• 空間首頁
• 空間管理
• AVPClub Security Home
• 站點論壇
• 添加我的日誌

我的最新日誌

• GDATA 2009 行為監控簡評

  2008-9-09

  引言 :
  2009 由beta 1 版到目前的rc2版本改善的地方有很多, 與2008比較, 最為突出的有3項轉變
  1. 界面
  2. 引擎 及
  3. 行為監控
  而今次就是要探討的是2009的行為監控
  
  技術 :
  (由於到目前為止仍未收到GDATA的回覆, 這部份會待回覆後補回, 對此事深感抱歉 )
  
  測試 :
  為了證明行為監控的能力, 小弟搜集了不少樣本, 而這些樣本都不會被特徵碼日期為21/8/2008所偵測.
  
  樣本一 :
  行為 :

  QUOTE:

  建立檔案
  目錄	檔案
  C:\Documents and Settings\使用者名稱\Local  Settings\Temp\	.tt1.tmp
  C:\Documents and Settings\使用者名稱\Local  Settings\Temp\	.tt6D.tmp
  C:\Documents and Settings\使用者名稱\Local  Settings\Temp\	.tt1.tmp.vbs
  C:\Windows\System32\	blphc35dj0erc1.scr
  C:\Windows\System32\	lphc35dj0erc1.exe
  C:\Windows\System32\	phc35dj0erc1.bmp
  C:\Windows\System32\Restore\	MachineGuid.txt

  QUOTE:

  建立註冊表
  路徑	名稱	數值
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run	lphc35dj0erc1	C:\Windows\System32\lphc35dj0erc1.exe
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software  Notifier	InstallID	69f3c199-439e-4507-bc0b-2407cecad524
  HKEY_CURRENT_USER\Control Panel\Desktop	ConvertedWallpaper	C:\Windows\System32\phc35dj0erc1.bmp
  HKEY_CURRENT_USER\Control Panel\Desktop	SCRNSAVE.EXE	C:\Windows\System32\blphc35dj0erc1.scr
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System	NoDispBackgroundPage	0x00000001
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System	NoDispScrSavPage	0x00000001
  HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen  Screen Saver	EulaAccepted	0x00000001

  QUOTE:

  修改註冊表
  路徑	名稱	數值
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows  NT\CurrentVersion\SystemRestor	DisableSR	0x00000000
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell  Folders	AppData	C:\Documents and Settings\NetworkService\Application Data
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell  Folders	Cache	C:\Documents and Settings\NetworkService\Local Settings\Temporary  Internet Files
  HKEY_CURRENT_USER\Control Panel\Colors	Background	0 0 255
  HKEY_CURRENT_USER\Control Panel\Desktop	ScreenSaveActive	1
  HKEY_CURRENT_USER\Control Panel\Desktop	Wallpaper	C:\Windows\System32\phc35dj0erc1.bmp
  HKEY_CURRENT_USER\Control Panel\Desktop	WallpaperStyle	0
  HKEY_CURRENT_USER\Control Panel\Desktop	OriginalWallpaper	C:\Windows\System32\phc35dj0erc1.bmp

  QUOTE:

  網路連線

  GDATA 的行為監控結果 :
  成功偵測到 Startup 的行為
  
  行為的詳細資料
  
  
  
  
  成功把檔案移動到隔離區
  
  
  樣本二 :
  行為 :

  QUOTE:

  建立檔案
  目錄	檔案
  C:\Windows\	1.bat
  C:\Windows\Help\	B41346EFA848.dll
  C:\Windows\Help\	B41346EFA848.exe
  C:\Windows\System32\	2.bat

  QUOTE:

  插入處理程序
  目標程式	插入的模組
  C:\Windows\explorer.exe	C:\Windows\Help\B41346EFA848.dll
  C:\Program Files\messenger\msmsgs.exe	C:\Windows\Help\B41346EFA848.dll
  C:\Windows\System32dllhost.exe	C:\Windows\Help\B41346EFA848.dll
  C:\Windows\dns\sdnsmain.exe	C:\Windows\Help\B41346EFA848.dll
  C:\Program Files\internet  explorer\iexplore.exe	C:\Windows\Help\B41346EFA848.dll

  QUOTE:

