腾讯彩票讨论裙梦幻西游修业点计算器点修——CF怎么查看军衔的
点击联系发帖人
时间:2017-06-25 17:39
请完成以下验证码
查看: 6786|回复: 32
【腾讯电脑管家7.0卡饭独家测评】四万字鸿篇巨制!专业杀毒!QQ管家7.0深度纵向评测
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
00:08 编辑
&&为方便评分人员、各位读者阅览,笔者将整个网页另存为了网页HTML格式的文件,可以离线阅读,欢迎下载。
下载地址:& &
访问密码:HERGsi
由于标题无法容纳下更多字,所以此为真正标题:
【腾讯电脑管家7.0卡饭独家测评】四万字鸿篇巨制!智能管理、专业杀毒!——QQ管家7.0杀毒版深度纵评+Q管与国内外10款主流杀软大型万字技术性攻防横测!
1概述.jpg (80.12 KB, 下载次数: 11)
17:58 上传
原型jpg.jpg (72.54 KB, 下载次数: 9)
17:58 上传
本文组成:1.QQ管家7.0功能介绍与分析
①4+1全“芯”杀毒引擎
②全新修复引擎
③16层立体防护
④首页体检、软件管理改版
⑤深度优化系统垃圾清理与系统加速功能
⑥QQ管家云预警功能
⑦性能优化、资源占用减小
⑧全新安全网购功能
2.QQ管家深度纵向评测
①安装操作简易度、UI界面、交互度、用户体验②系统资源占用、性能优化程度③杀毒引擎测试
&&一.静态扫描测试&&二.染毒后的系统修复引擎与灭活能力测试&&三.未知文件云鉴定能力(管家云引擎)④网页挂马、恶意网站拦截能力 &&一.网页防挂马能力测试&&二.恶意网站防护能力测试⑤钓鱼网站、欺诈网站拦截能力&&&&一.对各网银、三方支付、假中奖、彩票、博彩等网站钓鱼防护测试&&二.对例如假小米、iphone等欺诈网站的拦截能力测试⑥恶意链接拦截测试⑦防御能力测试:&&&&一.网购安全防护测试(上网安全防护)
&&二.文件下载保护测试(上网安全防护)
&&三.QQ安全防护测试(上网安全防护)
&&四.搜索保护测试(上网安全防护)
&&五.网游安全防护测试(上网安全防护)
&&六.U盘防御测试(应用入口防御)
&&七.文件防护 三种防护等级分别测试(系统底层防护)
&&八.注册表防护测试(系统底层防护)
&&九.驱动防护测试(系统底层防护)
&&十.黑客入侵防御测试(系统底层防护)
3.& &QQ管家与国内外10款主流杀软的技术性横向攻防测试进行大型的横向主流杀软攻防测试
攻防测试开头.jpg (79.98 KB, 下载次数: 9)
15:13 上传
强调测试杀软的灭活能力、染毒后的系统修复能力、文件、注册表、驱动防护能力、以及对未知文件的响应速度等。攻防测试相关说明:攻代表的是病毒对系统的攻击,
防代表的是病毒免杀杀软的防。 具体方法: 1.提供该样本相关病毒行为,即样本行为简单描述,金山火眼动态样本分析系统日志报告,md监控日志报告。2.首先进行染毒前右键扫描,再双击病毒样本,测试杀软的防御能力,再关闭杀软监控或者完全退出杀软,直接运行病毒使其感染系统,再打开杀软进行快速扫描或者全盘扫描,检测是否成功修复系统。
四.QQ管家与主流恶性病毒(鬼影5、QQ黏虫等)对抗测试
& & &&写在最前:一年前参加金山区评测征文活动有幸在70多名参赛选手中获得第一名,时隔一年再回卡饭再次参加QQ管家主办的评测活动,我感到非常荣幸。我会继往开来、努力为大家带来一篇客观、真实的优秀评测文章,希望大家多多支持,不足之处还请多多批评、多多指正,谢谢!& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && & 卡饭ID:天道酬勤QQ& &&&(牛逸夫)
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &
【下一楼还有】
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
17:54 编辑
前言:《由2012年中国互联网安全界之变革 看QQ管家正式进军杀毒领域》
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &文/牛逸夫
前言.jpg (81.65 KB, 下载次数: 9)
18:05 上传
俯瞰中国安全软件业,2012年注定是不平凡的一年:
企业版方面:江民坚持收费策略向企业版转型,瑞星高管变动全面转战政府、大中小型企业版安全解决产品,此外金山毒霸与360也纷纷推出免费的企业杀毒软件布局企业版市场,试图以免费来抗衡以江民、瑞星为代表的国产企业版安软厂商;
个人版安软方面:金山毒霸通过与腾讯互推致使用户突破1亿大关,正面同360相抗衡;奇虎360部分用户被其他厂商蚕食但仍居中国安软市场占有率第一把交椅,腾讯QQ电脑管家推7.0杀毒版,完成从安全辅助向全功能安全软件的华丽转型;而国外安全厂商G-DATA、Avira、ESET、Kaspersky、AVG也纷纷进驻中国,加大在华投资以及加强本土化建设,试图在竞争十分激烈的中国市场分得一杯羹、稳坐一片席;
移动安全方面:360手机卫士、金山手机卫士、QQ手机管家形成三足鼎立局势霸占中国80%以上安卓、塞班客户端,而LBE安全大师、安全管家等安全产品分流10%左右的用户,剩下10%被国外厂商Kaspersky 、ESET、麦咖啡所占据。
&&不难看出,2012年是一个中国安全软件业的分水岭,任何厂商都站在风口浪尖上、都面临着极为激烈的竞争环境,无论是国内外安软厂商都试图夺得更多的市场份额,取得更大优势。
&&Change or die(要么改变,要么死亡)这句话生动的描述了中国当下安全领域的生存准则——何时变?怎么变?变什么?这正是困扰着诸多安全厂商的问题。
&&笔者认为:变在三点——即“免费”、“互联网化”、“主推杀毒”。
前两点——江民、瑞星就是因此没落;金山、360的崛起就是因此;而主推杀毒是每个安全厂商都必备的安全产品,此前以安全辅助为切入点的QQ管家此次布局此次杀毒领域,正标志着其完成了从安全辅助软件向真正意义上的杀毒软件的转型,也意味着腾讯正式进军杀毒软件市场。
& && &&&&&此次腾讯发布QQ电脑管家7.0(杀毒版),一石激起千层浪,一时间赞赏者有之质疑者亦有之;在新版本发布之际,笔者怀着同广大用户一样激动的心情——用亲身体验诉说产品优劣,以易用程度评断软件人性化与否,以一颗慧眼发现产品亮点!以客观角度评测产品!带领大家一起揭开QQ电脑管家7.0(杀毒版)的神秘面纱!
