几款主流杀毒软件评测之脱壳（转）-远景-Windows7,Windows8,旗舰版,系统下载,主题

liubohaoai 发表于 2010-1-4 14:17:07

几款主流杀毒软件评测之脱壳（转）

好久没关心杀毒软件了，今天突然心血来潮，想看看曾经的杀毒软件都有了些什么进展，没想到收获也不小，不少杀毒软件都推出了自己的新版本，更让人兴奋的是又蛋生了几位新兴的杀毒软件。作为天生的菜鸟加小白，真的很想一睹杀毒软件带来的惊喜。但是我知道一款杀毒的软件好坏不能单纯的依靠某一点来判断，但是没办法今天就只能选择了杀毒软件的一方面来测试一番——脱壳！目的有二：第一，在大家的意见和建议中学习提高。第二，简单的和大家一起了解一下各大杀毒软件的脱壳能力。所以，有很多做的不好的地方希望大大多多谅解！
   今天参加测试的杀毒软件有：瑞星、金山毒霸、江民、卡巴斯基、ESET NOD32、微点杀毒软件（公测版）、360杀毒。
   测试环境：虚拟机  系统window xp sp3（未安装除sp3以外的任何补丁）。
   样本来源：卡饭
   加壳工具：aspack、asprotect、exestealth、fsg2.0、mew11、molebox2.6.5、npack v1.1、sms PE-Armor V0.46、PECompact v2、petite2.3、tElock0.98b1、Themida、TTProtect、UPX2.02、yP1033、北斗2.3（很遗憾手头壳不多，再加上部分壳加上之后样本不能运行）
为了保证测试的公平公正性测试采用虚拟机恢复快照的方式测试。
瑞星
将瑞星杀毒软件升级至最新版本，

关闭瑞星所有监控，首先按照默认设置扫描原样本文件,瑞星报：Trojan.Win32.Generic.11F47B0A病毒

然后对16个不同壳的加壳文件扫描，很遗憾瑞星只扫描出1个文件：sms TTProtect.exe，

并且此文件还需上报“云安全”计划确认，由此可见瑞星的脱壳能力真的是“没话说”。为了进一步验证瑞星的其他方面，索性讲瑞星的安全级别调到最高后再次对16个加壳文件进行扫描，结果还是很令人失望。

结果同上
360杀毒
作为一款炒作非常厉害的360杀毒，相信很多人都被它的终身免费承诺所打动，纷纷尝试起了传说中免费的午餐，那今天我们也来看看360杀毒吧.
首先也同上，将360杀毒升级至最新版本，

关闭360的实时监控，按照默认设置扫描原样本文件，结果360杀毒提示“未发现病毒，您的系统安全”

由此可见360失败了。为了看看360杀毒对接下来的加壳后的病毒的反应，于是对16个加壳病毒进行了一次扫描，结果360杀毒提示发现15个文件感染病毒（基于云安全）。

查杀结果为：
sms ASPack2.12.exe       Generic.Malware.Fdldg.F2BD72ED
sms ASProtect ske2.3.exe       GenPack:Generic.Malware.Fdldg.E9BB60AE
sms ExeStealth v2.76.exe       GenPack:Generic.Malware.Fdldg.A6DDE3CE
sms fsg2.0.exe       Generic.Malware.Fdldg.4D5532AA
sms MEW 11 1.2.exe       Generic.Malware.Fdldg.7ED536E5
sms npack v1.1.exe       Gen:Trojan.Heur.dGW@X2TcvJl
sms PE-Armor V0.46.exe       Gen:Trojan.Heur.dmWaXsR7ISe
sms PECompact v2.exe       Generic.Malware.Fdldg.377B0687
sms petite 2.3.exe       GenPack:Generic.Malware.Fdldg.609BF320
sms tElock 0.98b1.exe       Generic.Malware.Fdldg.A409E151
sms Themida.exe       Trojan.Packed.Libix.Gen.1
sms TTProtect.exe       Gen:Trojan.Heur.PT.evW@buQph9h
SMS UPX2.02.EXE       Generic.Malware.Fdldg.A6065A5A
sms yP1033.exe       Gen:Trojan.Heur.GM.040044E110
sms 北斗2.3.exe       Generic.Malware.Fdldg.E1D32E6E
这就叫人匪夷所思了，真真正正的裸体摆在面前他不管，为什么穿了件衣服的他倒抓的起劲呢？
卡巴斯基
作为一款很受用户青睐的强劲的杀毒软件，听说其脱壳能力也不错。今天也来亲自试试。将卡巴斯基升级至最新版本，