  建立註冊表
  路徑	名稱	數值
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32	(Default)	C:\Windows\Help\B41346EFA848.dll
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32	ThreadingModel	Apartment
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}	(Default)	SSUUDL
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks	{1DBD6574-D6D0-4782-94C3-69619E719765}

  GDATA 的行為監控結果 :
  無法偵測到可疑行為, 系統已感染
  
  
  
  
  樣本三 :
  行為 :

  QUOTE:

  建立檔案
  目錄	檔案
  C:\Documents and Settings\All Users\Application Data\fyhilcnk\	nevedqfm.exe

  QUOTE:

  建立註冊表
  路徑	名稱	數值
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run	dvZRWdGoeW	C:\Documents and Settings\All Users\Application Data\fyhilcnk\nevedqfm.exe
  HKEY_CURRENT_USER\Software\Uninstall	dvZRWdGoeW	0x48BFA73A

  QUOTE:

  開啟連接埠
  應用程式	協定	連接埠
  C:\Documents and Settings\All Users\Application Data\fyhilcnk\nevedqfm.exe	UDP	隨機

  GDATA 的行為監控結果 :
  無法偵測到可疑行為, 系統已感染
  
  
  
  樣本四 :
  行為 :

  QUOTE:

  建立檔案
  目錄	檔案
  C:\Windows\System32\	j3ewro.exe
  C:\	autorun.inf
  C:\Windows\System32\	jwedsfdo0.dll
  C:\Windows\System32\	jwedsfdo1.dll
  C:\Windows\System32\	jwedsfdo2.dll

  QUOTE:

  插入處理程序
  目標程式	插入的模組
  C:\Windows\explorer.exe	C:\Windows\System32\jwedsfdo2.dll

  QUOTE:

  建立註冊表
  路徑	名稱	數值
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run	jvsoft	C:\Windows\System32\j3ewro.exe

  QUOTE:

  修改註冊表
  路徑	名稱	數值
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL	CheckedValue	0x00000000

  QUOTE:

  下載檔案
  URL	目標資料夾
  http://www.12aas.org/xjj/cc1.rar	C:\Documents and Settings\使用者名稱\Local Settings\Temp\

  GDATA 的行為監控結果 :
  無法偵測到可疑行為, 系統已感染
  
  
  
  
  
  
  結論 :
  就這次所使用的樣本來看, 行為監控的效果似乎沒有想像中的嚴謹, 很多行為都無法攔截, 連自動執行的註冊表路徑也沒有完全監控, 看來GDATA 2009 行為監控似乎與2008的註冊表監控差不多, 可能僅是換個名稱而已.
  
  期望 :
  作為使用者, 當然希望防毒軟體更完美, 尤其在現在的趨勢來看, GDATA 不應再單靠引擎的掃瞄來提高已知或未知的威脅, 既然已經早在2007時代加入註冊表監控的功能, 可惜功能仍有待進一步的改善.
  
  估計 :
  由於這次的結果真是大失所望, 估計導致的原因有一 :
  德文版GDATA  2009的行為監控僅對應德文版的Windows (可能是因為規則中的路徑都是德文...)
  因此要待英文版釋出作進一步的測試

  查看(510) 評論(5)

• GDATA 2008 系列 正體中文化第一版 發佈!

  2008-7-04

  最近忙得很, GDATA 2008 系列 正體中文化第一版終於完成
  較預定日子相差很遠, 而且只是以單純的自解壓縮檔封裝, 十分抱歉
  
  另外, 暫定會發佈第二版, 修正所有第一版出現的問題 (包括 : 界面修正, 字詞修正...), 因此希望各位提供意見 (PM / E-Mail)
  
  下載點 : http://www.adrive.com/public/aec ... ef5aa03ffee6b3.html
  
  密碼的顯示方式一如以往, 請不要把密碼貼到論壇

  查看(1117) 評論(4)

• GDATA 2008 系列 正體中文化預覽圖!

  2008-6-03

  GDATA 2008 系列 中文化預覽圖!
  
