引言 :
2009 由beta 1 版到目前的rc2版本改善的地方有很多, 與2008比較, 最為突出的有3項轉變
1. 界面
2. 引擎 及
3. 行為監控
而今次就是要探討的是2009的行為監控

技術 : 03/11/2008 補充
Of course we improved these function and yes most adware is blocked through
registry entries, but also the bevaviour is monitored so if some programs uses
algorithms like or similar to a keylogger or trojan it's also blocked. In
general we improved our search engines and our backub function is working
better than before. Of course GData tries to disinfect the files and tries to
block malware function and behaviour but that isn't always possible.

對比 2008, 這版本 (2009) 已改善這項功能.
事實上, 大部份 "廣告軟體" 會因為修改系統登錄資料而被封鎖, 除此之外, "行為" 亦被監控, 因此, 如果程式所使用的算法相類似鍵盤記錄程式或木馬程式被亦會被封鎖.
整體而言, 我們 (GDATA) 了改善 "搜尋引擎" 而 "備份功能" 亦較之前的版本好.
當然, GDATA 嘗試解毒檔案和嘗試封鎖惡意軟體的函式及行為, 但不是每次都成為功

測試 :
為了證明行為監控的能力, 小弟搜集了不少樣本, 而這些樣本都不會被特徵碼日期為21/8/2008所偵測.

樣本一 :
行為 :

引用:

建立檔案
目錄	檔案
C:\Documents and Settings\使用者名稱\Local  Settings\Temp\	.tt1.tmp
C:\Documents and Settings\使用者名稱\Local  Settings\Temp\	.tt6D.tmp
C:\Documents and Settings\使用者名稱\Local  Settings\Temp\	.tt1.tmp.vbs
C:\Windows\System32\	blphc35dj0erc1.scr
C:\Windows\System32\	lphc35dj0erc1.exe
C:\Windows\System32\	phc35dj0erc1.bmp
C:\Windows\System32\Restore\	MachineGuid.txt

引用:

建立註冊表
路徑	名稱	數值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run	lphc35dj0erc1	C:\Windows\System32\lphc35dj0erc1.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software  Notifier	InstallID	69f3c199-439e-4507-bc0b-2407cecad524
HKEY_CURRENT_USER\Control Panel\Desktop	ConvertedWallpaper	C:\Windows\System32\phc35dj0erc1.bmp
HKEY_CURRENT_USER\Control Panel\Desktop	SCRNSAVE.EXE	C:\Windows\System32\blphc35dj0erc1.scr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System	NoDispBackgroundPage	0x00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System	NoDispScrSavPage	0x00000001
HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen  Screen Saver	EulaAccepted	0x00000001

引用:

修改註冊表
路徑	名稱	數值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows  NT\CurrentVersion\SystemRestor	DisableSR	0x00000000
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell  Folders	AppData	C:\Documents and Settings\NetworkService\Application Data
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell  Folders	Cache	C:\Documents and Settings\NetworkService\Local Settings\Temporary  Internet Files
HKEY_CURRENT_USER\Control Panel\Colors	Background	0 0 255
HKEY_CURRENT_USER\Control Panel\Desktop	ScreenSaveActive	1
HKEY_CURRENT_USER\Control Panel\Desktop	Wallpaper	C:\Windows\System32\phc35dj0erc1.bmp
HKEY_CURRENT_USER\Control Panel\Desktop	WallpaperStyle	0
HKEY_CURRENT_USER\Control Panel\Desktop	OriginalWallpaper	C:\Windows\System32\phc35dj0erc1.bmp

引用:

網路連線

GDATA 的行為監控結果 :
成功偵測到 Startup 的行為

行為的詳細資料




成功把檔案移動到隔離區


樣本二 :
行為 :

引用:

建立檔案
目錄	檔案
C:\Windows\	1.bat
C:\Windows\Help\	B41346EFA848.dll
C:\Windows\Help\	B41346EFA848.exe
C:\Windows\System32\	2.bat

引用:

插入處理程序
目標程式	插入的模組
C:\Windows\explorer.exe	C:\Windows\Help\B41346EFA848.dll
C:\Program Files\messenger\msmsgs.exe	C:\Windows\Help\B41346EFA848.dll
C:\Windows\System32dllhost.exe	C:\Windows\Help\B41346EFA848.dll
C:\Windows\dns\sdnsmain.exe	C:\Windows\Help\B41346EFA848.dll
C:\Program Files\internet  explorer\iexplore.exe	C:\Windows\Help\B41346EFA848.dll

引用:

建立註冊表
路徑	名稱	數值
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32	(Default)	C:\Windows\Help\B41346EFA848.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32	ThreadingModel	Apartment
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}	(Default)	SSUUDL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks	{1DBD6574-D6D0-4782-94C3-69619E719765}