关闭所有监控，首先按照默认设置扫描原样本文件卡巴明确报出：Worm.Win32.AutoRun.bbvg，

接下来对16加壳文件进行扫描，结果卡巴检测出15个加壳样本，

结果为：
Worm.Win32.AutoRun.bbvg  sms ASPack2.12.exe/ASPack
Worm.Win32.AutoRun.bbvg  sms ExeStealth v2.76.exe/ExeStealth
Packed.Win32.Black.d  sms ASProtect ske2.3.exe/PE_Patch/ASProtect
Worm.Win32.AutoRun.bbvg  sms fsg2.0.exe/FSG
Worm.Win32.AutoRun.bbvg  sms MEW 11 1.2.exe/PE_Patch/MewBundle/MEW
Worm.Win32.AutoRun.bbvg  sms MoleBox 2.6.5.exe/Molebox
Worm.Win32.AutoRun.bbvg  sms npack v1.1.exe/NPack
Worm.Win32.AutoRun.bbvg  sms PE-Armor V0.46.exe/PE-Armor
Worm.Win32.AutoRun.bbvg  sms PECompact v2.exe/PE_Patch.PECompact/PecBundle/PECompact
Worm.Win32.AutoRun.bbvg  sms petite 2.3.exe/Petite
Worm.Win32.AutoRun.bbvg  sms tElock 0.98b1.exe/PE_Patch/TeLock
Packed.Win32.Black.a    sms Themida.exe
Worm.Win32.AutoRun.bbvg       SMS UPX2.02.EXE/PE_Patch.UPX/UPX
Worm.Win32.AutoRun.bbvg       sms yP1033.exe/YodaProt
Worm.Win32.AutoRun.bbvg       sms 北斗2.3.exe/NSPack
其中13个病毒属于脱壳后查出，由此看来卡巴的脱壳确实还是不错的！
微点杀毒软件beta
作为一款新兴生命、目前又正在公测中的杀毒软件，更是很多人期待已久的杀毒软件，先不论他的查杀效果如何，我们还是来一起看看他的脱壳能力吧。将微点杀毒软件升级至最新版本，暂停微点杀毒软件，首先按照默认设置扫描原样本文件，同样微点明确报出：Worm.Win32.AutoRun.sez

接下来对16个加壳样本进行扫描，结果微点也只扫描出加壳文件sms MoleBox 2.6.5.exe（Trojan.Win32.CDur.bg）

可见此文件非脱壳查出，看来还是有点遗憾啊。也许是因为正处于公测阶段吧。不过很感兴趣的是微点杀毒软件也提供了高启发扫描，于是把扫描设置为高启发再次扫描，结果微点扫描出14个，

结果为：
Malware.Win32.Suspect.b             sms 北斗2.3.exe
Malware.Win32.Suspect.b             sms yP1033.exe
Malware.Win32.Suspect.b             SMS UPX2.02.EXE
Malware.Win32.Suspect.b             sms tElock 0.98b1.exe
Malware.Win32.Suspect.b             sms petite 2.3.exe
Malware.Win32.Suspect.b             sms PECompact v2.exe
Malware.Win32.Suspect.b             sms PE-Armor V0.46.exe
Malware.Win32.Suspect.b             sms npack v1.1.exe
Trojan.Win32.CDur.bg             sms MoleBox 2.6.5.exe
Malware.Win32.Suspect.b             sms MEW 11 1.2.exe
Malware.Win32.Suspect.b             sms fsg2.0.exe
Malware.Win32.Suspect.b       sms ExeStealth v2.76.exe
Malware.Win32.Suspect.b             sms ASProtect ske2.3.exe
Malware.Win32.Suspect.b             sms ASPack2.12.exe
由此看来虽然微点杀毒在此次测试中脱壳不是很理想，但是启发还是做的很不错的哟！
NOD32
一款在中国很受欢迎的杀毒软件之一，以其启发不错以及内存占用低的优势，在中国也占据很好的市场。今天也来看看他的脱壳能力，将NOD32升级至最新版本，

