xiaoyu2007919 2009-1-10 08:48
国内外杀软简单分析
转帖 国内外杀软简单分析
首先声明本帖绝对原创 写的这个简单评测是从一个垃圾黑客【现在不搞了】做免杀的角度来写的,不过大家看完之后心里绝对会有杆秤的!!
瑞星的病毒库是很可怕的,瑞星在表面查杀的时候用一个病毒库,查杀内存的时候用另一个病毒库,也就是说他存在两个病毒库,我拿黑洞远程控制来说吧,这个软件生成的木马,如果做免杀需要
3个文件
EXE宿主文件 EXE文件 瑞星【2个病毒特征】金山 【一个特征】 江民 【2个特征】 卡巴 【1个特征】垃圾特征码,个人感觉啊金山的特征码是套用咖啡的,,为什么这么说我就不多说了!江民呢?定位病毒特征是除非不定位,如果定位了就够你喝一壶的,卡巴定位的都是垃圾特征码 下面说DLL文件
DLL寄生文件 瑞星【一个12个特征】 金山【一个特征】 江民【2个】卡巴【1个】
SYS驱动文件【主要过卡巴主动防御】,瑞星【2个特征很难修改】 江民不杀 金山不杀 卡巴【1个特征轻松就修改了】
从上面大家可以看出来,病毒特征最多的是瑞星,金山垃圾 江民也可以 卡巴一般
我们就说说这个SYS文件,这个驱动是主要恢复SSDT过主动的,,瑞星是实实在在的定位的病毒特征,因为这个SYS瑞星可以不杀的,大家都知道瑞星的主动【挺垃圾】其实也是特征码意思是可以修改的,瑞星的想法是你EXE免杀了我杀你DLL你DLL免杀了我照样杀你SYS,所以说瑞星对大家是挺负责的。
在说金山没有在SYS上面定位特征码,说明什么? 说明这个SYS对他没用啊,所以没有定位,对客户不负责!
江民和金山差不多,不过他定位病毒特征是除非不定位,定位了就让你不容易修改!
卡巴值得推崇的是他更新病毒库的速度,实在是太快了,有一些VIP远控今天刚刚更新免杀,明天就被杀!还有他的主动防御也困扰了大部分的黑客爱好者!你表面过了。可是主动过不了,其实还是可以过的,在这里就不说了,防范恢复SSDT其实很简单,大家看我以前发的一个帖子[url=http://soft.deepin.org/read.php?tid=599207]http://soft.deepin.org/read.php?tid=599207[/url] [有深度号的去看看吧]说的很详细。
卡巴不好的是占内存,不求进取,6.0的一个BUG修改时间过主动,黑客朋友们用了N久,乐了一批人也坑了一批人!
在说说别的杀毒软件,首先推崇是微点主动防御!很牛的以个杀毒软件,在就是NOD,这个软件不多说了,和江民是一批人,不过比江民牛啊,人家有个启发杀毒啊,特征码定位的就他变态,全部在输入表函数上面,小红伞也是一个个很不错的软件,定位的特征码基本在PE头的多除了NOD就是他了,至于咖啡吗个人感觉太一般了!大蜘蛛的杀毒引擎厉害,小红伞和卡巴都使用的大蜘蛛杀毒引擎,至于蜘蛛的病毒库吗,就一般了!菲尔什么的没有用过不好评论!
我现在的组合是E盾【实时防护】和瑞星【不开监控只是查毒】冰刃【查看进程】,基本N久没有中病毒了!!
还是老话啊,萝卜白菜各有所爱啊,杀毒软件各有各的长处,希望大家不要再说这个好那个垃圾什么的!!
fish 2009-1-10 11:03
小红伞和卡巴都使用的大蜘蛛杀毒引擎
这句把他之前说的光彩都盖过了,专业玩家不会犯这么低级的错误,伞引擎不是用蜘蛛的,伞靠监控临时文件夹,主要报壳和GEN,当然也考很大的库,卡巴的AVP引擎是自家的,和蜘蛛算是竞争对手吧,蜘蛛的脱壳强,特点和卡巴很不同。拉去多引擎一扫就知道,同引擎定义的名字一般一样的,FS AVK2008报的和卡巴是差不多的。
文中提到很多是对的,例如NOD靠启发,小红伞的启发率仅次NOD,但是伞的库比NOD多多了。卡巴的PDM是很恐怖。江民主防也不错,瑞星现在确实是靠“云安全”实时上报增大病毒库,它引擎的脱壳和启发能力确实比较低。咖啡的特点在于可以写规则,类似于组策略,也有点像HIPS,主要在于防,研究它的扫描定位意义不大。一般的4100库也不如5300扩展库,但是美国杀软的特点主要都是防,HIPS普遍做得很好,可能是因为美国怕误杀赔偿吧~~
还有一个,卡巴占内存其实不多,主要是拖CPU。所以感觉卡,不过8.0好多了。
[[i] 本帖最后由 fish 于 2009-1-11 01:05 编辑 [/i]]
灵飞 2009-1-11 03:31
楼上好专业:13)
[quote]
测试一: 第一: 我装的是卡巴KIS7.0 . 当一个合法程序运行后, 想要去恢复SSDT.
那么, 它必然是驱动级程序, 只要是驱动级程序就要往DRIVERS目录中写入SYS文件!
就在这时, 卡巴主动,就会报警了: 一个程序试图获取系统权限. 之类的!
只要阻止就行了. 一般, 黑客要想过卡7 . 那么, 必需要先恢复SSDT.
[/quote]
好像不一定要往drivers写吧.
既然卡巴会报警,后面的权限设置好像也没什么必要了.
fish 2009-5-6 09:07
::2) 瑞星~~一讨论起来就没完没了,枪手到处都有~武断贬低的也到处都有~~
freedom天使 2009-5-8 20:54
瑞星!我对它无语的!不谈它!
你说小红伞使用的大蜘蛛杀毒引擎 就太没理由吧!
它看起来没那些流行著名的杀软厉害!像NOD,卡巴。事实上你去卡饭论坛看看红每个月的的扫描评测,始终在前几名!像卡巴,NOD,小A,排名起伏好大!要拿瑞星去比,我没话说!
fish 2009-5-10 02:49
卡饭那个评测不怎么好,只能当参考
经常是收集病毒的,那一堆同类的全丢进去测,能扫的扫一堆,不能扫的全部MISS~~
熙雅 2009-5-27 18:41
卡巴的脱壳能力 也不弱哈.. 俄罗斯 牛淫真多哈...
小红伞的高启发非常成熟哈!!!!
受伤的菜鸟 2009-5-27 20:18
如果你是枪手我可以谅解,如果你不是就希望你发点还能算点专业的东西~看了之后郁闷半天~~~不得不说写的很不好,主观性很强。
fish 2009-5-28 09:20
回复 11楼 的帖子
:0) 这个帖子是转帖,只是原创声明也贴上去了。
谈谈使用感受无可厚非啦。