  終於完成 GDATA 系列的中文化 (包括 GDAV, GDIS 及 GDTC)
  
  已知重要問題 :
  1. 部份詞彙未統一 (註冊表 Vs 系統登錄, 網路 Vs 網絡 等)
  2. 部份日期設定無法調整
  3. "備份" 的水準很低
  4. ASCII 字串尚未翻譯
  
  已不期望有人會協助完善 GDATA 系列的中文化, 小弟會把大部份圖片上傳
  從下列圖片中找到任何中文化錯誤或未中文化的地方, 並依下列回覆規格反映, 將予以評分 (但重覆者將不會予以評分)

  CODE:

  錯誤類型 :
圖片編號 :
錯誤地方 :
修正建議 :

  QUOTE:

  例子 (1)
  錯誤類型 : 中文化錯誤
  圖片編號 : 圖片_11
  錯誤地方 : 已刪減
  修正建議 : 已刪除
  
  例子 (2)
  錯誤類型 : 顯示問題
  圖片編號 : 圖片_12
  錯誤地方 : 字串 "應用程式" 未能完全顯示
  修正建議 : N/A

  預覽圖 :
  安全中心
  (圖片_1)
  
  防毒軟體       
  (圖片_2)       
  (圖片_3)       
  (圖片_4)       
  (圖片_5)       
  (圖片_6)       
  (圖片_7)       
  (圖片_8)       
  (圖片_9)       
  (圖片_10)       
  (圖片_11)       
  (圖片_12)       
  (圖片_13)       
  (圖片_14)       
  (圖片_15)       
  (圖片_16)       
  (圖片_17)       
  (圖片_18)       
  (圖片_19)       
  (圖片_20)       
  (圖片_21)       
  (圖片_22)       
  (圖片_23)       
  (圖片_24)       
  (圖片_25)       
  (圖片_26)       
  (圖片_27)       
         
  防火牆       
  (圖片_28)       
  (圖片_29)       
  (圖片_30)       
  (圖片_31)       
  (圖片_32)       
  (圖片_33)       
  (圖片_34)       
  (圖片_35)       
  (圖片_36)       
  (圖片_37)       
  (圖片_38)       
  (圖片_39)       
  (圖片_40)       
  (圖片_41)       
  (圖片_42)       
  (圖片_43)       
         
  垃圾郵件防護       
  (圖片_44)       
  (圖片_45)       
  (圖片_46)       
  (圖片_47)       
  (圖片_48)       
  (圖片_49)       
  (圖片_50)       
  (圖片_51)       
         
  網頁篩選       
  (圖片_52)       
  (圖片_53)       
  (圖片_54)       
         
  家長監護       
  (圖片_55)       
  (圖片_56)       
  (圖片_57)       
  (圖片_58)       
  (圖片_59)       
  (圖片_60)       
  (圖片_61)       
         
  微調       
  (圖片_62)       
  (圖片_63)       
  (圖片_64)       
  (圖片_65)       
  (圖片_66)       
  (圖片_67)       
  (圖片_68)       
  (圖片_69)       
  (圖片_70)       
         
  備份       
  (圖片_71)       
  (圖片_72)       
  (圖片_73)       
  (圖片_74)       
  (圖片_75)       
  (圖片_76)       
  (圖片_77)       
  (圖片_78)       
  (圖片_79)       
         
  其它       
  (圖片_80)       
  (圖片_81)       
  (圖片_82)       
  (圖片_83)
  
  [ 本帖最後由 000110 於 2008-6-2 21:05 編輯 ]

  查看(979) 評論(14)

• PEiD 分析檔案結構 (1)

  2008-3-22

  簡介 :
  修改自解壓縮檔是黑客用來掩釋惡意程式的其中一使用方法
  目前來說, 效果不錯, 可以避開大部份不含主動防護的防毒軟體 (參考 : VirusTotal 報告)
  為止, 這特徵碼可以在掃瞄/執行前, 透過PEiD分析檔案是否修改過的自解壓縮檔
  
  使用步驟 :
  1. 複製底下的代碼

  CODE:

  [RAR SFX (Sgin by 000110@AVPClub)]
signature = 80 3A 52 75 2D 80 7A 01 61 75 27 80 7A 02 72 75 21 80 7A 03 21 75 1B 80 7A 04 1A 75 15 80 7A 05 07 75 0F 80 7A 06 00 75 09
ep_only = false

[RAR SFX Modification -> Possible Malware (Sgin by 000110@AVPClub)]
signature = 80 3A 52 75 2D 80 7A 01 ?? 75 27 80 7A 02 ?? 75 21 80 7A 03 ?? 75 1B 80 7A 04 ?? 75 15 80 7A 05 ?? 75 0F 80 7A 06 ?? 75 09
ep_only = false2. 開啟 userdb.txt 並貼上
  
