【参赛】瑞星杀毒软件阻止瑞星保险箱危害电脑的操作第7页 69楼(7)_评测报告论坛

到页 返回列表

浏览：4328 回复：67

【参赛】瑞星杀毒软件阻止瑞星保险箱危害电脑的操作第7页 69楼 [复制本帖链接]

purpleninja: 0关注 0粉丝 13053帖子; 加为关注

用户名：purpleninja
头衔：太平洋舰队副司令
积分：72072
贡献：32272
精华：16
注册：2006-02-17

查看资料

purpleninja 发表于 2009-07-05 11:23:53 只看该作者

62F

Re:[sesea,61楼]

以下是引用 sesea 在61楼的发言：楼主是转载的吗貌似内存很低啊

图文都是自己原创的哟

我们这边的电脑内存普遍偏低，256MB的居多

[回复] [本帖链接] [只看该作者]

purpleninja: 0关注 0粉丝 13053帖子; 加为关注

用户名：purpleninja
头衔：太平洋舰队副司令
积分：72072
贡献：32272
精华：16
注册：2006-02-17

查看资料

purpleninja 发表于 2009-07-05 11:45:17 只看该作者

63F

最后由 purpleninja 于 2009-07-05 18:50:34 修改

◆◆◆测试瑞星杀毒软件的脱壳能力——还需努力◆◆◆

先把瑞星杀毒软件和防火墙升级到最新：

再次用HttpRead下载60楼测试中的 hxxp://mil**k.com/wm/svchost.exe

防火墙和杀毒软件均无提示，下载成功！

60楼时测试下载这个文件时杀毒软件还报的呀：

60楼中测试下载svchost.exe时杀毒软件查杀截图

用FileINfo提取现在下载的这个svchost.exe的文件信息：

文件说明符 : C:\virus\svchost.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1, 0, 0, 1
说明 : Microsoft 基础类应用程序
版权 : 版权所有 (C) 2009
产品版本 : 4, 3, 1, 1
产品名称 : 应用程序
内部名称 : test
源文件名 : notepad.EXE
创建时间 : 2009-7-5 10:29:0
修改时间 : 2009-7-5 10:45:22
大小 : 31910 字节 31.166 KB
MD5 : b4191496fe907040e703dfa04ecc63e7
SHA1: D2FA45683E085C3A84EAE329B3967ED5330C7421
CRC32: 8efe8fbe

再看60楼测试时下载的svchost.exe的文件信息：

文件说明符 : C:\virus\svchost.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1, 0, 0, 1
说明 : Microsoft 基础类应用程序
版权 : 版权所有 (C) 2009
产品版本 : 4, 3, 1, 1
产品名称 : 应用程序
内部名称 : test
源文件名 : notepad.EXE
创建时间 : 2009-7-4 11:15:17
修改时间 : 2009-7-4 11:15:17
大小 : 29108 字节 28.436 KB
MD5 : 79062c5358d4c88095f64c2be5c46218
SHA1: EA148C815E9B5444847D04C9A78619D4774DA019
CRC32: a475623f

可见，这次下载的文件其体积由29108 字节变为31910 字节，看来这个恶意软件的作者做了改进。

那就测试一下瑞星杀毒软件的启发式扫描罢。

把瑞星杀毒软件的电脑防护-文件监控中的启发扫描提高到最高级别：

然后再次下载，瑞星杀毒软件还是没有任何提示。

右击下载所得的svchost.exe，从快捷菜单中选择“瑞星杀毒软件”进行扫描，没有检测出来。

这里要提出一个建议：
　　在记事本等程序的打开文件对话框或保存文件对话框中右击文件，弹出的快捷菜单中是没有“瑞星杀毒软件”这一项的。这样要对文件进行扫描的话，就要到我的电脑或资源管理器中来进行。如果鼠标不好使，双击了要扫描的EXE病毒文件，后果就难说了！

　所以希望瑞星2010能恢复在打开文件对话框或保存文件对话框的右键菜单中的“瑞星杀毒软件”这一菜单项。

把瑞星杀毒软件的查杀设置-手动查杀中的启发扫描提高到最高级别：

然后再次手动扫描svchost.exe，仍然没有检测出来。

由于文件变大，估计是作者加了壳或换了壳，我们用超级巡警之虚拟机自动脱壳器来将svchost.exe脱壳看看：

这次瑞星杀毒软件检测出来了！

我们禁用瑞星杀毒软件实时监控，再把这次下载的svcohst.exe改名为1svchost.exe，然后把60楼测试时下载的svchost.exe解压出来检查：

所用的壳从Upack 变为 NSpack，瑞星就查不出来了!