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &&&【下一楼还有】
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
17:56 编辑
正文(一)QQ管家7.0功能介绍与分析①:4+1全“芯”杀毒引擎②:全新系统修复引擎
正文 介绍 1 引擎.jpg (67.09 KB, 下载次数: 7)
18:12 上传
功能介绍: 本次QQ电脑7.0杀毒版较上一版本新添了腾讯自主研发的管家反病毒引擎,并深度融合入管家云引擎,本地引擎同云引擎相互配合。
此外,QQ管家还同国内厂商金山和国外厂商Avira合作,在QQ管家本地增加了小红伞引擎,并连接金山云引擎,各种本地、云引擎相互配合能够让查杀率得到一个质的提升。(如下图)
引擎.jpg (72.95 KB, 下载次数: 9)
15:04 上传
&&一款杀毒软件不仅需要有强大的查杀能力,更需要具有完美的灭活能力和系统修复能力以及病毒清除能力。&&&&因为一些恶性病毒经常会破坏或修改&开机启动项“、”HOSTS文件”、“硬盘引导扇区”、“文件类型关联”、“映像劫持&等,还可能会破坏或替换相关系统文件(例如svchost.exe),危害十分巨大。针对此,管家7.0的杀毒界面中加强的修复引擎,保障对于活体病毒的快速灭活和系统遭到破坏后的系统修复和病毒清毒流程。(如下图)
系统修复引擎.jpg (74.74 KB, 下载次数: 11)
15:04 上传
&&&&看法与分析:&&&&首先很高兴能够看到7.0杀毒版本中Q管能够推出完全自主研发的管家本地反病毒引擎,虽然一个全新的引擎还需要时间去不断磨合和加强,但我们已经看到这标志着管家由一个安全辅助软件向真正的杀毒软件的成功转型。&&&&此次的管家本地反病毒能够弥补和加强之前单一的Q管云引擎的缺陷和不足,例如Q管云引擎运用微特征(特征码的云查询),但这种引擎的免杀对抗能力不强,断网环境下对病毒没有任何查杀能力等(如遭遇大文件病毒、压缩包炸弹、强制断云等木马);而此次的本地引擎推出就很好弥补了这些缺陷。
观点:&&&&对于连接金山云引擎:现在腾讯与金山处于深度合作关系,金山的云引擎,水银平台,云鉴定器、鹰眼都较为成熟,可以有效的增加管家的检出率;金山云后台总监Charles告诉笔者现在Q管连接金山云是通过查询的方式获取检测信息,可以保障客户端的轻量化。&&
对于引入Avira本地引擎:笔者认为该引擎虽然有非常强的静态启发能力(一种静止状态下通过病毒的典型指令特征识别病毒的技术),能大幅度提高管家查杀率,但是多引擎对系统性能的确有一个不可小觑的影响,建议可以等到管家本地引擎成熟后将其去除,保障系统和软件的流畅程度。(如下图)
多引擎·金山 avira.jpg (23.92 KB, 下载次数: 18)
15:04 上传
总评:&&优点——多引擎结合是QQ电脑管家7.0的一大特色所在, ”2云引擎“+“2本地引擎”+修复引擎的结合能够大幅提高管家的检出率,云引擎”与“本地引擎”相结合可以相互弥补各自的不足,达到响应速度和查杀率、资源占用的最大平衡。 &&缺点——多引擎势必会带来系统性能的下降,Q管团队需要再不断优化系统资源占用和软件的使用流畅度;另外随着Q管自主引擎的不断成熟,可以将引擎数量减少到3款,保障系统性能。 &&评:虽然存在多引擎对系统性能的影响,但是不可否认Q管的多查杀引擎组合的确非常给力,各引擎之间能够优势互补,协调工作,共同提高病毒检出率。另外,针对引擎的相关测试会在文章后半部分给出。&&&&针对杀毒引擎的灭活测试、系统修复测试、病毒清毒流程测试会在后面的《QQ管家于国内外10款杀软大型攻防横测》中体现!关于管家引擎对于静态病毒的查杀能力会出现在后面部分的《静态病毒查杀测试》。&&
③:16层立体防护体系
正 防护.jpg (79.55 KB, 下载次数: 9)
18:12 上传
正 16层防护.jpg (74.31 KB, 下载次数: 15)
18:12 上传
功能介绍与解析:实时保护是一款杀毒软件必不可少的功能,能够在病毒触发或者侵害系统时拦截并查杀保障计算机安全。本次QQ管家7.0杀毒版本的防御体系围绕着”用户上网、应用入口、系统底层“三个大块展开,分别对应以下防护:
1.上网安全保护:主要用于保障用户上网和下载时的安全
防护 一号.jpg (43.57 KB, 下载次数: 14)
15:04 上传
QQ安全防护(QQ登录、运行时对于盗号木马的检测和拦截)
网游安全保护(包括网游运行前的系统快扫和运行环境检测,防止盗号木马和键盘记录器的运行)
网购安全保护(同Q管的网购财产保镖相配合,保障网购安全)
网页防火墙(拦截挂马网站、恶意网站)
文件下载保护(在文件下载到本地的时候对文件进行安全扫描)
搜索保护(检测百度、搜搜等搜索引擎的搜索结果是否安全)
2.应用入口保护
应用入口保护主要是防止病毒通过U盘等入口进入电脑,在入口处加入监控从而严格检测。主要包括
防护 2.jpg (17.13 KB, 下载次数: 10)
15:04 上传
桌面图标防护(防止病毒木马生成假淘宝、钓鱼导航等桌面图标诱导用户点击)
U盘防火墙(禁止U盘自动播放,防止U盘病毒交叉、重复感染电脑)
摄像头保护(防止木马程序打开摄像头偷窥)
ARP防护(防止局域网内的ARP攻击)
3.系统底层保护系统底层保护尤为重要,该监控能够从系统底层全面防御病毒入侵,保障计算机不受到病毒侵害。主要包括:
防护3.jpg (28.02 KB, 下载次数: 17)
15:04 上传
文件系统防护(分为”高“、”中“、”低“三种安全级别,监控文件的读写和执行操作,是最基础也是最有效的防护和措施)
注册表防护(防止病毒木马篡改注册表关键键值以达到自启动、文件扩展方式劫持等破坏目的)
漏洞防火墙(主动扫描系统中存在的漏洞并及时提示用户进行修复操作,及时push微软最新漏洞,保障计算机安全)
进程防护(扫描系统进程,查看是否有木马病毒或其他威胁运行)
驱动防护(防止病毒木马通过加驱方式获取系统最高权限,与病毒在Ring0层进行对抗)
黑客入侵防护(检测系统安全状态,发现系统中容易被黑客利用的”后门“,并提供安全加固方案,防止黑客的扫描端口、拦截黑客下载木马、拦截黑客远程控制)
看法与分析:&&&&本次QQ管家将系统监控升级到了16层,可以说是对系统有了一个较为全面的保护。不难看出,此次的更新突出强调用户的上网保护和应用接口的保护,而这种形式的保护本身也是在系统底层保护的基础上,根据用户使用习惯和木马病毒主要传播途径形成的,但其本质是系统底层保护的拓展和延伸(例如摄像头保护、网购防护、QQ安全防护等) 。&&&&所以笔者认为,QQ管家真正的核心防护是”文件系统防护“、”注册表防护“、”驱动防护“、”入侵防护“、”网页防火墙“。这几层防护核心组合构成了QQ管家的防护体系,并以此为框架延伸拓展了其余的十一层防护。(如下图)
互相协调.jpg (83.49 KB, 下载次数: 6)
15:42 上传
&&1.基于核心防护体系的构造:目前各个防御之间的协调还没有做到极致——QQ管家监控方面还需要不断的加强各防护之间的联系,真正做到一个互补性,强调核心防护充分协调形成一个完整的防御体系。&&&&例如网页防火墙,即使遭遇利用脚本漏洞、伪装成页面元素、脚本调用com组件、渲染界面格式溢出的释放木马和下载木马等挂马方式时,网页防护没有拦截到,木马被下载到本地也能通过下载保护或者文件监控将其删除,即使病毒仍然突破文件监控运行,也需要让驱动防护拦截其加驱操作,让木马成为一个”纸老虎“。&&&&&&这样的防御体系可以做到:即使遭遇一个恶性木马,其也需要经过监控的层层阻拦,从而让木马的下载、运行变得非常困难。即使木马成功运行,也可以通过查毒引擎的快速灭活、系统修复、病毒清除流程,真正做到防护体系和灭活、查杀、修复体系一体化,全面加强协调。
