COMODO FireWall V3启发测试[8月测试][更新至][Kafan VirList 2008.08.30]
[color=darkorchid]因局长太忙没什么时间测试。经局长的同意,现由我替他测试8月的。[/color][color=red]COMODOV3虽然是防火墙,不是杀毒软件,但是其有自己独特的启发技术,在病毒运行之初就可以利用启发技术检测出一部分病毒。在此再次说明COMODO的启发不是杀毒软件,希望大家不要误以为这是测试杀毒能力。[/color]详细技术介绍请参考[url=http://bbs.kafan.cn/viewthread.php?tid=160007][color=blue]介绍Comodo V3 的恶意软件行为启发分析[/color][/url]。
测试方法:双击病毒,当COMODO提示"denfense+ malware heuristic analysis has detected possible malware behavior"时表示COMODO已启发报毒。因COMODO启发报毒方式的不同,测试证明以附件形式上传录像。
[table=90%][tr][td][align=left]日期[/align][/td][td][align=left]启发数[/align][/td][td][align=left]样本总数[/align][/td][td][align=left]侦测比[/align][/td][/tr][tr][td][align=left]8.01 [/align][/td][td][align=left]219 [/align][/td][td][align=left]242+1(无法运行)[/align][/td][td][align=left]219/242=0.9049586[/align][/td][/tr][tr][td][align=left]8.02[/align][/td][td]75[/td][td]117[/td][td]75/117=0.6410256[/td][/tr][tr][td][align=left]8.03[/align][/td][td]109[/td][td]119[/td][td]109/119=0.9159663[/td][/tr][tr][td][align=left]8.04[/align][/td][td]60[/td][td]73[/td][td]60/73=0.8219178[/td][/tr][tr][td][align=left]8.05[/align][/td][td]166[/td][td]182[/td][td]166/182=0.9120879[/td][/tr][tr][td][align=left]8.06[/align][/td][td]163[/td][td]186[/td][td]163/186=0.876344[/td][/tr][tr][td][align=left]8.07[/align][/td][td]151[/td][td]195+1(bat文件.这个只能靠cmd.exe的规则了.启发不管)
[/td][td]151/195=0.7743589[/td][/tr][tr][td][align=left]8.08[/align][/td][td]156[/td][td]193[/td][td]159/193=0.8082901[/td][/tr][tr][td][align=left]8.09[/align][/td][td]97[/td][td]130[/td][td]97/130=0.7461538[/td][/tr][tr][td][align=left]8.10[/align][/td][td]49[/td][td]84[/td][td]49/84=0.5833333[/td][/tr][tr][td][align=left]8.11[/align][/td][td]59[/td][td]82[/td][td]59/82=0.7195121[/td][/tr][tr][td][align=left]8.12[/align][/td][td]80[/td][td]97[/td][td]80/97=0.8247422[/td][/tr][tr][td][align=left]8.13[/align][/td][td]89[/td][td]124[/td][td]89/124=0.7177419[/td][/tr][tr][td][align=left]8.14[/align][/td][td]100[/td][td]119[/td][td]100/119=0.8403361[/td][/tr][tr][td][align=left]8.15[/align][/td][td]137[/td][td]162[/td][td]137/162=0.845679[/td][/tr][tr][td][align=left]8.16[/align][/td][td]67[/td][td]90[/td][td]67/90=0.7444444[/td][/tr][tr][td][align=left]8.17[/align][/td][td]88[/td][td]109[/td][td]88/109=0.8073394[/td][/tr][tr][td][align=left]8.18[/align][/td][td]54[/td][td]64+1(080818-A1-51.exe为bat文件重命名为exe的文件,explorer.exe先调用ntvdm.exe文件.