  3. 已安裝xInfo外掛程式的, 可以複製底下的代碼到xInfo.txt

  CODE:

  [RAR SFX Modification -> Possible Malware (Sgin by 000110@AVPClub)]
Info=Possible Malware, Usually be used by Hacker (Sgin by 000110@AVPClub)注意事項 :
  1. 即使知道檔案是修改過的自解壓縮檔, 也不要嘗試透過WinRAR開啟檔案, 這會導致檔案執行
  
  因不當使用這輔助檔所引致的問題, 小弟恕不負責
  
  Ps. 有關問題 (如 : 建議, 錯誤等) 可回覆這文章或PM小弟
  
  [ 本帖最後由 000110 於 2008-3-22 00:00 編輯 ]

  查看(678) 評論(7)

• 中文化教學 (2) : 常用的中文化工具介紹

  2008-3-16

  前言 :
  在上一次的教學中, 說了中文化的背景, 還未開始進入正式的學習階段.
  大家都可能很焦急, 究竟常用的中文化工具是哪幾款, 性能如何, 大家的腦內可能充滿中文化工具的樣子.
  現在就開始進入教學 (2)
  
  內容 :
  開始中文化前, 當然不可缺少用來中文化的工具, 這些工具可使我們在翻譯時, 更輕鬆, 更準確.
  中文化的工具有很多, 為方便大家了解中文化的工具, 我先將它們分類, 當大家中文化需要用到手上沒有的工具時, 也可以輕鬆尋找.
  
  以勉強稱得上是業餘的人仕的我的角度, 首先會分為兩大類 - 大型中文化軟體 及 輕便中文化工具
  1.) 大型中文化軟體 : 檔案大小較大, 通常要安裝, 主要用來翻譯較大型的軟體, 涉及翻譯的字串較多
  2.) 輕便中文化工具 : 檔案大小較小, 通常無須安裝, 用來翻譯較細小的軟體或輔助大型中文化軟體, 涉及翻譯的字串較少
  
  然而, 分為兩大類也是不足的, 所以再在輕便中文化工具細分三個分類
  2.1) 常規資源工具 : 檢視, 修改檔案的 Unicode 資源的工具
  2.2) 非常規資源工具 : 尋找, 修改檔案的 ASCII 資源的工具
  2.3) 翻譯輔助工具 : 輔助工具, 內容可以很廣泛
  
  完成分類後, 再來就是各個分類的例子及介紹
  1.) 大型中文化軟體 :
  Visual Localize : 專業的翻譯工具, 可製作字典檔, 用於為未來的版本中文化
  
  
  Passolo : 專業的翻譯工具, 可製作字典檔, 用於為未來的版本中文化, 而且支援外掛程式, 來增強功能
  
  2.) 輕便中文化工具 :
  2.1) 常規資源工具 :
  ResHack : 資源編輯工具, 這工具有很多功能, 可以幫助翻譯, 唯一缺點是部份脫殼後的檔案, 要再經修改, 才可正常編輯
  
  
  eXeScope : 資源編輯工具, 可以把非 XP 樣式的界面轉換到 XP 樣式, 也是部份脫殼後的檔案, 要再經修改, 才可正常編輯
  
  
  ResScope : ResTools 系列的資源編輯工具, 又是一款不錯用的工具, 功能與 ResHack 不相百, 而且沒有 ResHack 的缺點
  
  
  GetVBRes : ResTools 系列的 VB 資源編輯工具, 是一款為 VB 編寫的軟體翻譯的工具
  
  
  2.2) 非常規資源工具 :
  CXA : 由黃權燊編寫的工具, 用來翻譯英文到中文的非字串, 當中包含了字典檔, 減輕中文化製作者的工作量
  
  
  CXAT : 由黃權燊編寫的工具, 用來翻譯簡體文到正/繁體中文的非字串, 當中包含了字典檔, 減輕中文化製作者的工作量
  
  
  GetStrRes : 也是 ResTools 系列的工具, 雖然說是 GetVBRes 的外掛程式, 但是可以獨立使用, 不過不建議使用這工具, 用 UltraEdit + Cxa/Cxat 代替會更好
  