总评: 优点——多层防护架构,通过核心防护体系的拓展和延伸能够较完全的保护系统。 缺点——还需要加强各个监控的协调和关联、加强监控同查杀的协作(例如监控发现可疑威胁后立刻进行快速灭活操作)
&&评:系统实时防护体系作为防护木马病毒入侵的第一道屏障,所以显得尤为重要。此次的实时防护更新不难看出Q管做了诸多的加强,最大的优点在于基于核心监控延伸和扩展出多项的监控,让防御更加全面。当然也存在各监控协调力度不够的缺憾,相信管家团队会不断的弥补这个缺点。&&
关于QQ管家监控的测试会在后面的《QQ管家大型纵向评测》跟《QQ管家与国内外10款杀软横向攻防测试》中体现!&&④首页体检、软件管理改版
总 首页体检.jpg (76.93 KB, 下载次数: 12)
18:12 上传
&&此次的更新优化了操作流程,使得一键体检更加方便,右侧快速通道也让各种工具的使用变得更加便捷。其中软件管理的“专题”栏目做得很有特色,精选软件、下载排行很清晰,并融入手机管家,方便有智能手机的用户通过QQ管家管理手机、下载软件等。
⑤深度优化系统垃圾清理和系统加速功能
介绍与分析:
系统垃圾:是一种会不断随着使用时间的增加而变多的垃圾文件。其是各浏览器的上网缓存垃圾、视频、音乐垃圾、Windows系统产生的临时文件等,这些垃圾会不断增长占用系统空间。而如果是处于C盘的垃圾则会因为C盘容量的不断减小进而影响到系统速度。(如下图)
垃圾清理.jpg (83.71 KB, 下载次数: 9)
15:04 上传
&&系统加速:包括开机加速和系统加速以及网络加速的统称,Q管会根据当前系统配置对”开机启动项“、”系统设置和内存配置“、”网络设置“等进行优化,从而提升系统速度。(如下图)
电脑加速.jpg (77.57 KB, 下载次数: 9)
15:04 上传
&&观点:当下许多用户的计算机都面临着这样的尴尬问题——系统越用越慢,新系统不到一个月又变得十分卡、开机速度慢的如蜗牛让人心急、C盘容量频繁提示不够等。而最常见的问题就是很多用户抱怨系统很慢很卡,而Q管的垃圾清理和加速功能就能够很好的帮助用户解决这样的问题,而且操作方便,易于使用。
&&总评:&&
优点——垃圾清理项全面,加速涉及网络、开机、系统加速,操作方便易于使用&&&&缺点——电脑提速仍然是对各种设置的优化,无法让电脑速度得到大幅度的提升
评:导致计算机卡、慢的原因有很多,QQ管家的垃圾清理跟系统加速功能能够帮助普通用户方便的进行清理和加速工作,然而这些通过更改设置的提速用户感觉并不明显。用户最直观的感受是什么?是我打开一款软件的速度,它“卡不卡”?我优化前后有何变化?&&所以要做好系统提速就需要专注于用户对提速的体验。&&建议QQ管家团队可以根据用户机器配置推出“虚拟盘”,主动记录用户常用软件,事先加载到内存中(类似于windows7的预加载机制),提高打开和运行速度,真正从用户层让用户感觉到加速的明显度。
⑥QQ管家云预警功能&&(备注:笔者曾与市场部约稿关于云预警功能的文章,关于此功能的详解文章可见我在卡饭论坛发表的《智能响应、云端扫描、提前预警——QQ管家云预警功能评测》,有兴趣的读者可以自行查找,这里只专注于介绍、优缺点分析与总结,不再赘述& &帖子链接: )
&&&&功能介绍:&&&&很多人都有一个疑问,什么叫做云预警?&&
正 云预警.jpg (76.62 KB, 下载次数: 11)
18:12 上传
笔者认为:云预警的实质就是以增量式技术在全网进行监控部署,在用户计算机空闲时提前进行预扫描,对可疑文件进行一个威胁分级,并将用户计算机中可疑的文件上报到云端进行分析。从而可以使QQ管家的云端更快的发现潜在在的威胁,以实现流行木马响应的最快化。它的最大特点是主动进行云鉴定,体现其前摄性,而不是等到木马发作后才去扫描、拦截、响应。
&&分析部分: &&最新的云预警系统通过客户端来收集最新样本,减轻了客户端的负担:其将特征码全部放置云端,实时监控以及扫描时会查询云端服务器,若判定为未知威胁则主动上报到云端。云端在分析完成、响应后,QQ管家会自动进行一次回扫,确保未知威胁被精准识别,从而使流行木马被即使发现、绞杀。
&&& &QQ管家云智能预警系统的特点主要体现在三个方面,分别是:智能扫描、云端响应、提前预警。下面笔者就从这三个方面来详细分析。 & &
1.智能扫描部分 & &根据笔者观察发现,智能扫描分为两部分。
&&一是QQ管家会自动识别当前计算机的使用状态,当计算机处于空闲状态时,QQ管家的云引擎会进行后台扫描,主动揪出可能存在威胁的文件并发送到云端进行分析,从而快速确定用户计算机中的文件安全与否。&&&&二是QQ管家在自动上报可疑文件之后,会自动进行云端鉴定。当云端鉴别完成之后,会向客户端发出回扫的指令,及时绞杀已经响应的威胁从而保障用户计算机安全。
&& 2.回扫部分
& &在QQ管家进行第一阶段的“预扫描”之后,会发现一些可疑的文件,管家将此类文件汇报到云端,然后云端进行文件分析。当文件分析完成之后,会向客户端反馈鉴定结果。此时客户端收到云端的指令后,会对刚才检索出的可疑文件进行回扫,如果发现文件特征与云端已知威胁特征相匹配,此时QQ管家便会弹出警告窗并清除此威胁。 &&云预警具体流程如下图
云预警流程图.jpg (102.87 KB, 下载次数: 7)
15:55 上传
优点——前摄性扫描能够通过增量式技术在全网进行监控部署,获取更多可疑文件样本。 缺点——本质是一种回扫技术,或者说是闲时扫描。希望今后的云预警技术能有更大的突破&&&&评:综上所述,云预警是一个以增量式技术在全网进行监控部署,在用户计算机空闲时提前进行预扫描,对可疑文件进行一个威胁分级,并将用户计算机中可疑的文件上报到云端进行查询。 简而言之,是一个回扫功能。(跟Tencent Research 的一位Leader对了一下云预警技术的概念,确保无误) ⑦资源资源占用减少,优化性能
正2 资源占用.jpg (93.26 KB, 下载次数: 4)
15:57 上传
&&&&正如前文所说,6.X版本的QQ管家资源占用很大,在扫描时多引擎造成CPU占用较高,所以给用户造成了明显的卡滞感,严重影响了用户体验。 & &7.0版本的QQ管家较上一版本进行了大幅度的优化,资源占用中:静态内存占用由58m 减少到了 30 m,扫描时内存占用由120 m 降低到了 102 m,CPU闲时占用为1~3%,全盘扫描时资源占用为50%;(备注:为虚拟机内运行数据,配置为奔腾D 2.8GHZ、2GB内存)&&
&&这样的资源占用减少给予用户最直观的感受就是流畅了许多,不仅减少用户电脑的负担,也能够让计算机分配更多资源用于用户的使用。& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &&&【下一楼还有】
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
17:56 编辑
①安装操作简易度、UI界面、交互度、用户体验
&&安装包大小:QQ管家7.0杀毒版本的安装包大小保持在32M,较上一版本的40余M有了明显的瘦身,安装后大小达到了180M(笔者并没有下载Avira本地库),这样的安装包大小在当下的主流配置环境下都是可以接受的。(如下图)
正 安装包.jpg (74.28 KB, 下载次数: 11)
15:22 上传
&&& && &但如果Q管团队能将这个大小继续优化,把安装包做到20M以下、就能够更加方便和简化用户的安装流程和减少时间;对于功能可以实行模块化安装,精简不常用的功能。
此时管家团队的PM和SPE可能会问:那用户感觉到要使用的功能加载很慢怎么办?理由是因为要进行模块的下载和安装。
&&其实这个很好解决:1.根据用户使用习惯,在用户打开主界面的一刻就进行预加载;2.继续优化瘦身模块的安装包大小,深度挖掘模块安装潜力。
&&安装过程:双击安装包进行安装,整个安装流程非常简单、顺畅,没有繁杂多余的选项,安装过程中还会展现新版本的最新功能,图文并茂方便用户快速了解最新功能;
