史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 資訊系統安全備援防護技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-05-03, 07:53 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 趨勢科技--反間諜精靈3.0-「艾克索夫實驗室」實測文章

趨勢科技--反間諜精靈3.0-「艾克索夫實驗室」實測文章

自從 InterMute 和他們的 SpySubtract 個原本還非常不錯的反間諜產品被趨勢收購以後,我就覺得這個產品完了。
而且趨勢非常錯誤的做法是把 SpySubtract 以外的所有 InterMute 產品都停止開發,這對於原來 InterMute 的用戶非常不公平,這也顯示了趨勢是個徹頭徹尾的以商業利益為第一的公司,它覺得收購 InterMute 只是需要SpySubtract,其他都可以拋棄不管。
而且現在證明從 SpySubtract 到了趨勢手裡的那天,也就是宣佈了SpySubtract的末日。

(為尊重原作者,文章內容皆未做任何修改,所有言論不代表本人想法)

鳥人大亂測之 : 趨勢科技-反間諜精靈 3.0


剛剛Kuon說,趨勢的Anti-Spyware程式可以下載試用了.
新聞看來很無奈…JR也被趨勢DoS過了…
知名國內大廠,怎麼可以放過我們*艾克索夫實驗室*的測試呢,何況要支持依下大陸軟體,不然張明正叔叔花了1百多萬美金開發的,不玩玩看很浪費耶

因此,我在趨勢科技網站上,下載了新版的」反間諜精靈 3.0〞試用版

整個package還算小,只有4.3 MB, 接著開始我們的簡單測試.


http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/Trend_Anti-Spyware.jpg

「反間諜精靈 3.0〞試用版,因為它是一套Monitor程式,所以必須先安裝,並且也啟動他的所有即時監控,再來執行Rootkit測試,

http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/Trend_Anti-Spyware-2.jpg


首先,我使用Hxdef 1.0r 這套非常有名的User mode Rootkit (大家應該都知道), 第一步呢, 先不使用Packer作變形保護,也不改Source重新編譯, 直接在holy_father網站上download, 因為這套太老牌, 這樣的話其實所有的Anti-Virus都會偵測到.

殘念!!⊙_⊙(註:殘念 = 太可惜了、太遺憾了)
結果居然什麼都沒警告, 在執行掃瞄也什麼都偵測不到… Orz


http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/test1.jpg

第二測試用最近很多服務機構被植入的後門測試,這個Spyware會做DLL Injection
(請參考 PK文章 ), 這才是真正危害的Spyware,如果」反間諜精靈 3.0〞能偵測到就太好了.

殘念!! X 2
結果居然也是什麼都沒警告, 在執行掃瞄也什麼都偵測不到… ⊙_⊙

這樣我都沒勇氣繼續測試了,連這都抓不到…那怎麼對抗其他正規軍的Spyware !?

接下來測試一下我們的Archon, 使用Scan Engine 0.1.13.09, 這版偵測力很好,
但是因為Hxdef在系統中運作,為了要跟hxdef鬥法,造成Archon可能會慢一些, 大約花了5分鐘
(不過Archon是事後用的Scanner,不用常駐,5分鐘還可以接受 , 如果沒有Hxdef的話只要花75秒 )
果然出現預期中的3個malicious item


http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/archon.jpg


hxdef100.exe → hidden Process, hidden file
IE → malicious code injected
comph.dll → Injected DLL

我還是不死心,」反間諜精靈 3.0〞 應該是很厲害的,趨勢的耶! 怎麼會都沒有」叫」 !?
既然真正危害的Spyware抓不到,那我用最基本Adware來試試看,我用WToolsA.exe, 這是一套國外網站常常會直入的Adware,不會偷資料,只算是單純的Adware.

果然!會叫了,不然我還怕它啞了,thx God!
>_< 而且即時監控也有用了

http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/IBIS.jpg

http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/IBIS-3.jpg



既然」反間諜精靈」有抓到,那來試試看Archon


http://cpc.tanet.edu.tw/~pk46/upload/46-TMSpy/IBIS-2.jpg

WToolsA.exe,Wsup.exe也都找到.

初步結論:
這個簡單測試看到了Pattern-Maching Based Detection跟 Behavior Based Detection的差異,
基本上兩者是互補的.
(詳細的測試或是心得,我們會在5/5號Spyware研討會中跟各位報告)

優缺比較:

反間諜精靈 3.0
對於已知的Adware有偵測效果,但是對於目前各服務機構被入侵的Spyware幾乎沒抵抗力.
對於Rootkit的偵測能力接近零,Hacker隨手改一個,應該都是偵測不到.這樣看來跟一般
免費的Anti-Adware是差不多能力的( [img]http://www.adwarereport.com/) .

優點:對於已知的Spyware偵測比較詳細,Archon只偵測執行中的Process,對於Registry的
分析沒有Pattern-Maching Base詳細,因為它們有病毒定義檔,對於已知的Spyware能有比較優秀的處理

Archon 1.0
對於未知的Spyware或是Rootkit可以分析出來,但是報告比較不詳細,出來的報告還需要技術人來看.
因為它主要對活動中的Spyware,對於靜態資料分析還不夠.
這樣的技術已經證明有一定效用,但是還需要繼續努力!…

Q:
他的測試有問題,Rootkit tool不算間諜,算病毒吧!

A:

Rootkit 正確的說應該算是 trojans or backdoors


Q;
測dll inject也是反間諜的工作?

A;

dll 不報沒關係 還是要依附在 .EXE 中執行 但 .EXE 沒報就................
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 10:33 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1