看来瑞星在脱壳能力方面还要加把劲！

本来想测试svchost.exe这个AV杀手能不能Kill掉瑞星2010的，不料下午把瑞星杀毒软件升级后：

再手动扫描这个 svchost.exe文件，已经能检查出来了！

从报的病毒名看，又是广谱查毒技术发挥了的作用！

[回复] [本帖链接] [只看该作者]

purpleninja: 0关注 0粉丝 13053帖子; 加为关注

用户名：purpleninja
头衔：太平洋舰队副司令
积分：72072
贡献：32272
精华：16
注册：2006-02-17

查看资料

purpleninja 发表于 2009-07-07 00:16:33 只看该作者

64F

最后由 purpleninja 于 2009-07-09 01:16:56 修改

◆◆◆瑞星杀毒软件文件夹RAV自我保护测试◆◆◆

记得前两年一些恶意程序会在杀毒软件的程序文件夹中创建一个名为wsock32.dll的文件夹，从而让杀毒软件运行出错。

瑞星已经加强了对自身程序文件夹的保护，我们测试看看。

（下面的测试中，瑞星杀毒软件均安装在C:\program files\rising\Rav中）

一、在资源管理器中测试

尝试在Rav文件夹中新建文件夹wsock32.dll

瑞星自我保护阻止未能创建新文件夹

尝试在Rav文件夹中新建文本文件

不能新建文本文件

尝试将Rav文件夹中的lics936.txt改名为wsock32.dll

将Rav文件夹中的lics936.txt改名为wsock32.dll不成功

尝试删除Rav文件夹中的文件lics936.txt不成功

尝试删除Rav文件夹中的文件夹CopyRun

删除Rav文件夹中的文件夹CopyRun不成功

二、在命令行测试

瑞星自我保护阻止，下列命令行操作不成功：

再试下传说中暴强的replace命令

先用relace命令将rav目录下的lics1252.txt添加到Rising目录下，成功

然后再用relace命令用Rising目录下的lics1252.txt替换rav目录下的lics1252.txt，不成功！

（****以下测试有一定的风险，测试前请先备份好数据！****）

三、用MoveFile.EXE删除RAV文件夹中文件测试（下载：MoveFile.rar）

运行MoveFile.EXE

窗口中的文件名框已经自动填写了瑞星Rav文件夹中的文件lics1252.txt，我们直接点删除，程序弹出成功提示框，确定，然后重启电脑

重启电脑后在rav目录下看不到lics950.txt了

删除成功！

看来瑞星虽然加强了对自身程序文件夹的保护，但还是存在着可以突破的弱点！

升级瑞星杀毒软件后，那个被删除的lics950.txt又会被瑞星创建

四、用MoveFile1.exe 向RAV文件夹添加文件

下面我们尝试在RAV文件夹中放置一个名为wsock32.dll的文件，看看会对瑞星杀毒造成什么影响。

１、先用dir命令查看，Rav文件夹中没有名为wsock32.dll的文件

２、打开记事本，输入以下内容：

This is a test!

然后保存到 C:\program files\rising 下，文件名为 wsock32.dll

3、运行MoveFile1.exe （下载：movefile1.rar）

成功！点击【确定】按钮，并重启电脑。

4、重启电脑后，先用dir命令看看Rav文件夹中没有名为wsock32.dll的文件

5、然后用type命令查看wsock32.dll的内容，正是我们前面输入的

截图时瑞星的RsTray.exe报错了

6、双击桌面的瑞星杀毒软件毒标，rsmain.exe报错，确定后瑞星主窗口还能打开

7、点击【软件升级】按钮，SmartUP.exe报错

看来瑞星对于wsock32.dll威胁的防范还要改进和提高

8、删除我们在RAV文件夹中放置的wsock32.dll文件

1）运行MoveFile.exe（下载：MoveFile.rar），点击　【浏览】按钮

在打开文件对话框的文件名文本框中选择或输入wsock32.dll，点击【打开】按钮

然后点击【删除】按钮，在成功提示框中点【确定】按钮，重启电脑

*************** 下一篇：第7页 67楼 ************

◆◆◆安检和英文界面的问题◆◆◆

[回复] [本帖链接] [只看该作者]