&&安装完毕后管家会推荐安装金山毒霸猎豹版,这是腾讯和金山深度合作的一个互推项目,笔者推荐用户将金山毒霸同Q管配合使用,以达到优势互补的目的。(如下图)
正2 安装过程.jpg (86.56 KB, 下载次数: 4)
15:22 上传
正2 安装过程 2.jpg (82.45 KB, 下载次数: 13)
15:22 上传
主界面:之后主界面便会映入眼帘,腾讯系软件的UI界面和用户体验一直做得非常优秀——各级TAB栏层次分明,界面布局合理、图形化界面便于操作。(如下图)
正2 主界面.jpg (69.92 KB, 下载次数: 3)
15:22 上传
“首页”显示一键体检功能,系统安全状况一目了然;右侧放置快速功能通道,方便有需求的用户直接打开应用(如下图)
正2 首页体检.jpg (81.64 KB, 下载次数: 7)
15:22 上传
&&一级TAB栏包括“首页”、“杀毒”、“实时防护”、“修复漏洞”、“系统清理”、“电脑加速”、“软件管理”、“电脑诊所”、“工具箱”,不同TAB栏对应不同功能,图形化界面可以帮助引导普通用户进行正常使用;
&&值得一提的是,TAB栏图标存在精美的动画效果,例如在“杀毒”栏中进行查杀操作,当切换到其他TAB栏时,杀毒图标会显示正在扫描的状态,十分人性化。
&&另外,Q管UI组提供了八套精美皮肤供用户选择,并可以通过自定义选择更多皮肤,例如将图片作为皮肤底色等;
&&但管家的现有UI界面仍然存在缺陷——TAB栏切换的流畅度有待增强,例如在首页切换到“修复漏洞”、“系统清理”、“电脑加速”这样的TAB栏时,会有1-3秒的延迟才会显示(测试机型、中端配置台式机),这点需要管家团队再不断的深度挖掘性能潜力
交互度:Q管7.0的一大优点就是交互度,主要是通过弹窗的方式同用户进行交互或者通知,例如安全服务、软件、插件安装时的绿色弹窗提示、高危风险时的选择性黄色警告弹窗、漏洞修补、木马发现等危险红色弹窗、颜色分明,内容详尽,易于交互操作;用户使用时的安全感便油然而生;
&&另外Q管在贴心和人性化程度上做到了极致,例如“健康小助手”可以温馨告知用户进行休息或者保护视力等贴心提示。
正2 健康小助手.jpg (66.05 KB, 下载次数: 6)
15:22 上传
&&虽然Q管的弹窗交互度很好,但仍然存在不足的地方,希望管家团队尽快改进。例如一个PPTV软件,在安装完成后,QQ管家会弹绿色弹窗表示是安全的启动项正在添加,但很多用户不希望这类软件自启动,QQ管家是否能在这类弹窗中加入一个禁止自启动的选项呢?
②系统资源占用、性能优化程度
&&笔者认为,一款好的杀软不仅需要具有良好的监控、查杀、灭活、修复能力,还应该在强大功能的基础上,让软件本身保持低资源占用和优越的性能。
正2 资源占用.jpg (93.26 KB, 下载次数: 11)
15:22 上传
&&我们试想,一款杀毒软件的存在意义是用于计算机的安全防护,它处于系统最底层;而用户是因为需要电脑正常的娱乐、工作却怕被病毒侵扰而不得已安装杀毒软件的。&&
&&如果一款杀毒软件安装后,让整个计算机性能大幅度下降,导致用户的正常娱乐、工作都受到影响,那么这样的安全软件是否让计算机的资源分配本末倒置了呢?
&&所以,一款杀毒软件的性能优化程度跟资源占用十分重要,它直接影响到用户的使用体验。
&&测试方法:
&&1.静动态的内存与CPU占用情况
&&笔者通过Windows自带的任务管理器监控QQ管家在闲时、忙时分别的资源占用情况,并在相同配置的机器中多次实验,取平均值以保障数据的可靠性、准确性。
经过10次反复测试,我们取平均值得到的数据如下:
静态时,系统内存资源占用为31m,CPU占用率为0%~1%
动态扫描时(闪电扫描),系统内存资源占用为130m,CPU占用率为49%~72%
扫描 快.png (30.18 KB, 下载次数: 6)
15:38 上传
扫描 完全.png (31.24 KB, 下载次数: 6)
15:38 上传
静态.png (31.5 KB, 下载次数: 9)
15:38 上传
静态 打开主界面.png (30 KB, 下载次数: 3)
15:38 上传
&&结论:由此可见,QQ管家7.0版本对于系统优化较上一版本有了明显提高,性能方面尤其是静态环境下的内存占用得到了大幅减小,但动态扫描的资源占用会偶尔飙升到60%左右,会有轻微的卡滞感,这点还需要管家团队再不断的加强和优化,期待新版本能够看到管家团队继续深度挖掘性能优化潜力。
&&2.软件打开的速度、各级TAB栏切换速度、修补漏洞、杀毒等操作的速度
&&此项考验杀毒软件的UI优化程度与软件性能的优化,主要方法是计时打开主界面、开启杀毒、漏洞修补等时间,并多次测试取平均值,客观判断QQ管家性能是否优异、操作是否流畅。
&&经过10此反复测试,得到的打开速度平均数值如下:
资源占用excel.jpg (19.19 KB, 下载次数: 9)
15:38 上传
结论: UI界面给我的总体感觉流畅,但当打开系统修复、电脑提速TAB栏时,会有轻微的卡滞、希望管家团队UI组能够继续挖掘UI潜力,优化性能、加快响应速度。
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &&&& && && && && &&&【下一楼还有】
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
18:01 编辑
③杀毒引擎测试&&&&&&引擎是一款杀毒软件的核心和灵魂,它能够识别并绞杀计算机存在的病毒,修复被病毒所破坏的系统、完美清除病毒、及时响应新出现的病毒或者变种。&&&&所以评判一款引擎的好坏不外乎三点:“静态扫描的查杀率、染毒后的灭活、修复、清毒能力、对于新病毒的响应速度“。&&&&笔者将对管家云引擎与管家本地引擎进行测试(备注:为使成绩不受其他引擎影响,人为关闭管家的”金山云引擎“跟”Avira本地引擎“),测试项目分别为静态扫描测试、染毒后的系统的修复能力测试、染毒后的灭活能力测试以及染毒后的病毒清除流程测试,以及对于最新病毒或变种(灰文件)的响应能力。 && 一.静态扫描测试& && &测试说明: & &在国内选取50个病毒样本,包括流行的QQ黏虫样本及变种、网购木马样本及变种、Q币大盗样本、伪快播样本等,gh0st远控、Lpk病毒样本、最新鬼影变种(鬼影4)、绑毒DNF外{过}{滤}挂等样本,这些样本能够大致反映国内主流病毒威胁、拥有较好的代表性。(备注:样本在精不在多,50个高质量样本要比500个低质量的样本的测试意义要大很多)
&&所扫描木马病毒种类列举:
种类.jpg (17.79 KB, 下载次数: 6)
01:32 上传
扫描策略概览:(开启不同引擎得到不同成绩)
QQ截图15.jpg (23.6 KB, 下载次数: 12)
01:32 上传
1.jpg (165.93 KB, 下载次数: 4)
22:15 上传
全部样本(如上图)
总览 界面.jpg (72.18 KB, 下载次数: 2)
22:15 上传
最新版本.jpg (83.96 KB, 下载次数: 5)
22:15 上传
总体扫描设置概览(如上图)
1扫 Q管自身.jpg (93.86 KB, 下载次数: 12)
22:15 上传
第一次扫描(Q管本地引擎+Q管云引擎)关闭金山引擎 avira引擎(如上图)
avuira.jpg (73.13 KB, 下载次数: 11)
22:15 上传
打开Avira引擎
AVira 44.jpg (95.95 KB, 下载次数: 6)
22:15 上传
第一次扫描 打开Avira Q管本地 云引擎 关闭金山引擎(如上图)
QQ粘虫.jpg (61.32 KB, 下载次数: 8)
22:15 上传
对于QQ黏虫样本的右键扫描测试,QQ管家成功劫杀(如上图)
网购木马.jpg (59.83 KB, 下载次数: 9)
22:15 上传