然后就是cmd的行为了)[/td][td]54/64=0.84375[/td][/tr][tr][td][align=left]8.19[/align][/td][td]63[/td][td]81[/td][td]63/81=0.7777777[/td][/tr][tr][td][align=left]8.20[/align][/td][td]92[/td][td]106[/td][td]92/106=0.8679245[/td][/tr][tr][td][align=left]8.21[/align][/td][td]88[/td][td]118[/td][td]88/118=0.7457627[/td][/tr][tr][td][align=left]8.22[/align][/td][td]138[/td][td]158[/td][td]138/158=0.8734177[/td][/tr][tr][td][align=left]8.23[/align][/td][td]116[/td][td]149[/td][td]116/149=0.7785234[/td][/tr][tr][td][align=left]8.24[/align][/td][td]233[/td][td]254[/td][td]233/254=0.9173228[/td][/tr][tr][td][align=left]8.25[/align][/td][td]118 [/td][td]131+1(080825-A1-63.exe为bat文件重命名为exe的文件,explorer.exe先调用ntvdm.exe文件.然后就是cmd的行为了。)[/td][td]118/131=0.9007633[/td][/tr][tr][td][align=left]8.26[/align][/td][td]89[/td][td]112[/td][td]89/112=0.7946428[/td][/tr][tr][td][align=left]8.27[/align][/td][td][/td][td]此日未发布样本[/td][td][/td][/tr][tr][td][align=left]8.28[/align][/td][td]196[/td][td]227[/td][td]196/227=0.8634361[/td][/tr][tr][td][align=left]8.29[/align][/td][td]96[/td][td]109[/td][td]96/109=0.8807339[/td][/tr][tr][td][align=left]8.30[/align][/td][td]84[/td][td]95[/td][td]84/95=0.8842105[/td][/tr][tr][td][align=left]8.31[/align][/td][td]
[/td][td]
此日未发布样本[/td][td]
[/td][/tr][/table]
因本人只能上传最大500K的附件,压缩分卷可能会多。可到我的网盘[url=http://qcqyt.ys168.com/]http://qcqyt.ys168.com/[/url] “Comodo启发测试录像”下载单文件的录像。如本帖当日未上传录像附件,可到我网盘下载。
[[i] 本帖最后由 qcqyt 于 2008-9-1 12:31 编辑 [/i]] 测试录像。
[[i] 本帖最后由 qcqyt 于 2008-8-20 18:22 编辑 [/i]] 测试录像.
[[i] 本帖最后由 qcqyt 于 2008-8-30 18:09 编辑 [/i]] Comodo V3 的恶意软件行为启发分析 这很像HIPS啊 打开一个程序拦截一下
回复 4楼 gdmdhxq 的帖子
V3本来就是HIPS防火墙。启发只是个附加功能,使得V3更强大[:01:] 希望LZ能坚持下去[:05:] 只要鼠标能顶得住,就没问题。[:14:]回复 4楼 gdmdhxq 的帖子
不是这样的。是报denfense+ malware heuristic analysis has detected possible malware behavior的才能算报启发。不报这个的就不算。
如果不光只报这样的也算,据局长讲,那闭着眼睛都是百分之百。(当然,局长他使用的是他的规则)。 毛豆又开始测试了,支持[:13:] [:xi14:] [:xi41:] 辛苦了[:05:] 毛豆的粉丝路过。 呵呵 谢谢 帮你顶 [:xi24:] 好像要一个一个去数 强大的毛豆让某星汗死了.[防火墙的启发都比杀软成绩好...哈哈]
我们可以这样为毛豆和微点的测试员定位:鼠标军团.[:01:] [quote]原帖由 [i]冷冷[/i] 于 2008-8-3 02:12 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4325867&ptid=297345][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
[:xi24:] 好像要一个一个去数 [/quote]
是的.也只有这样了.没想到更好的办法测试了. [:14:] 毛毛好样的。。 qcqyt辛苦了[:09:]
回复 15楼 qcqyt 的帖子
日志应该有记录吧有的话就方便了 [quote]原帖由 [i]冷冷[/i] 于 2008-8-3 14:52 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4331755&ptid=297345][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
日志应该有记录吧
有的话就方便了 [/quote]
日志没有记录所有的.而且还会有其它的动作,更不好统计。试过很多种方法.只有8.2号这个录像的方法最快了。右手按鼠标,左手按手机。 差别好大啊