xiulian1314: 0关注 0粉丝 21帖子; 加为关注

用户名：xiulian1314
头衔：太平洋舰队新兵
积分：21
贡献：21
精华：0
注册：2009-06-30

查看资料

xiulian1314 发表于 2009-07-07 09:57:29 只看该作者

65F

参加点评：
楼主为我们讲述了瑞星2010年整个安装程序，让我们看了一目了然。不过我觉得您电脑内存小了点，能换个内存更高的我想测出来的效果更好。不过还是要顶你一下。

[回复] [本帖链接] [只看该作者]

purpleninja: 0关注 0粉丝 13053帖子; 加为关注

用户名：purpleninja
头衔：太平洋舰队副司令
积分：72072
贡献：32272
精华：16
注册：2006-02-17

查看资料

purpleninja 发表于 2009-07-07 23:46:48 只看该作者

66F

Re:[xiulian1314,65楼]

以下是引用 xiulian1314 在65楼的发言：参加点评：
楼主为我们讲述了瑞星2010年整个安装程序，让我们看了一目了然。不过我觉得您电脑内存小了点，能换个内存更高的我想测出来的效果更好。不过还是要顶你一下。

谢谢你的点评和支持

瑞星2010的安装过程只是测试中的第一部分，后面还陆续有其它测试内容，敬请关注！

[回复] [本帖链接] [只看该作者]

purpleninja: 0关注 0粉丝 13053帖子; 加为关注

用户名：purpleninja
头衔：太平洋舰队副司令
积分：72072
贡献：32272
精华：16
注册：2006-02-17

查看资料

purpleninja 发表于 2009-07-09 01:10:48 只看该作者

67F

最后由 purpleninja 于 2009-07-16 23:10:06 修改

◆◆◆安检和英文界面的问题◆◆◆

一、安检

把瑞星杀毒软件升级到最新版本后，进行安检

发现【立刻全盘查杀】和【扫描系统漏洞并升级补丁】前面有红叉，

也不知【立刻全盘查杀】是隔多久不进行就会显示红叉，咱就点一回罢，顺便看看瑞星查杀病毒时的资源占用情况

RavMonD.exe的CPU占用率最高时达到17%

尽管当时开有Maxthon，HttpRead等软件，但操作起来并不觉得卡

46181个文件，8分钟19秒，平均扫描速度：46181/499=92.5个文件/秒

而安装瑞星后第一次进行全盘查杀的记录为：

31526个文件，4分钟55秒，平均扫描速度：31526/295=106个文件/秒

即使在查毒过程中，运行其它程序进行浏览网页操作，瑞星的扫描速度并没有受到太大的影响

然后点击【扫描系统漏洞并升级补丁】，调用卡卡安全助手进行检查

关闭卡卡安全助手窗口再看

【立刻全盘查杀】前面的红叉已经变绿钩
而【扫描系统漏洞并升级补丁】前面的红叉没有变绿钩，点刷新或关闭窗口再重新打开也不变

二、英文界面

之前我在第5页52楼作过瑞星界面从中文切换成英文的检查，当时发现一些问题，我们再把瑞星界面从中文切换成英文看看问题是否解决了

从中文切换成英文后，菜单还是拥挤的

不过关闭再重新打开主窗口，菜单不再拥挤

打开设置窗口，级别还是显示中文

启发扫描已经修正为英文显示了，不过Setup下面的这三个scan中Custom Level对话框中的Heuristic Scanning显示不完整

而Computer Protection下面的这几个scan中Custom Level对话框中的Heuristic Scanning显示完整

从英文切换成中文后，菜单显示不够整齐

不过关闭再重新打开主窗口，菜单显示就正常了

****** 下转#69********

◆◆◆瑞星杀毒软件阻止瑞星保险箱危害电脑的操作◆◆◆