对于网购木马样本的右键扫描测试,QQ管家成功劫杀(如上图)
Q管 自身 3.jpg (98.42 KB, 下载次数: 4)
22:15 上传
Q管自身4.jpg (100.3 KB, 下载次数: 12)
22:15 上传
Q管 自身2.jpg (96.79 KB, 下载次数: 8)
22:15 上传
Q管自身引擎的扫描结果(如上图)
Q管二扫.jpg (95.09 KB, 下载次数: 12)
22:15 上传
QQ管家二次云扫描,测试云响应 (如上图)
连接 金山 2.jpg (97.96 KB, 下载次数: 8)
22:15 上传
连接 金山云.jpg (95.47 KB, 下载次数: 5)
22:15 上传
Q管 链接金山云引擎 扫描结果(如上图)
总 结果.jpg (47.05 KB, 下载次数: 8)
22:15 上传
QQ管家最终查杀结果 44/50 查杀率88%(如上图)
总扫描成绩(表格)
测试结果:
&&经管家静态扫描测试,共识别出44个病毒、其中20分钟后测2次扫描,识别数为44个,较一扫没有增加,加入金山云后识别率为:一扫88%、二扫仍然为88%;最后添加Avira引擎,还是88%;笔者注意到链接金山云引擎和avira引擎后,查杀率并没有增加,可能是金山与avira是扫描Q管判断为威胁之后再进行扫描剩余的样本;
可见管家的静态扫描查杀率还是令人非常满意的,多引擎的优势在此处便一下子显现出来,能够很好的让各种引擎之间进行优势互补。&&但是Q管需要将多引擎查杀的资源占用进一步降低,以让用户得到更大的性能提升。& && &&&二. 染毒后的系统修复引擎与灭活能力测试&&&&笔者在前文中阐述引擎的重要性时,曾经强调评判一款引擎好坏的一项重要指标就是染毒后的系统修复能力、快速灭活能力和清毒流程。这三点决定了引擎关键项指标,而本次测试也将遵循这样的一个原则来进行。&&&&测试方法:提供10枚样本进行测试(包括1枚QQ黏虫样本以及变种,1枚鬼影3样本、4枚网购木马样本,1枚伪快播和其他木马3枚)&&并附带金山火眼病毒分析报告或CIMA分析报告,MD日志,先运行病毒,然后10分钟后重启,确保病毒行为完全跑出行为(虚拟机环境,自带QQ等第三方常用软件,确保行为跑全)&&然后打开QQ管家进行灭活快扫,查看是清除成功、残留或者失败。&&
下面给出判定具体依据: &&1.成功:必须是Q管成功杀掉病毒母体后重启 保证病毒生成的文件 启动项 注册表等已经清除并且修复对系统的破坏; &&2.残留:残留必须是在杀毒后重启,保证没有病毒运行,但是没有查杀病毒母体或者存在启动项、注册表、病毒衍生物有残留。 &&3.失败:在快速扫描后重启电脑如果病毒仍然在运行就说明灭活失败 &&4.具体判断依据:火眼、CIMA或MD的分析报告或日志
正式攻防测试:
样本一:VIRUS(28) 自命名 Win32.Trojan.OnlineGamePSW.28具体行为:(火眼)
火眼--结果分析--virus
28 .exe-172149.png (206.3 KB, 下载次数: 16)
17:22 上传
文件名称:virus (28).exe文件哈希:0f2c571cfef9d2c2cf6e文件大小:1013137字节创建时间: 17:00:34文件类型:EXEPEID信息:Nothing found [Overlay] *公司描述:Sogou.com Inc.文件描述:搜狗拼音输入法 快捷输入文件版本:5.2.0.5225版权所有:© 2011 Sogou.com Inc. All rights reserved.原始文件名:QuickInput.exe产品名称:搜狗拼音输入法产品版本:5.2.0.5225
& && &疑似查找游戏进程;疑似查找浏览器;检测是否存在指定注册表键
行为描述:疑似查找游戏进程
附加信息:ACLIENTM.EXE [预言Online]BO.EXE [刀剑online]CA.EXE [泡泡堂]CABALMAIN.EXE [惊天动地]CDCGAMES.EXE [特种部队]CLIENT.EXE [洛奇/龙OL]CLIENT.EXE [蜀门]CLIENT.EXE [降龙之剑]CROSSFIRE.EXE [穿越火线 ]CROSSFIRE.EXE [穿越火线]CSTRIKE.EXE [反恐精英]DNF.EXE [DNF游戏进程]ELEMENTCLIENT.EXE [完美世界/诛仙/等游戏相关进程]GAME.EXE [剑侠世界]GAME.EXE [天龙八部、QQ音速、英雄岛封测版、神魔大陸]GAME.EXE [神泣]GAME.EXE [神鬼世界Online]GAME.EXE [[在论坛广告被屏蔽]]GAMEFREE.EXE [剑侠情缘]GONLINE.EXE [SD敢达]GVONLINE.BIN [大航海时代online]LATALECLIENT.EXE [彩虹岛]MAFIA.EXE [天黑请闭眼]MAIN.EXE [飄流幻境Online]MIR1.DAT [传奇1进程]MXMAIN.DLL [梦想世界]MY.EXE [梦幻西游]QQFFO.EXE [QQ自由幻想]QQFO.EXE [QQ幻想]QQSG.EXE [QQ三国]RA3.EXE [红色警戒3]SOUL.EXE [魔域]SRO_CLIENT.EXE [丝路传说]TTY3D.EXE [QQ寻仙]WOOOL.DAT [传奇世界]WOW.EXE [魔兽进程]
行为描述:检测是否存在指定注册表键
附加信息:HKEY_LOCAL_MACHINE\Software\SogouInput行为描述:疑似查找浏览器
附加信息:360浏览器傲游浏览器搜狗浏览器
镜像劫持 互斥体 远程注入、远程线程注入 提升权限 inline hook 函数入口代码 恢复函数入口代码 启动宿主进程
对本报告内容评价打分:
当前平均分:打分后显示
-5 -4 -3 -2 -1 0& &1 2 3 4 5
对本报告中提及的样本威胁性打分:
当前平均分:打分后显
QQ管家快速灭活情况:进行快扫灭活成功是否有残留:没有
攻防总结果:在病毒行为跑全,对系统造成完全感染后,使用QQ管家快扫进行对系统的快速扫描的灭活操作,结果QQ管家将病毒母体以及衍生物全部清楚,对所破坏的系统进行了完整的修复,清毒流程完美,没有残留。病毒主要查找游戏进程;疑似查找浏览器;检测是否存在指定注册表键,但虚拟机中并不存在这些第三方软件,所以部分行为未跑出。是一枚网游盗号木马。
重启后,病毒消失。灭活成功
QQ截图49.jpg (10.82 KB, 下载次数: 10)
01:39 上传
样本二: 样本信息:主要包括 样本大小、是否有数字签名、MD5值等
01.jpg (107.96 KB, 下载次数: 8)
22:30 上传
具体行为:金山火眼跑出的行为:运用金山火眼在线自动化动态样本分析系统分析木马行为,为后面对于木马的快速灭活操作做铺垫;
火眼--结果分析--nyftest (31).exe.png (58.61 KB, 下载次数: 8)
22:44 上传
MD样本:运用HIPS软件MD的日志,打开学习模式记录病毒完全行为。目的:完全记录病毒行为,便于后续灭活操作时对于灭活成功/残留/失败的甄别
5.jpg (159.53 KB, 下载次数: 3)
22:30 上传
6.jpg (95.39 KB, 下载次数: 17)
22:30 上传
7.jpg (208.31 KB, 下载次数: 9)
22:30 上传
8.jpg (199.99 KB, 下载次数: 9)
22:30 上传
9.jpg (215.92 KB, 下载次数: 12)
22:30 上传
10.jpg (189.75 KB, 下载次数: 8)
22:30 上传
11.jpg (204.62 KB, 下载次数: 8)
22:30 上传
12.jpg (183.65 KB, 下载次数: 2)
22:31 上传
13.jpg (102.51 KB, 下载次数: 4)
22:31 上传