GDATA 的行為監控結果 :
無法偵測到可疑行為, 系統已感染




樣本三 :
行為 :

引用:

建立檔案
目錄	檔案
C:\Documents and Settings\All Users\Application Data\fyhilcnk\	nevedqfm.exe

引用:

建立註冊表
路徑	名稱	數值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run	dvZRWdGoeW	C:\Documents and Settings\All Users\Application Data\fyhilcnk\nevedqfm.exe
HKEY_CURRENT_USER\Software\Uninstall	dvZRWdGoeW	0x48BFA73A

引用:

開啟連接埠
應用程式	協定	連接埠
C:\Documents and Settings\All Users\Application Data\fyhilcnk\nevedqfm.exe	UDP	隨機

GDATA 的行為監控結果 :
無法偵測到可疑行為, 系統已感染



樣本四 :
行為 :

引用:

建立檔案
目錄	檔案
C:\Windows\System32\	j3ewro.exe
C:\	autorun.inf
C:\Windows\System32\	jwedsfdo0.dll
C:\Windows\System32\	jwedsfdo1.dll
C:\Windows\System32\	jwedsfdo2.dll

引用:

插入處理程序
目標程式	插入的模組
C:\Windows\explorer.exe	C:\Windows\System32\jwedsfdo2.dll

引用:

建立註冊表
路徑	名稱	數值
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run	jvsoft	C:\Windows\System32\j3ewro.exe

引用:

修改註冊表
路徑	名稱	數值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL	CheckedValue	0x00000000

引用:

下載檔案
URL	目標資料夾
http://www.12aas.org/xjj/cc1.rar	C:\Documents and Settings\使用者名稱\Local Settings\Temp\

GDATA 的行為監控結果 :
無法偵測到可疑行為, 系統已感染






結論 : 03/11/2008 補充
就這次所使用的樣本來看, 行為監控的效果似乎沒有想像中的嚴謹, 很多行為都無法攔截, 連自動執行的註冊表路徑也沒有完全監控, 看來GDATA 2009 行為監控似乎與2008的註冊表監控差不多, 可能僅是換個名稱而已.

得到官方說明產品的技術, 雖然不詳細, 但我們知道 GDATA 2009 行為監控是多方面的, 不只是註冊表. 可是, 由這個簡評可以反映出事實並未如官方所說的.

期望 : 03/11/2008 補充
作為使用者, 當然希望防毒軟體更完美, 尤其在現在的趨勢來看, GDATA 不應再單靠引擎的掃瞄來提高已知或未知的威脅, 既然已經早在2007時代加入註冊表監控的功能, 可惜功能仍有待進一步的改善.

另外, 在「技術」的最尾, GDATA 是有想過發展並應用 SandBox 技術在其行為監控, 可是, 他們似乎遇到障礙.

估計 :
由於這次的結果真是大失所望, 估計導致的原因有一 :
德文版GDATA  2009的行為監控僅對應德文版的Windows (可能是因為規則中的路徑都是德文...)
因此要待英文版釋出作進一步的測試

進一步測試結果 : 10/10/2008 補充
由於今天 G DATA 官方終於發佈英文版, 可以讓這個測試繼續以驗證之前提及的估計
可惜, 結果與德文版一樣, 即是說現在的 "System Protection" 仍然不是十分穩固

引用:

10/10/2008 加入「進一步測試結果」這內容
03/11/2008 補充「技術」,「結論」,「期望」這三項內容
Edited by 000110

[ 本帖最後由 000110 於 2008-11-3 15:16 編輯 ]

哦哦一不注意000110就發精品文章了 .

等英文版出的時候~再看看行為監控的效果~希望能在看到000110大的測試

最後一個是最新的KAVO 隨身碟病毒
GDATA 2009 無法擋嗎

引用:

原帖由 upside 於 2008-9-9 13:17 發表
最後一個是最新的KAVO 隨身碟病毒
GDATA 2009 無法擋嗎

對, 無法攔截行為

引用:

原帖由 000110 於 2008-9-9 19:25 發表

對, 無法攔截行為

這是真的嗎!

其實會用Gdis是看好它的雙引擎跟啟發,因為我的電腦我老婆跟小孩都會用到,就怕kis 8的啟發報告被看不懂通通按pass(comodo就更不用說了 ),真傷腦筋

由於今天發佈了 GDAV2009 英文版, 已補充之前所說的英文版測試, 結果在原文的尾部
圖片可能稍後再貼

另外, 「技術」這部份會在官方回覆電郵時更新, 請留意!

看來還是要再等了...
雖然偵測率高但無法攔截就...

技術這項終於都等到官方的回覆, 不過描述很簡單
亦因此補充不少部份