« 上一篇下一篇 »

木马查杀-安防软件测评

前言

杀木马的软件越来越多,木马却也是越杀越多,形势已经严峻到逼得偶们不得不选择一个来用了,没个杀马的东东存在,总觉得心里不踏实。
可究竟哪个好用呢?

同一个软件,一群人会把它夸上天堂,另一群人却能把他踩入地狱。
他们谁对谁错?

在行外人苦恼的挠头之时,业内人士却在感叹的摇头。

既然不想在沉默中死亡那就在沉默中暴发吧。

偶终于咬牙决定站出来接受一次血与火的洗礼!
此时,偶的脑海中浮现贴子贴出后,众多厂家的海量枪手对偶群起而攻之的情景。
先寒一个,再弱弱的说一声:“在面对问题时,不同的人会有不同的反映,枪手会说‘你个SB,你懂个屁,老子用了N年了,就从没出过问题’。而真正的高人会说‘我就是某软件的开发人员,谢谢你的测评,我们会及时修正的错误加强功能的’。究竟哪个更能赢得用户尊重呢?”

全力技术创新,力争PK国际大牌,才是王道,
打压对手、忽悠民众,只能苟生一时。

OK,现在让偶来开始动刀吧,标准只有两个:
1、查得出
2、杀得掉

特别注明:对软件的全面测试是很复杂的一个工作。
偶这里并非全面测试,而是仅做以下朋友们常用的关键功能测试:
1、隐藏进程的检查与顽固进程的结束能力
2、注册表启动项的清除能力
3、顽固文件的删除能力
4、再挑一挑软件明显白痴式的地方

其结果不代表被测试软件的整体水平,只代表被测试项的水平。

测试方法与程序如下:
1、用HIDE.exe来测试隐藏进程的检查能力。HIDE.exe是一个小程序,其通过摘除进程链中的自身进程来达到隐藏进程的目的,程序是在网上找的,为了证明其无恶意行为,特随程序提供源代码。下载地址:http://www.zhulinfeng.com/bbs/dispbbs.asp?boardID=6&ID=78&page=1
2、用冰刃来测试结束进程的能力。冰刃大家都知道吧,它是通过SSDT的INLINE-HOOK来保护自己的进程不被结束的。
3、用CNNIC的注册表启动项来测试启动项清除的能力。它是通过SSDT的HOOK与INLINE-HOOK来保护自己的注册项不被清除的。
4、用CNNIC的文件来测试文件删除能力。它是通过FSD的HOOK与INLINE-HOOK来保护自己的文件不被删除的。
(注:上面的测试代表对某种保护技术的破解能力,而非对某一软件的清除能力)

测试标准说明:
1、不能借助于进入安全模式,理由:很多木马在安全模式也会保护自己,如果需要依赖于安全模式才能清除,那等于失败!
2、不能进入DOS,理由:木马的保护技术,一是防删除,二是隐藏。而重启到DOS下删除的前提是,你需要知道删除的文件的名字与路径。如果木马利用保护技术隐藏了自己,需要借助DOS来删除文件的程序就毫无用处,因为你用他根本就无法发现木马。另外,在DOS下删除文件,还需要用这些东东么?

第一刀:瑞星卡卡上网安全助手V3

1、隐藏进程检查失败
2、顽固进程结束未知,无法检测到冰刃进程
3、清除启动项失败
4、顽固文件删除未知,未找到删除功能。
5、白痴行为:真不明白卡卡不提供自身关闭退出的功能是怎么想的。

评语:

无法检测到冰刃进程,应该是无法打开进程,所以就干脆也不显示了,而不是检测不到,系统自带的任务管理器都能看到的进程,它又有什么理由看不到?由测试结果来看,其对驱动级木马的检测与清除能力有限!