QQ管家快速灭活情况:先关闭QQ管家的监控 让病毒充分感染计算机 然后5min后等待病毒行为完全跑出后进行重启操作,确保完全模拟用户真实染毒环境,然后打开QQ管家进行闪电扫描,从而进行快速灭活操作。(如下图)结果:QQ管家成功揪出病毒并完成染毒后的系统灭活操作,病毒清除流程很完美。
19.jpg (107.44 KB, 下载次数: 8)
22:31 上传
(1)病毒的信息,以及运行病毒时IE的警告提示(上图)
2.jpg (102.4 KB, 下载次数: 6)
22:30 上传
4.jpg (100.27 KB, 下载次数: 3)
22:30 上传
(2)双击运行样本,QQ管家迅速拦截,之后病毒报错退出(上图)
17.jpg (111.61 KB, 下载次数: 9)
22:31 上传
16.jpg (99.54 KB, 下载次数: 6)
22:31 上传
之后 让病毒完全感染系统 然后进行快速扫描进行灭活测试(上图)
18.jpg (96.38 KB, 下载次数: 13)
22:31 上传
20.jpg (92.46 KB, 下载次数: 5)
22:31 上传
QQ管家拦截病毒,并成功跑完病毒清除流程是否有残留:使用内核工具powertools查看系统关键项和根据MD的行为查看病毒是否有残留(如下图)结果:没有残留,病毒灭活成功。
15.jpg (112.32 KB, 下载次数: 10)
22:31 上传
14.jpg (132.97 KB, 下载次数: 3)
22:31 上传
QQ截图28.jpg (12.99 KB, 下载次数: 2)
01:39 上传
(限于版面排版需求 暂时只提供2枚样本的攻防细节,更多的Q管攻防测试将在后面的《Q管与国内外10款主流杀软大型横向攻防测试》中体现,请谅解)
三. 其他项:云引擎原理、引擎扫描速度、对于Rootkit木马等的检测能力评测& & &&1.QQ管家云引擎 与 测试
腾讯Q管云引擎对于文件的查询流程具体我不是很清楚,因为其一我不是内部人员,其二是我没有拿到内部的技术资料(商业机密也不可能给我这些技术资料);
但我可以根据一些特征来帮助大家一起推断Q管云引擎的查询流程——
猜测一:大致是对于10M以下的样本直接查询MD5值,10M以上文件拆分MD5查云;猜测二:不是根据MD5查询而是根据微特征,此处微特征就是指根据管家自己的一套算法找文件特征码然后查云,且大文件可查,但30M以上的文件不上传。猜测三:流程很复杂,黑文件根据微特征查云,白文件查询MD5(10M以下直接查询,10M以上拆分MD5查询,灰文件自动上传到云端进行鉴定,30M以上不上传)
笔者挑选了三个具有代表性的样本进行云鉴定测试。&&&&一是将三个样本进行扫描,然后修改MD5再次扫描看扫描结果。样可以说明管家是否为纯MD5云;&&&&二是挑选了大小为1M、10M、30M(压缩包炸弹)这样三个样本,进行云引擎的扫描,管家全部报安全;30分钟后测试二扫结果为1M、10M样本报毒,30M样本无变化。& &&&测试结果:可以证明,管家的云绝不只是MD5那么简单,或者说根本不是MD5云查询而是根据管家自己的一套算法查询特征码并和云端比较(微特征查杀);若为白文件再比对MD5,若为灰文件则
& &上传到云端进行进一步的鉴定(备注:30M以上不会上传,文件的上传存在选择性)& &可见管家7.0的云绝对不是单一的MD5查云(10m以上拆分MD5查云),而是运用管家自己的一套算法,提取文件特征码然后同云端进行比对从而得到结果。& &
2.QQ电脑管家扫描速度
& &一款引擎的扫描速度、清毒流程速度、快速灭活速度、系统修复速度也关乎着一款杀软的成败,本测试将测试出QQ电脑管家的闪电扫描速度 完全电脑扫描速度 以及系统修复流程和病毒清毒流程速度 放出数值供大家参考&&& & 扫描机器配置情况:
机器配置.jpg (32.08 KB, 下载次数: 4)
01:40 上传
第一次快速扫描:时间24 S
1 快扫 24秒.jpg (94.16 KB, 下载次数: 6)
01:40 上传
处理.jpg (72.64 KB, 下载次数: 7)
01:40 上传
第一次 全盘扫描:12分38秒(硬盘文件较少,主要存在于C盘)
全盘扫描 过程.jpg (79.41 KB, 下载次数: 7)
01:40 上传
全盘 12.38.jpg (91.48 KB, 下载次数: 14)
01:40 上传
结果.jpg (51.51 KB, 下载次数: 4)
01:40 上传
速度.jpg (17.35 KB, 下载次数: 10)
01:32 上传
结论:可见,QQ电脑管家引擎的扫描速度方面,无论是全盘扫描还是闪电扫描,速度都非常快(这也跟笔者机器内文件数量不多有关),另外,管家利用了类似于“智扫”或这卡巴斯基的&iswich&/&icheck:扫描技术,提高了扫描速度。&&这种技术简而言之就是:记录一扫过程中无变化的白文件,在二次扫描中直接跳过,以达到提高扫描速度的目的。
&&最后说一句:有一些热心的饭友问我为什么不做免杀对抗测试,这里我解释一下。事实上:对于单一杀毒软件的免杀对抗性测试毫无意义。因为每一款杀软引擎的识别手段和方式各不相同,即使成功免杀但病毒最终都是要跑起来的,一些加驱、访问底层磁盘、创建互拆体等动作还是会被杀软拦截掉。【下一楼还有】
(750.83 KB, 下载次数: 13)
22:30 上传
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
18:02 编辑
④网页挂马、恶意网站拦截能力
一. 网页防挂马能力测试
&&二. 恶意网站防护能力测试
&&首先在这里简单科普一下网页挂马的原理,方便对挂马不了解的读者:挂马就是网页病毒利用网页来进行破坏的病毒木马,它存在于网页之中,其实是使用一些Script语言编写的一些恶意代码利用IE的漏洞来实现病毒植入,并最终将木马下载至用户计算机且执行。
&&评测说明:挑选了40个挂马网站,包括利用脚本漏洞、伪装成页面元素、脚本调用com组件、渲染界面格式溢出的释放木马和下载木马等挂马方式,另外检测在完成木马下载后,管家对于防止木马运行的能力。
8s.jpg (105.6 KB, 下载次数: 19)
17:52 上传
挂马网站测试 1
7 s.jpg (101.04 KB, 下载次数: 13)
17:52 上传
挂马网站测试 2
4 s.jpg (101.38 KB, 下载次数: 10)
17:52 上传
挂马网站测试 3
3S.jpg (101 KB, 下载次数: 16)
17:52 上传
挂马网站测试 4
2 s.jpg (99.79 KB, 下载次数: 10)
17:52 上传
&&挂马网站测试&&5
8 s.jpg (86.7 KB, 下载次数: 4)
10:20 上传
挂马网站测试 6
7 s.jpg (106 KB, 下载次数: 4)
10:20 上传
&&测试结果:在所挑选的40个挂马网站中,管家成功拦截29个,拦截率为72.5%。其中这些挂马网站的漏洞利用包括最新的暴雷漏洞、跨站XSS脚本攻击、IE 0day漏洞利用、
等漏洞,管家能够拦截72.5%,这个成绩还是很值得肯定的,另外4个挂马网站中可能注入的.js已经失效。
QQ截图54.jpg (17.07 KB, 下载次数: 7)
09:52 上传
⑤钓鱼网站、欺诈网站拦截能力
一.对各网银、三方支付、假中奖、彩票、博彩等网站钓鱼防护测试
二.对例如假小米、iphone等欺诈网站的拦截能力测试
&&近年来B2C、C2C等网站的兴起以及第三方支付与网银的不断完善,网购已经成为网民生活中不可或缺的一部分,然而网络购物给网民带来方便的同时也面临着严重的安全威胁:骗局、陷阱、钓鱼、网购木马等无时不刻不在虎视眈眈着网民的钱包。
&&所谓“钓鱼网站”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。对网民财产安全造成了极大威胁!