关闭NOD32的实时监控，首先扫描原样本文件，NOD32明确报出：Win32/AutoRun.Delf.EP，

然后对加壳文件进行扫描测试：结果NOD32扫描出14个样本，

结果为：
sms ASPack2.12.exe - Win32/AutoRun.Delf.EP
sms ASProtect ske2.3.exe - 可能是 Win32/Genetik 特洛伊木马的变种
sms ExeStealth v2.76.exe - Win32/AutoRun.Delf.EP
sms fsg2.0.exe - Win32/AutoRun.Delf.EP
sms MEW 11 1.2.exe - Win32/AutoRun.Delf.EP
sms MoleBox 2.6.5.exe - Win32/AutoRun.Delf.EP
sms npack v1.1.exe - Win32/AutoRun.Delf.EP
sms PECompact v2.exe - Win32/AutoRun.Delf.EP
sms petite 2.3.exe - Win32/AutoRun.Delf.EP
sms tElock 0.98b1.exe - Win32/AutoRun.Delf.EP
SMS UPX2.02.EXE - Win32/AutoRun.Delf.EP
sms yP1033.exe - Win32/AutoRun.Delf.EP
sms 北斗2.3.exe - Win32/AutoRun.Delf.EP
sms Themida.exe - Win32/Packed.Themida
其中13个属于脱壳查出，看来在脱壳方面还是很不错的哟！
江民杀毒软件
一款也是比较低调的杀毒软件，最近新推出了加入主动防御的KV2010最新版，先不论其主动防御做的怎么样，还是先看看他的脱壳吧。将其升级至最新版本，

关闭其主动防御及监视，先按照默认设置扫描原样本文件,江民明确报出：Worm/AutoRun.pwv，

其次对16个加壳样本进行脱壳测试，江民检测出8个病毒，

结果为：
sms ASPack2.12.exe       Heur:Worm/Autorun
sms ExeStealth v2.76.exe  Heur:Worm/Autorun
sms npack v1.1.exe       Heur:Worm/Autorun
sms MoleBox 2.6.5.exe    Heur:Worm/Autorun
sms PE-Armor V0.46.exe Heur:Worm/Autorun
sms PECompact v2.exe    Heur:Worm/Autorun
SMS UPX2.02.EXE          Heur:Worm/Autorun
sms 北斗2.3.exe          Heur:Worm/Autorun
其中8个系脱壳查出。由此可见，江民的脱壳还是过得去哈。
金山毒霸
一款最近貌似大力推广的杀毒软件，虽说一直在进步，但是究竟达到了什么程度也不好说。今天就来先看看他的脱壳吧。将金山毒霸升级至最新版本，