  
  2.3) 翻譯輔助工具 :
  UltraEdit : 一款不錯多十六進制編輯器, 很多時完成翻譯, 在中文化的後期, 也要用到它來修改檔案
  ResFree : 又是 ResTools 系列的工具, 把檔案的資源釋放, 常用於無法脫殼的檔案上, 但有時效果會未如理想
  
  
  rva : 字串位置轉換工具, 由於非常規資源會限制字串的長度, 對於長度不足時, 就是這工具發揮功效的時候
  
  
  當然, 中文化工具不只以上數款, 同種類還有很多選擇, 各位可因應個人喜好挑選覺得方面使用的工具
  但如果覺得各款工具也差不多, 一樣容易上手
  建議採用這個組合 :
  Passolo : 翻譯大形軟體時使用
  ResHack + ResScope : 翻譯軟體時使用
  CXA + CXAT + UltraEdit + rva : 翻譯非常規資源時使用
  ResFree : 無法脫殼時使用
  
  希望大家找到合心的中文化工具
  
  <<待續>>
  
  預告 :
  下次教大家這些工具的使用
  標題 : 中文化教學 (3) : 中文化工具的使用
  日期 : 4 月下旬

  查看(948) 評論(2)

• 中文化教學 (1) : 簡單介紹甚麼是中文化

  2008-3-06

  前言：
  首先，這一套教學未非出自甚麼中文化專家的手筆，只是由一位勉強稱得上是業餘的人仕製作。
  目的是希望更多人知道中文化的存在，重要性，學會如果把軟體中文化，最重要一點是希望在愈來愈少人製作中文化的階段，有更多人因此對中文化感到興趣。
  如果您是中文化專家，這篇文章可能不適合您，但也希望您可以看完這套教學，給作者的我一些回饋及指正一些錯誤。
  如果對中文化感到興趣的您，這套教學很適合您，可以讓您開始中文化的生涯，也希望您可以參與討論，一齊增長對中文化的知識。
  如果您是中文化請求者，希望您可以看完這套教學，知道中文化作者的辛苦，也希望您可以對中文化感到興趣，開始自行製作，擺脫中文化請求者的稱號。
  
  內容：
  中文化這詞語，對大家來說應該不陌生。
  無論是請求者或是製作者的您，都同時指出中文化這詞語在其文章中或作品內。
  事實上，中文化這詞語的使用並不恰當，需知道中文化其實來自英文 Localization，意思即是本地化。
  不過在長期的錯誤使用下，大家都已接受中文化這詞語。
  
  說了中文化的來源及解釋後，再來就是中文化的定義了。
  其實何謂中文化至今仍未有明確的闡釋，究竟是軟體界面成功翻譯為中文就代表中文化，還是軟體界面由原始語言翻譯為中文代表中文化?
  即使之前有一批中文化的專家討論過一番，但仍未有清晰的定義，對我這位勉強稱得上是業餘的人仕的人來說，我會較認同後者。
  可能中文化的定義對您來說可能毫無關係，但如果統一中文化這詞語的定義，對中文化軟體的質素一定大有提升，不再會出現一些粗製濫造版本。
  
  對我以言，中文化可分為兩大類 － 軟中文化 及 硬中文化
  軟中文化：通常是代理商或軟體公司使用到的方法，是在得知原代碼的情況下對軟體進行翻譯，通常這方法得出的軟體會較完美，較少錯誤。
  硬中文化：大部份中文製作者用到的方法，與軟中文化恰好相反，是在沒有原代碼的情況下對軟體進行翻譯，這種方法可翻譯任何軟體，但由於被程式碼所限制，可能導致得出的版本不完全中文化，甚至錯誤。
  
  稍後的教學將集中教大家如何以硬中文化的方法製作出媲美軟中文化的版本
  
  <<待續>>
  
  預告：
  下次教大家進行中文化前準備的工具
  標題：中文化教學 (2) : 常用的中文化工具介紹
  日期：待定
  
  [ 本帖最後由 000110 於 2008-3-6 15:50 編輯 ]

  查看(800) 評論(4)

