没事测试了一下几款杀毒软件
这个帖子的大部分内容是关于安全技术的,但是也与VB编程有联系,而且我只对这个版块熟悉,所以请管理员和版主不要转移这个帖子,谢谢。
闲来无事用VB6写了一个小程序对常用的卡巴7、江民2008、瑞星2008、毒霸2008几款杀毒软件进行了测试,将测试结果与大家交流一下,欢迎朋友们发表看法。
我这个测试软件有以下几种木马和病毒常用的手段:无运行界面、关闭xp自带的防火墙、释放exe文件到系统目录、运行其他exe文件、注册新的系统服务、修改exe文件的创建日期信息。
测试方法:在虚拟机vmware5.5中安装番茄花园XP sp3,依次安装(或卸载后安装)几种杀毒软件,采用默认设置,先对我的测试程序进行扫描杀毒,然后运行测试程序。
测试结果:杀毒时,几种杀毒软件都未把我的测试程序认作病毒,但是运行测试程序时,各种杀毒软件的监控系统表现不一:
卡巴:提示我的测试程序在进行隐藏安装,点详细信息能列举出其释放的exe文件,注册系统服务时改动的注册表位置和具体键值,询问是拒绝还是允许;
江民:对关闭xp自带的防火墙、释放exe文件到系统目录、运行其他exe文件、注册新的系统服务均进行提醒并询问是否允许;
瑞星和毒霸:两款杀毒软件的监控系统均对测试软件的运行视而不见,毫无反应!
接下来我又测试了一下几款杀毒软件监控系统的防杀能力。由于只懂VB,当然还是用VB来做:提升权限,枚举到监控系统的进程pID,打开句柄,强行结束。由于各款杀毒软件都加载有底层驱动,对很多API都做了屏蔽,只能用比较特殊的方法来实现这些过程。在我的测试中,江民2008的KVMonXP.kxp和kvsrvxp.exe被顺利关闭,监控彻底失效;瑞星2008的RavMon.exe、RavTask.exe、RavStub.exe、RavMonD.exe也都不堪一击,小绿伞用鼠标一指就没了;而卡巴的两个avp.exe虽然可以得到句柄,但是用了几种方法都无法结束进程;毒霸的监控同样也没能干掉。
经过我的测试,江民和卡巴文件监控系统的灵敏度比较令人满意,而卡巴和毒霸本身防杀的能力较强,不讲其他,就这两个方面综合一下,好像还是卡巴比较好一点。
以上测试只是没事搞着玩的,本人保证其真实性,但是并无意败坏某些杀毒软件,也不是给某些杀毒软件做广告。这个测试至少说明了两个问题:
1、不要太相信杀毒软件,有时候它们在木马病毒面前自己都不知道是怎么死的;
2、不要不相信VB,一些看似很难的工作其实它也可以完成哦。。。