007 and F-Secure Internet Security 2007)有令人满意的自我保护。
这些产品中只有获得97%分数,得到自我保护金奖的Kaspersky Internet Security 7.0是确实可靠的。
奖项:

金奖
Kaspersky Internet Security 7.0 (97%)

银奖
VBA32 Antivirus 3.11 (71%)
Symantec Internet Security 2007 (71%)
F-Secure Internet Security 2007 (61%)
铜奖
ZoneAlarm Internet Security 7.0 (58%)
Panda Internet Security 2007 (48%)
McAfee Internet Security 2007 (47%)
ESET Smart Security 3.0 Beta (44%)
Trend Micro PC-Cillin 2007 (42%)
未通过
Avast! Professional Edition 4.7 (33%)
Avira Premium Security Suite 7.0 (33%)
Sophos Anti-Virus 6.0 (33%)
DrWeb 4.44 (32%)
Microsoft Windows Live OneCare 1.6 (32%)
BitDefender Internet Security 10 (30%)
最后,忘了图片链回去啊链回去…

The Anti-Malware Test Lab 07年9月杀软自我保护测试 by Donald, unless otherwise expressly stated, is licensed under a Creative Commons Attribution-Noncommercial-No Derivative Works 2.5 China Mainland License.
相关文章







