【转贴】国内杀软自我保护大PK之(一)-----进程篇
来自:MACD论坛(bbs.shudaoyoufang.com)
作者:xinitoto
浏览:3294
回复:3
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
国内杀软自我保护大PK之(一)-----进程篇国内杀软自我保护大PK之(一)——进程篇
原贴作者:小宋
转帖请保留以上信息!谢谢合作!
国内杀软自我保护大PK之(一)——进程篇一、参测软件:
1、东方微点主动防御软件
2、费尔托斯特安全
3、瑞星杀毒软件2008
4、金山毒霸2008
5、江民杀毒软件2008
二、测试方法:
1、用任务管理器结束进程
详细介绍:使用任务管理器,直接结束进程,然后将任务管理器改名、加壳,再次尝试结束进程(主要是避免某些安全软件对其的信任机制影响测试结果)。
2、用taskkill命令行结束进程
详细介绍:使用taskkill /f /im:xxx来结束杀软的进程。
3、用ntsd结束进程
详细介绍:用tasklist得到PID,然后用ntsd -c q -p PID来结束进程。
4、用冰刃结束进程
详细介绍:使用冰刃,直接结束进程,然后将冰刃改名、加壳,再次尝试结束进程(同意是避免某些安全软件对其的信任机制影响测试结果)。
5、用狙剑结束进程
详细介绍:使用狙剑的进程管理功能结束杀毒软件的进程。
6、使用Wsyscheck结束进程
详细介绍:使用Wsyscheck的进程管理功能结束杀毒软件的进程。
7、使用net stop停止服务
详细介绍:用net start获得进程名,然后net stop XXXXX,停止杀软的服务
三、测试开始:
1、东方微点主动防御软件
(1)首先上场的任务管理器,打开任务管理器,依次结束MPSvc.exe、MPMon.exe、MPSvc1.exe、MPSvc2.exe四个进程,微点没有任何反抗,被结束了。。。
接下来,打开处理过的任务管理器,结束上述四个进程,很高兴看到,任务管理器出现了出错提示——内存分配访问无效,
   截图 2008-1-6 12.13.38.png (17.14 KB)
2008-1-6 13:36
也就是说,微点信任原版的任务管理器,但是,经过修改的任务管理器无法结束他的进程!
(2)我们来试试taskkill吧,如图,微点成功的保护自身不被命令行界面的taskkill结束!
 截图 2008-1-6 12.17.04.png (14.35 KB)
2008-1-6 13:36
(3)ntsd上场,结果如图:
 截图 2008-1-6 12.19.24.png (15.37 KB)
2008-1-6 13:36
其他进程同上,均没有被结束。
(4)该冰刃出马了,老牌的进程管理工具,威力强大啊~嘻嘻
使用原版的冰刃,成功的批量结束了微点的全部进程(按住Ctrl键,选择所有的进程,右击,结束),不再截图
接下来,对冰刃做加壳处理,看看结果如何呢?
 截图 2008-1-6 12.23.37.png (44.99 KB)
2008-1-6 13:36
很遗憾,微点依然被结束了,此轮微点战败!
(5)该轮到狙剑了,我们来试试吧!
 截图 2008-1-6 12.27.25.png (35.64 KB)
2008-1-6 13:36
很遗憾,微点的进程再次被全部结束。。。。
(6)使用Wsyscheck结束微点的进程,看看微点的表现如何吧!
 截图 2008-1-6 12.30.24.png (32.15 KB)
2008-1-6 13:36
微点再次遭劫,进程全部被Kill,惨不忍睹啊!
(7)net stop停止服务测试
 截图 2008-1-6 12.32.21.png (7.17 KB)
2008-1-6 13:36
这个方面,微点的表现还是不错的,net stop没有得逞,呵呵~
好了,微点的测试部分告一段落了,接下来,我们要试一试费尔。
2、费尔托斯特安全
注:因为是在虚拟机中测试,没有办法用90天注册码激活,所以,用试用版进行测试,与注册版应该是没有区别的,请大家放心。
另外,不考虑FilMsg.exe进程,只考虑费尔的主进程Twister.exe。
(1)任务管理器
 截图 2008-1-6 12.39.40.png (16.87 KB)
2008-1-6 13:36
费尔成功的保护住了自己的进程!