• VBA32 簡測

  2008-2-25

  前言 :
  自從測殼結果公佈後, 對這套不是很多人使用的防毒軟體開始感到興趣,
  不很出名的它卻有著難以抗拒的魅力, 有著可以成為防毒大廠的潛力
  
  簡介 :
  VBA32 全名 VirusBlokAda, 意思是"病毒攔截幫手", 是一款出產自白俄羅斯的防毒軟體
  它採用以下3款技術, 以偵測已知及未知惡意程式
  啟發式分析器 (Heuristic analyzer) : 偵測未知的惡意程式
  動態代碼轉換處理模擬器 (Dynamic code translation processor emulator) : 處理經過繁雜加密的惡意程式
  MalwareScope™ : 偵測同一系列的變種
  
  界面 :
  主畫面
  
  
  設定
  
  
  
  更新
  
  
  
  掃瞄
  
  
  
  
  
  
  監控
  主畫面
  
  檔案防護
  
  
  
  
  
  撥號程式防護
  
  
  郵件過濾
  
  
  
  Outlook Plugin
  
  指令碼過濾
  
  
  隔離區
  
  
  
  測試 :
  偵測率測試
  AVPCLUB上, 12月至1月的病毒樣本, 共1032個檔案
  偵測率 : 89.24% (計算方式 : (912+9)/1032*100)
  掃瞄時間 : 01 小時 29 分 45 秒
  掃瞄設定 : 最大
  
  
  自我防禦測試
  Advanced Process Termination 4.0
  
  結果

  Suspend 1 : PASS	Kill 5 : PASS	Kill 11 : PASS
  Suspend 2 : PASS	Kill 6 : PASS	Kill 12 : PASS
  Kill 1 : PASS	Kill 7 : PASS	Kernel Kill 1 : PASS
  Kill 2 : PASS	Kill 8 : PASS	Kernel Kill 2 : PASS
  Kill 3 : PASS	Kill 9 : PASS	Crash 1 : PASS
  Kill 4 : PASS	Kill 10 : PASS	Crash 2 : PASS

  Simple Process Termination 1.0.0.2
  
  結果                                

  Method 1 : PASS	Method 7 : PASS	Method 13 : PASS
  Method 2 : PASS	Method 8 : PASS	Method 14 : PASS
  Method 3 : PASS	Method 9 : PASS	Method 15 : PASS
  Method 4 : PASS	Method 10 : PASS	Method 16 : PASS
  Method 5 : PASS	Method 11 : PASS
  Method 6 : PASS	Method 12 : PASS

  資源佔用 :
  閒置
  
  
  掃瞄時
  
  
  優點 :
  1. 解殼能力不俗
  2. MalwareScope™ 技術增加了不少的偵測率
  3. 支持多國語言
  4. 自我防禦不俗
  
  缺點 :
  1. 最大設定下, 掃瞄時間極長
  3. 沒有 HIPS
  
  總結 :
  VBA32給人的整體印象不錯, 可惜長的掃瞄時間是其致命傷
  而且試用手續繁複, 導致VBA32不能普及
  
  後感 :
  由於第一次使用SPT測試, 不清楚它顯示的Test failed 是否就是代表無法終止程式
  所以自我防禦測試的結果有待驗證

  查看(1721) 評論(18)

• 多重殼測試結果

  2008-2-23

  前言 :
  其實這次的測試, 純粹偶然, 本身沒有想過會做這測試, 亦不想做
  因為多重殼的測試準備功夫很多, 究竟是要用哪配搭做測試? 用哪種方式加多重殼? 哪個殼先加, 哪個後加? 哪幾個殼要加? 等等,都要一一考慮
  但在偶然的機會下, 本身是為了研究ESET的虛疑能力, 加了數款單一殼, 到後來加多重殼, 因當中有少少的問題, 導致這個結果出現
  由於多種因素都沒有考慮, 結果的準確性有待驗證
  
  測試形式 :
  加多重殼後, 測試可行性, 上傳到VirusTotal掃瞄
  
  加殼方式 :
  

  
  
  1. ntdlr.com -> 原始檔案
  2. ntdlr.exe -> 1) KByS 2) FSG
  3. 複製 -aspack -ntdlr.com.out -> 1) ASPack 2) NSPack 3) NakedPack
  4. 複製 -複製 -aspack -ntdlr.com.out -> 1) ASPack 2) NSPack 3) NakedPack 4) FreeRes + Yoda

  
  
  測試結果 :
  

  
  
