卡饭论坛's Archiver



baerzake 发表于 2008-8-16 11:03

Malware Defender的一些基本项目测试

对MD做了一些简单的测试,给各位对MD感兴趣的卡饭一个参考。

所用MD是最新版本,默认设置,没有对规则做任何修改。

测试共5个方面:键盘纪录及截屏测试
               注册表防御测试
               鼠标控制测试
               自我保护测试
               底层磁盘测试


1. 键盘纪录和截屏测试

使用的是AKLT,最常见的键盘纪录和截屏测试工具,这里不提供下载了。
通过测试可以看到MD这方面的防御很优秀,全部通过。

[attach]336305[/attach]

[attach]336306[/attach]

[attach]336307[/attach]

[attach]336308[/attach]

[attach]336309[/attach]

[attach]336310[/attach]


[attach]336313[/attach]

第一个截屏测试,MD监控到AKLT调用mspaint.exe,阻止后防御成功

[attach]336314[/attach]

[attach]336319[/attach]


第二个截屏测试,AKLT调用rundll32.exe,阻止后防御成功

[attach]336315[/attach]

[attach]336316[/attach]

[[i] 本帖最后由 baerzake 于 2008-8-16 23:08 编辑 [/i]]

[[i] 本帖最后由 baerzake 于 2008-8-16 23:13 编辑 [/i]]

baerzake 发表于 2008-8-16 11:14

2.注册表监控测试

选用了常见的注册表测试工具bypassregmon和testregmon,全部防御成功。

[attach]336326[/attach]

[attach]336327[/attach]

[attach]337688[/attach]



[attach]336328[/attach]

[attach]336329[/attach]

[attach]337689[/attach]



[attach]336330[/attach]

[[i] 本帖最后由 baerzake 于 2008-8-18 10:54 编辑 [/i]]

baerzake 发表于 2008-8-16 11:16

3. 鼠标控制测试

选用了2个样本对MD进行鼠标控制测试,第一个是测试工具test.exe,此工具可以锁定鼠标,MD不知道为什么没有模拟鼠标或锁定鼠标的提示,但是提示底层键盘操作,阻止后鼠标没有被锁定,可以看做防御成功。

第二个是个小玩笑工具,会控制鼠标在桌面上画画,MD没有能够拦截,这里提供这个样本,仅供大家测试。

[attach]336333[/attach]


[attach]336809[/attach]

4. 自我保护测试

MD的自我保护很优秀,毋庸置疑

[attach]336332[/attach]


5. 底层磁盘访问防御

新版MD增加了底层磁盘拦截,这里选了几个常见底层操作的病毒,都被成功拦截。附件是样本。

[attach]336795[/attach]

[attach]336796[/attach]

[attach]336797[/attach]

[attach]336816[/attach]

[[i] 本帖最后由 baerzake 于 2008-8-16 23:03 编辑 [/i]]

baerzake 发表于 2008-8-16 23:13

占楼待用

sxingbai 发表于 2008-8-16 23:28

火火终于忍不住了,哈哈
底层键盘就包括鼠标吧
就像模拟键盘包括鼠标一样

sxingbai 发表于 2008-8-16 23:29

截屏拦截成功
没有想到
一会也试试[:xi37:]

sxingbai 发表于 2008-8-17 00:03

截屏不能算是成功拦截
因为已经被截屏甚至存为图片
apt以前测过
如果其它进程没被加入强制保护,有几项过不了
顺便也测了一下spt
如果不把其它进程加入强制保护,到测试7被过
7       - terminate process as part of a job;
加入强制保护后继续测
一直过关斩将
但到最后测试16被过
16      - terminate process by "bruteforce" message posting;
但它关不了md的界面进程

深红的雪 发表于 2008-8-17 00:28

截屏那个阻止运行mspaint就算拦截成功?这也太那个了吧[:15:]

yager 发表于 2008-8-17 00:31

在默认规则的前提下进行么?

sandworm 发表于 2008-8-17 00:46

MD确实还不支持拦截截屏,以后再说了。截屏的方法有一大堆,仅shadow ssdt中的API就有好多,其实我发现一些HIPS只拦截了一两个API,能通过测试而已。

sandworm 发表于 2008-8-17 00:52

[quote]原帖由 [i]sxingbai[/i] 于 2008-8-17 00:03 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4514681&ptid=307630][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
截屏不能算是成功拦截
因为已经被截屏甚至存为图片
apt以前测过
如果其它进程没被加入强制保护,有几项过不了
顺便也测了一下spt
如果不把其它进程加入强制保护,到测试7被过
7       - terminate process as  ... [/quote]
杀进程的方法也是很多, 加入保护后阻止了其他进程对保护进程的操作,所以能阻止被关闭. 但是如果将保护扩展到所有程序,就需要对一些操作加入规则处理,这会导致大量的询问或者很多的内置白名单排除.

至于spt 16的问题,我再测试一下,按说MD对自身进程的保护和对设置保护的进程是一样的,也许有bug吧。

sxingbai 发表于 2008-8-17 07:18

回复 11楼 sandworm 的帖子

防截屏还是较为重要的,但如果api找得不准,拦得太滥,还不如就像现在,先空着
进程保护目前已经很不错了,只要自保能力强,保护其它进程本来也就不太重要了[:xi36:]

baerzake 发表于 2008-8-17 07:50

回复 12楼 sxingbai 的帖子

保护其他进程根本不重要,重要的是自我保护
MD对那个控制鼠标的玩笑程序不能拦截,希望能加强这方面的防御能力。

qkhge5 发表于 2008-8-17 10:32

*** 作者被禁止或删除 内容自动屏蔽 ***

sandworm 发表于 2008-8-17 10:48

OK. 我过几天看看鼠标的问题

qkhge5 发表于 2008-8-17 16:04

*** 作者被禁止或删除 内容自动屏蔽 ***

zhr5898 发表于 2008-8-17 16:15

顶··  支持火鸟大大··   支持MD······[:03:]

sxingbai 发表于 2008-8-17 16:38

回复 16楼 qkhge5 的帖子

分组是啥,以前似乎就有人说
难道md没有吗

qkhge5 发表于 2008-8-17 16:47

回复 18楼 sxingbai 的帖子

*** 作者被禁止或删除 内容自动屏蔽 ***

angel13th 发表于 2008-8-17 21:24

XYZREG那个注册表修改程序,拦截创建文件也算通过了?这也太扯了吧,岂不是有FD的都算能过。。。
是不是应该像EQ一样拦截注册表转贮才算通过?

页: [1] 2

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.