关闭毒霸监控，按照默认设置扫描原样本文件为Win32.Troj.DownSAT.89088木马（好像命名与其他不同）。

其次对加壳文件进行扫描，检测出10个样本文件，

结果为：
sms 北斗2.3.exe       Win32.Troj.DownSAT.89088
sms yP1033.exe       Win32.Troj.DownSAT.89088
SMS UPX2.02.EXE       Win32.Troj.DownSAT.89088
sms tElock 0.98b1.exe       Win32.Troj.DownSAT.89088
sms PECompact v2.exe       Win32.Troj.DownSAT.89088
sms PE-Armor V0.46.exe       Win32.Troj.DownSAT.89088
sms MEW 11 1.2.exe       Win32.Troj.DownSAT.89088
sms fsg2.0.exe             Win32.Troj.DownSAT.89088
sms ExeStealth v2.76.exeWin32.Troj.DownSAT.89088
sms ASPack2.12.exe       Win32.Troj.DownSAT.89088
其中10个文件均为脱壳查出。看来金山在次方面还是不认输哦！
总体来说此次测试中卡巴，NOD32表现不错。金山、江民一般。微点杀毒虽然在此次测试中脱壳不是很理想，但是却表现出了极强的启发能力。至于360和瑞星我想就不大想说了。
  再次申明：本次测试只是无聊的时候和大家学习交流之用，所以很多地方做的不好的话（这是必然。因为小白+菜鸟）还请大家见谅，只希望在做的测试的时候能学到更多的东西。杀毒软件的实力也不是单纯的表现在某一方面，要看杀软的综合实力。因此此次测试并不具有代表意义，也仅供大家参考。希望大家一起交流，一起进步。

注：测试用的原文件及加壳文件见压缩包（密码123）
http://u.115.com/file/f828a334c
测试文件.rar
http://bbs.micropoint.com.cn/showthread.asp?tid=64151&;fpage=1这是原帖地址

gaoziyuan 发表于 2010-1-4 14:42:23

一直在用nod32，呵呵

demon0412 发表于 2010-1-4 22:23:28

我单挑avast

tony881120 发表于 2010-1-4 22:57:10

国产的杀软基本上连名次都排不上！

superxsy 发表于 2010-1-5 08:17:34

nis2010的飘过 ps：诺顿还是不错的哈

980li 发表于 2010-1-5 23:22:33

看来卡巴和NOD32还是很强大的，国产微点希望能够迎头赶上。

wgf197477 发表于 2010-1-6 09:16:53

不知瑞星好吗

云伤发表于 2010-1-6 13:54:53

现在nod32咯

Ashford 发表于 2010-1-7 03:48:32

微点也能叫启发？人家那是主动防御，而且和HIPS也不同pb55

liubohaoai 发表于 2010-1-7 10:56:12

回复 9# Ashford

我汗你说的是微点主防而楼主测试的是微点杀毒beta

wolanxuan 发表于 2010-1-8 21:48:17

一直用卡巴，觉得卡巴还是值得信任的！

vitasllr 发表于 2010-1-10 13:34:32

正在学习中，谢谢

苍云逸风 发表于 2010-1-10 15:28:14

用的nod32.。。感觉蛮好的

masterkuo 发表于 2010-1-15 18:40:48

ESET 全功能+Comodo Firewall（现在免费，很强大的防火墙，完全成熟的HIPS主机入侵防御系统） ~~~
基本无忧~~~

smartland 发表于 2010-1-19 11:39:19

查杀强的防御不行，防御好的查杀一般。。。

啥时候才出了全能冠军呢？

flyapple001 发表于 2010-1-22 01:01:14

瑞星难道真的是这么不堪一击！！？？？

markrour 发表于 2010-1-22 20:42:45

本帖最后由 markrour 于 2010-1-22 20:46 编辑

好久没关心杀毒软件了，今天突然心血来潮，想看看曾经的杀毒软件都有了些什么进展，没想到收获也不小，不少 ...
liubohaoai 发表于 2010-1-4 14:17 http://bbs.pcbeta.com/images/common/back.gif
我使用nod，但不赞成楼主的测试方法，每一个杀软都有具体的详细设置，用通用设置不能衡量真实性能，似乎有点不公平。
同时在杀毒的时候其代码优化，以及耗费时间都是参考标准。
对于nod个人认为木马以及蠕虫是他的弱项，可以通过其他的小工具弥补即可，选择的理由是速度与系统占用。
瑞星好像听人说起过，都是有钱人的奢侈品，用不起。
同一15楼的观点，金无足赤，水至清则无鱼，不可能出现全能，软件设计只能针对一方面，不可能面面俱到，w2k到现在已经不再出补丁了，但是其还是漏洞百出。但这些漏洞可以通过其他软件去弥补。这就是共赢法则事实基础。

页: [1]

远景 - Windows7,Windows8,旗舰版,系统下载,主题's Archiver

几款主流杀毒软件评测之脱壳（转）