  1. http://www.virustotal.com/analis ... 8fb508f052a839d91ae
     
  2. http://www.virustotal.com/analis ... 834edf7ba909cc1030e
     
  3. http://www.virustotal.com/analis ... 4e0876172709be8e38e
     
  4. http://www.virustotal.com/analis ... 4e0876172709be8e38e
     

  
  
  測試排名 (首2名) :
  計算方式為, 與原始檔報同一樣的名稱
  

  
  防毒軟體名稱

  成績*1

  
  
  1. BitDefender / (NOD32v2*2)

     (3/3)

     
     
  2. Ewido / VBA32

     (2/3)

     
     

  
  其他的都不排名了, 因為只掃到1個, 而且數量眾多, 沒有意思
  
  註 :
  *1 : 只考慮加了殼的3個樣本
  *2 : 大家會問, NOD32v2 報啟發, 對其他防毒軟體不公平
  的而且確大家可能會因此覺得這測試好像是偏袒NOD32v2, 但其實NOD32v2 的啟發式與傳統的特徵碼掃瞄很相似, 只要加了不認識的殼, 就無法偵測, 詳細可參考這篇http://www.avpclub.ddns.info/dis ... 73182&ptid=8577
  當然亦不排除NOD32v2對某些加殼樣本是啟發式偵測的, 更詳細的結果, 要待入庫後才知道, 因此有括號()
  
  樣本也公佈了, 希望各位不要用來害人, 亦要小心檔案
  因為, 檔案的圖示容易使其他人執行
  如因這些樣本導致的任何問題, 本人恕不負責
  
  [ 本帖最後由 000110 於 2008-2-23 22:36 編輯 ]
  

  Sample.rar
  (2008-02-23 22:33:41, Size: 143 kB, Downloads: 1)

  查看(1126) 評論(15)

• Eset 報 a variant of XXX 解說?

  2008-2-15

  本來打算寫一篇防毒軟體報啟發式的名稱, 但花了很多時間也只完成了數款防毒軟體
  所以就擱置了, 反而對Eset報啟發式的名稱有興趣
  
  看到 variant 這個字, 大概可以想到"變種"
  但是到底"變種"會是特徵碼依據的還是啟發式?
  
  事實上, Eset 報 variant 既是特徵碼依據又是啟發式
  以目前手上的樣本來分析, 仍然很難可以介定哪些報的名稱是特徵碼依據, 哪些報的名稱是啟發式
  
  但就目前來說, 大體上(80%可靠)
  特徵碼依據 : 類別名
  啟發式 : 包含子分類
  
  例如 :
  

  
  
  1. probably a variant of Win32/TrojanDownloader.Delf trojan
     底線間的是類別名, 所以這次報的"變種"是特徵碼依據
     
     
  2. probably a variant of HTML/Exploit.Agent trojan
     底線間的是類別名, 所以這次報的"變種"是特徵碼依據
     
     
  3. probably a variant of Win32/PSW.OnLineGames trojan
     底線間的是類別名, 所以這次報的"變種"是特徵碼依據
     
     
  4. probably a variant of Win32/PSW.Agent.NDP trojan
     底線間的照樣是類別名, 但斜體字是子分類,  所以這次報的"變種"是啟發式
     
     
  5. a variant of Win32/PSW.OnLineGames.NFN trojan
     底線間的照樣是類別名, 但斜體字是子分類,  所以這次報的"變種"是啟發式
     
     
  6. probably a variant of Win32/PSW.OnLineGames.NEP trojan
     底線間的照樣是類別名, 但斜體字是子分類,  所以這次報的"變種"是啟發式
     

  
  
  但是由於只有80%可靠, 所以會有例外
  

  
  
  1. a variant of Win32/Jalous worm
     底線間的是類別名, 但是這次報的"變種"是啟發式
     
     
  2. probably a variant of Win32/Genetik trojan
     底線間的是類別名, 但是這次報的"變種"都是啟發式
     

  
  
  總結而言,
  特徵碼依據的範圍較大
  啟發式的範圍會更仔細
  
  可能這些資料對長期使用Eset的人來說, 不是新鮮事
  但也希望給予補充
  

  查看(851) 評論(6)

• 防毒軟體測殼大亂鬥 結果公佈!