接下来修改的测试就不必要了,那个是为了信任任务管理器的安全软件准备的测试……
(2)用taskkill试试
 截图 2008-1-6 12.42.25.png (7.85 KB)
2008-1-6 13:36
很高兴地看到,费尔依然没有被结束!
(3)用ntsd结束费尔的进程
 截图 2008-1-6 12.45.35.png (16.97 KB)
2008-1-6 13:36
很遗憾,费尔挂了。。。。
(4)用原版的冰刃1.22也轻松的结束了费尔的进程。。。
接下来,试试加壳的冰刃吧!
 截图 2008-1-6 12.51.36.png (45.99 KB)
2008-1-6 13:36
很遗憾,费尔再次惨遭结束。。。。
(5)狙剑出马
 截图 2008-1-6 12.54.33.png (32.16 KB)
2008-1-6 13:36
费尔再挂。。。。
(6)Wsyscheck
 截图 2008-1-6 12.56.26.png (30.88 KB)
2008-1-6 13:36
费尔的自我保护真的不怎么样,再次被结束掉了。。。。
(7)net stop测试
由于费尔没有服务,所以,此项无法进行测试!
3、瑞星杀毒软件2008
(1)依然是任务管理器
PS:这个是平时用的最多的进程管理工具了吧。。。
为了测试很方便,只测试实时监控主进程!
 截图 2008-1-6 13.03.31.png (6.81 KB)
2008-1-6 13:36
 截图 2008-1-6 13.03.59.png (17.01 KB)
2008-1-6 13:36
瑞星保护住了自身的进程,所以,不必修改任务管理器,再做测试了。
(2)taskkill测试
瑞星的进程比较多,逐个测试吧。。。
 截图 2008-1-6 13.06.24.png (6.8 KB)
2008-1-6 13:36
 截图 2008-1-6 13.08.33.png (14.65 KB)
2008-1-6 13:36
被结束了两个,不过并不影响瑞星的功能(为什么?我也不知道……),主动防御和实时防毒都正常。。。
(3)ntsd测试
 截图 2008-1-6 13.11.02.png (6.77 KB)
2008-1-6 13:36
再次遭到拦截,没有成功!
(4)老将(冰刃)出马,一个顶俩,试试吧!
首先上原版冰刃,轻松结束瑞星的全部进程!
接下来,试试加壳的冰刃吧!
 截图 2008-1-6 13.13.51.png (33.89 KB)
2008-1-6 13:36
瑞星再次遭到被结束进程的命运。。。
PS:该死的瑞星,没办法恢复进程,只好重启虚拟机,继续测试。。。。
(5)狙剑
 截图 2008-1-6 13.16.12.png (35.93 KB)
2008-1-6 13:36
遗憾,再遭结束厄运。。。。
PS:又要重启,真麻烦,能不能和费尔、微点学习学习?重启下程序就OK了。。。
(6)Wsyscheck
 截图 2008-1-6 13.19.04.png (29.97 KB)
2008-1-6 13:36
瑞星再挂。。。进程全部消失了。。。
PS:额滴神,又要重启啊,烦死了。。。
(7)最后一个,net stop停止服务测试
 截图 2008-1-6 13.22.41.png (8.38 KB)
2008-1-6 13:36
终于没有被结束了。。。。
PS:测试的过程中,重启了3次,真的够麻烦。。。。。
好了,本次的测试先告一段落,金山和江民留着明天或者后天再测吧!
[ 本帖最后由 zzzman 于 2008-1-7 09:32 编辑 ] | 
发表于 2008-1-7 09:17
提升卡
变色卡
千斤顶
楼主
发表于 2008-1-7 12:19