第二刀:金山系统清理专家2.0

1、隐藏进程检查失败
2、顽固进程结束未知,无法检测到冰刃进程
3、清除启动项失败
4、顽固文件删除成功

评语:
   其无法检测到冰刃进程的原因应该是于卡卡一样的,但其文件粉碎功能却很让人欣赏不愧是风的杰作啊。由测试结果来看,其对驱动级木马的检测与清除能力不强,虽然有文件粉碎功能,但如果木马通过内核HOOK来隐藏,文件粉碎也将无用武之地。

第三刀:木马清道夫V10.0

1、隐藏进程检查成功!
2、顽固进程结束失败
3、清除启动项失败!
4、顽固文件删除,需重启到DOS删除,按失败论!

评语:
检测到了隐藏的进程,但却没能力结束进程与清除启动项,而需要到DOS下删除文件,汗~~那还用它干嘛呢~看来其对驱动级木马的检测与清除能力同样有限

第四刀:木马克星2007 0522

1、隐藏进程检查失败!
2、顽固进程结束未知,未找到结束进程功能。
3、清除启动项失败!
4、顽固文件删除未知,未找到相应功能。
5、白痴行为:寒,第一眼看到这个软件,偶以为下载错了呢,又专跑到华军商城重下了一个。结果,让偶大跌眼镜~~这~~这~~这软件居然这么火?

评语:
实在不知道说什么好了~~无言~~~

第五刀:木马清除大师2007

1、隐藏进程检查失败!
2、顽固进程结束未知,无法检测到冰刃进程!
3、清除启动项失败!
4、顽固文件删除未知,未找到相应功能。
5、白痴行为:真的是要汗一把了,看看下面的图,还有好多与此类似的拦截。拜托兄弟,敬业一点儿好不好?这修改后的,与您认为正确的值,有什么不同么?唯一的不同就是修改后的比您认为正确的更安全了。(注:偶的操作系统是安装在C:盘的,并且系统目录的名字也没改)

评语:
   偶还能说什么呢?

第六刀:超级兔子魔法设置V7.98

1、隐藏进程检查失败
2、顽固进程结束失败
3、清除启动项失败!
4、顽固文件删除失败

评语:
    魔法兔子应该不算入安全软件,但它既然提供了“安全上网助手”功能,而又有N多小白号称一直就是用兔子保安全的,那么,加入测试行列应该也没错吧。结果证明专业这个词不是说着玩儿的,人家既然是搞系统设置的,你又何必非要用其保安全呢?

第七刀:Windows系统优化大师V7.72

1、隐藏进程检查失败
2、顽固进程结束失败
3、清除启动项失败!(开机速度优)
4、顽固文件删除失败

评语:
    优化大师与魔法兔子类似,也应该不算安全软件,但同样提供了进程管理、文件粉碎、流氓软件清理等安全相关功能。所以,加入测试行列也不算冤吧。

第八刀:超级巡警V3.4

1、隐藏进程检查失败
2、顽固进程结束失败!
3、清除启动项失败
4、顽固文件删除失败,其提供了四个删除文件的功能:
    常规删除文件:失败!重启后删除:与魔法兔子的相应功能类似;重启后替换与重启后删除同一原理;彻底粉碎文件:失败!

评语:
    看看这个软件的介绍中的一段:“系统内核服务描述表恢复,显示和摘除被Hook的内核函数,自动还原被Inline hook的内核函数”,寒一个,好厉害啊~~只是不明白,为什么利用HOOK与INLINE-HOOK来保护的进程与启动项它却无法清除呢?

总评:

测试的不仅这几个,但大多如此,也懒得都贴出来了。

测试结果显然并不理想,这些号称很牛的,宣传的一个比一个神的东东,远不像传说中的那么好。

其实进程链摘除隐藏进程,应该已经算小儿科的技术了;而SSDT-HOOK、SSDT-INLINE-HOOK来隐藏或保护进程、自启动项也算普及性的知识了,FSD-HOOK与FSD-INLINE-HOOK来保护文件不被删除也已经属于过时的技术而被一些牛人抛弃不用了。但也正因为这些木马的自我保护技术并不高深,所以,偶就很难理解一些事情了,是什么原因使得像瑞星、金山这么实力雄厚的公司开发的产品受制于这些技术呢?

注:本文来自于绅博论坛,版权归绅博所有。