  2008-1-27

  引言 :
  首先感謝下列各位的熱心幫助
  a750828, andy, couldsst, Integear, Proll, shisin, SPeter, uegajde, 小韋, 無言啦
  如沒有他們, 這次測試一定不會如此順利
  
  測試模式 :
  這次測試以32款殼(包括 : 商業用及免殺用)測了30款防毒軟體
  測試樣本5個, 當中3個含惡意程式 (a,b,c), 2個是正常檔案 (d,e)
  分別有兩種測試模式 (1)預設設定 及 (2)最大設定
  預設設定 : 防毒軟體的預設設定
  最大設定 : 所有影響防毒軟體掃瞄的設定皆調較到最大
  
  圖表 :
  防毒軟體分別以最大設定及預設設定偵測樣本a, 圖示為最大設定及預設設的偵測率及預設設定的解殼率
  
  
  防毒軟體分別以最大設定及預設設定偵測樣本b, 圖示為最大設定及預設設的偵測率及預設設定的解殼率
  
  
  防毒軟體分別以最大設定及預設設定偵測樣本c, 圖示為最大設定及預設設的偵測率及預設設定的解殼率
  
  
  防毒軟體分別以最大設定及預設設定偵測樣本d, 圖示為最大設定及預設設的誤報率
  
  
  防毒軟體分別以最大設定及預設設定偵測樣本e, 圖示為最大設定及預設設的誤報率
  
  
  結果 :

  防毒軟體名稱	解殼名次
  VBA32	1
  Dr.Web	2
  F-Secure	3
  Kaspersky 7	3
  Avast!	5
  Kaspersky 8	5
  Symantec Norton	7
  江民	8
  Bitdefender	9
  金山	10

  防毒軟體名稱	誤報名次
  CA Anti-Virus	1
  Eset NOD32	1
  Panda	1
  FortiClient	4
  ArcaVir	5
  Trend Micro	6
  VBA32	6
  Avira AntiVir	8
  McAfee	8
  Symantec Norton	8

  測試的限制 :
  由於這次測試中, 樣本比較少而且不少防毒軟體未能偵測原始檔, 難以準確顯示出各防毒軟體的解殼能力
  
  簡評 :
  小弟不可能對全部軟體皆作出簡評, 故只揀選較多人使用的及明顯問題的防毒軟體, 簡評只局限這次測試
  Avast! : 解殼率不錯
  Avira AntiVir : 解殼率一般, 最大設定的誤報率 (主要是報殼)亦不算嚴重
  Bitdefender : 解殼率高, 是因為BHAVE的關係
  Dr.Web : 解殼率不錯
  Eset NOD32 :  解殼率高, 可惜處理上報的速度慢, 誤報率低
  F-Secure, Kaspersky 7 : 解殼率不錯
  Kaspersky 8 : 新增偵測殼的功能, 誤報率 (主要是報殼)因此上升
  Microsoft Live OneCare : 解殼率不錯, 對每種病毒有一定程度的研究, 加殼後會報"Gen"
  VBA32 : 解殼率好, 雖然(應該)是包括Kaspersky 的特徵庫, 但解殼率卻較Kaspersky 的高
  瑞星 : 解殼率不錯, 但未如中國論壇所說的那麼高
  
  FortiClient : 最大設定的誤報率 (主要是報殼)嚴重
  F-Prot : 最大設定的報殼程度高
  Ikarus : 偵測率極高, 但明顯不是解殼而成, 取特徵碼有問題, 導致誤報率極嚴重
  Sophos : 最大設定的報殼程度高
  
  
  
  PS. 遲了這樣多才公佈, 小弟各向位更萬二的的道歉
  PS2. 如需轉貼, 請註明轉載至AVPClub及列出感謝名單
  
  [ 本帖最後由 000110 於 2008-1-27 14:16 編輯 ]
  

  防毒軟體報的名稱 (預設設定).pdf
  (2008-01-27 14:14:15, Size: 110 kB, Downloads: 10)

  
  

  防毒軟體報的名稱 (最大設定).pdf
  (2008-01-27 14:14:15, Size: 119 kB, Downloads: 5)

  查看(8628) 評論(87)

我的主題

• 現在還使用 GDATA 2008 系列的使用者注意
• KIS 2009 Unicode 支援Bug?
• 論壇 bug
• GDATA 2009 行為監控簡評
• GDATA 的行為監控