&&所以一款杀毒软件对于钓鱼、欺诈网站的拦截力度非常终要,这直接关系到网民的财产安全!本测试将评测QQ电脑管家的防钓鱼、欺诈网站能力,具体评测方法如下:
& &测试方法:能否完美拦截这些钓鱼网站就体现出QQ管家防挂马网站的防护水准!为了保障成绩的可靠性,笔者挑选了45个钓鱼网站,这些钓鱼网站中包涵18个虚假iphone、ipad、小米出售网站、5个假博彩赌博网站、3个假彩票预测网站、4个假黄色网站(伪造成黄色网站诱骗下载绑毒的快播)、以及15个假票网站(火车票、飞机票、船票、汽车票出售)。
9 S.jpg (101.66 KB, 下载次数: 9)
17:53 上传
钓鱼网站测试 1
8 s.jpg (86.7 KB, 下载次数: 12)
17:53 上传
钓鱼网站测试 2
7 s.jpg (106 KB, 下载次数: 4)
17:53 上传
钓鱼网站测试 3
6 f.jpg (113.3 KB, 下载次数: 3)
17:53 上传
钓鱼网站测试 4
5 s.jpg (100.96 KB, 下载次数: 11)
17:53 上传
钓鱼网站测试 5
4 s.jpg (83.91 KB, 下载次数: 12)
17:53 上传
钓鱼网站测试 6
3f.jpg (125.03 KB, 下载次数: 9)
17:53 上传
钓鱼网站测试 7
2 f.jpg (118.82 KB, 下载次数: 3)
17:53 上传
钓鱼网站测试 8
1 f.jpg (130.45 KB, 下载次数: 11)
17:53 上传
钓鱼网站测试 9
5 s.jpg (100.96 KB, 下载次数: 10)
10:20 上传
钓鱼网站测试 10
钓鱼网站测试 11
9 S.jpg (101.66 KB, 下载次数: 7)
10:20 上传
钓鱼网站测试13
钓鱼网站测试14
4 s.jpg (83.91 KB, 下载次数: 4)
10:20 上传
&&测试结果:在笔者所挑选的45个钓鱼网站中,QQ电脑管家成功拦截36个,总拦截率为80%,但令人遗憾的是其中2个赌博网站管家没有拦截、彩票预测网站管家全部没有拦截,但管家的总拦截率达到了80%,这个成绩还是很让笔者欣慰和满意的;
QQ截图18.jpg (17.88 KB, 下载次数: 12)
09:52 上传
QQ截图00.jpg (16.24 KB, 下载次数: 9)
09:52 上传
&&另外,笔者发现QQ管家的钓鱼、欺诈网站的拦截弹窗中,会温馨提示真正的官方网站,这些细节做得的确是非常人性化,能够帮助不小心误点钓鱼网站的用户记住真实网站,从而减少上当几率;(如下图)
&&最后,希望QQ管家团队今后能够继续加强对于钓鱼、欺诈网站的拦截,加快云URL恶意网址查询的响应速度、加快对最新钓鱼、欺诈网站的响应速度;争取做到更高的识别率,以减少网民的财产损失。
⑥【恶意链接+下载保护拦截测试】
&&恶意链接就是指那些恶意程序的下载链接,本测试考察QQ管家对于恶意链接的拦截能力,看浏览器能否保障在恶意程序被下载前就拦截。下载前拦截是Q管网页防火墙功能的一部分,由于是在用户下载文件前就对文件安全性进行识别、拦截危险文件,所以被称为下载前拦截。
&&下载前拦截的实现机制,简单来说,就是当用户点击某个下载链接时,Q管将该链接url所指向的文件的特征取至云端进行分析,然后返回分析结果。如果查云得到的结果为黑,就会弹出下载前拦截的提示框,告诉用户当前的下载链接存在风险。
& &下载保护就是当病毒越过前一层下载前拦截后,被下载到本地的检测手段,保障病毒刚进入计算机就被杀毒软件拦截。
& &测试方法:通过网页下载30个不同种类的木马病毒(包括伪快播、QQ黏虫、鬼影等样本),测试拦截效果。
1 w.jpg (12.97 KB, 下载次数: 12)
02:12 上传
2 w.jpg (12.43 KB, 下载次数: 7)
02:12 上传
6 f.jpg (12.82 KB, 下载次数: 12)
02:12 上传
5f.jpg (13.68 KB, 下载次数: 6)
02:12 上传
4 f.jpg (13.41 KB, 下载次数: 10)
02:12 上传
10 s.jpg (14.58 KB, 下载次数: 4)
02:12 上传
3 s.jpg (24.9 KB, 下载次数: 14)
02:12 上传
7s.jpg (24.9 KB, 下载次数: 5)
02:12 上传
8s.jpg (20.68 KB, 下载次数: 14)
02:12 上传
9s.jpg (22.94 KB, 下载次数: 10)
02:12 上传
&&测试结果:在所挑选的30个木马中,管家拦截了15个,拦截率为50%;但剩余的15个管家一个判白,另外14个报未知。
QQ截图07.jpg (18.02 KB, 下载次数: 7)
09:52 上传
&&由此可见,管家的下载保护和恶意链接防护措施还不完善,或者说还有很多的缺陷,笔者看了下下载保护的云查询方式,认为
是管家的云端特征码查询,然后反馈到本地,那个bwpe/nhj这种奇怪的后缀可能就是这个特征码的一个段。
&&总之,无论是哪种检测方法,管家的下载保护都急需加强,笔者相信并期待着正式版本的7.0中能够有强劲有力的下载保护!
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && & 【下一楼还有】
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
18:05 编辑
⑦防御能力测试:
正 16层防护.jpg (74.31 KB, 下载次数: 6)
10:28 上传
一. 网购安全防护测试(上网安全防护)
测试安全背景:近年来兴起的网购成为了网民生活的主要方式,然而在享受网络购物带来的便利同时也面临着许多风险,例如网购木马的出现,传播方式一般是卖家要发所谓的”实物图“,其实这是伪装成图片格式的网购木马,会通过篡改浏览器内部数据,篡改页面,达到诈骗钱财、窃取支付宝账号密码的目的,威胁十分巨大。所以拥有一款好的反网购木马的杀毒软件至关重要!
& &测试目的:测试QQ管家对于网购的安全保护能力
&& 测试方法:
& && && &&&1.模拟真实网购环境,运行网购木马样本,看管家拦截情况;另外进入财产保镖后运行木马样本查看拦截情况。
& && && &&&2.查看网购安全防护能否防止网购木马注入浏览器线程等高危动作;
样本详细信息与行为分析:
&&这是一枚具有代表性的网购木马,运行后会主动监控浏览器进程并进行注入操作,然后当弹出网购页面后进行页面篡改操作;其也是
一种依靠第三方loader来绕过杀毒软件监控的木马,就是利用了暴风影音升级程序加载dll时不会去鉴定所加载的dll,所以被病毒
恶意利用,以绕过杀软的拦截!
&&这里科普一下:什么是第三方loader?
第三方loader简单来说,比如启动正常的xxx.exe白文件,它会去加载一个xxx.dll白文件。
然而xxx.exe白文件去加载xxx.dll白文件的时候没有去做安全校验
病毒作者会把xxx.dll替换成一个自己写的dll文件,从而打成运行的目的。
而本次的dll就是stormupdate.dll文件
1 样本信息.jpg (30.06 KB, 下载次数: 7)
11:16 上传
名称:实物图(网购木马病毒母体及释放)(如上图)
MD5:5e31db1b3fe4f720e03e9f
大小:570614字节
上样本行为——火眼自动化动态样本分析系统报告(由于该网购木马为俩exe所以火眼只跑出查询a文件的动作,没有跑全 如下图)
火眼--结果分析--网购木马病毒母体及释放.rar-110913.png (84.96 KB, 下载次数: 11)
11:16 上传
火眼--结果分析--StormUpdate.dll-142906.png (111.94 KB, 下载次数: 8)
14:34 上传
(1)程序的压缩包
里面有一个被修改的.exe.a文件和一个stromupdate.dll文件
其中其他俩个文件为病毒母体的衍生物,把.exe.a的后缀改为.exe后,加载该文件会加载stromupdate.dll,运用
第三方loader的方法绕过杀毒软件。
2.jpg (90.03 KB, 下载次数: 7)
14:31 上传
3.jpg (89.69 KB, 下载次数: 18)
14:31 上传
4.jpg (108.72 KB, 下载次数: 6)
14:31 上传
(2)进行右键扫描测试 ,管家成功识别
5.jpg (102.35 KB, 下载次数: 11)
14:31 上传
(3)病毒母体及其衍生物
11.jpg (110.57 KB, 下载次数: 3)
14:31 上传
6.jpg (91.65 KB, 下载次数: 1)
14:31 上传
7.jpg (89.61 KB, 下载次数: 8)
14:31 上传
(4) 进行开启监控下的双击样本测试
管家成功拦截该网购木马样本,并没有被第三方loader的加载方式绕过,很棒!
8.jpg (144.46 KB, 下载次数: 12)
14:31 上传
9.jpg (136.03 KB, 下载次数: 4)
14:31 上传
病毒成功被文件监控系统删除
18.jpg (125.4 KB, 下载次数: 6)
14:32 上传
打开淘宝网,触发网购病毒
19.jpg (130.77 KB, 下载次数: 6)
14:32 上传
注入浏览器进程操作被管家成功截杀
(5)接下来关闭Q管监控 进行完全染毒测试 让病毒充分运行5分钟后 进行重启操作
10.jpg (219.5 KB, 下载次数: 5)
14:31 上传
12母体释放文件.jpg (167.84 KB, 下载次数: 5)
14:31 上传
13 利用白.jpg (160 KB, 下载次数: 3)
14:31 上传
然后进行快速灭活操作,之后使用powertools参考md日志和火眼分析报告,判断灭活是否成功。
17.jpg (108.83 KB, 下载次数: 4)
14:32 上传
final.jpg (99.55 KB, 下载次数: 5)
14:32 上传
(7)根据powertools与md、火眼的日志判定管家是否灭活成功。
14被注入的dll.jpg (155.58 KB, 下载次数: 5)
14:32 上传
15内核提权.jpg (148.5 KB, 下载次数: 2)
14:32 上传
ring3下消息hook.jpg (216.35 KB, 下载次数: 3)
14:32 上传
测试结果:
&&这种第三方loader木马被QQ管家成功截杀、关闭监控后的染毒系统用Q管进行了快速灭活操作,但是存在残留状况。
&&由此可见QQ管家对于利用第三方loader的绕过杀软监控机制做了很多对抗性质的拦截策略,使这种利用第三方白loader
载入恶意文件的方式得以被拦截掉,并逐步完善了染毒后系统的清毒流程、修复流程,对于网购类木马,QQ管家做了很好的
拦截策略,例如对于网购木马试图进行浏览器注入,以篡改页面信息的行为管家都进行了成功的拦截。
& &但Q管的防御仍然存在些许不足之处,例如笔者注意到,病毒运行至少20s后管家才弹出拦截框,这一段时间内存在着一个很长
的延时,另外就是在进行清毒流程后仍然在注册表中留有残留项,并未完美灭活。
& &这点还需要不断的改进,期待能做正式版中看到更强的网购木马拦截与第三方loader方式启动木马的拦截。
QQ截图51.jpg (15.38 KB, 下载次数: 11)
17:24 上传
二. 文件下载保护测试(上网安全防护)
&&Q管的文件下载保护是指下载后的拦截实现机制,简单来说,就是当用户点击某个文件时,Q管将该文件所指向的文件的特征取至云端进行分析,然后返回分析结果。
& &1.如果查云得到的结果为黑,就会在下载完成后弹出拦截的提示框,告诉用户当前的下载链接存在风险。(如下图)
& &2.如果为白,就告诉用户该文件为安全(如下图)
& &3.如果在云端查询不到就报未知并传云端分析(30M以上不上传)。(如下图)
可见,下载保护是保障用户上网安全的一道拦截机制,在下载入口拦截住木马,作为防御威胁的一道屏障。此外下载保护不仅针对浏览器,还对QQ、阿里旺旺等IM软件进行了防护机制,下面笔者就通过实测来检验Q管下载保护强弱。
测试方法:下载30个带毒文件包 查看Q管拦截情况
1 w.jpg (12.97 KB, 下载次数: 8)
11:09 上传
2 w.jpg (12.43 KB, 下载次数: 5)
11:09 上传
4 f.jpg (13.41 KB, 下载次数: 8)
11:09 上传
5f.jpg (13.68 KB, 下载次数: 3)
11:09 上传
6 f.jpg (12.82 KB, 下载次数: 6)
11:09 上传
10 s.jpg (14.58 KB, 下载次数: 14)
11:09 上传
(判灰和判白)
9s.jpg (22.94 KB, 下载次数: 8)
11:09 上传
8s.jpg (20.68 KB, 下载次数: 1)
11:09 上传
7s.jpg (24.9 KB, 下载次数: 8)
11:09 上传
3 s.jpg (24.9 KB, 下载次数: 3)
11:09 上传
&&测试结果:15判黑、14个判灰传云、1个判白
QQ截图07.jpg (18.02 KB, 下载次数: 4)
11:12 上传
&&结论:QQ管家目前的文件下载保护还不是很强,经常出现文件下载后
三. QQ安全防护测试(上网安全防护)
&&QQ安全防护的模块就是QQ管家的,在QQ2012的安全防护版中内置了,该功能能够很好的保障QQ号安全不受盗号木马威胁,该安全防护主要能做到(引用QQ安全中心介绍):“
1.优化安全检查逻辑,及时发现盗号危险支持对QQ盗号木马定向检查,通过云安全检查可及时发现电脑中的QQ盗号木马,提醒用户进行清除,做好帐号财产的保护。
3.jpg (41.43 KB, 下载次数: 9)
15:29 上传
2.有效拦截恶意程序注入,避免QQ异常
针对恶意程序试图注入QQ进行拦截并弹出详情提示,同时允许用户启用QQ电脑管家进行彻底查杀。
2.jpg (34.92 KB, 下载次数: 3)
15:29 上传
3.可疑程序注入提醒
针对可疑程序试图注入QQ进行提醒,用户可根据具体情况选择允许还是放过。
1.jpg (42.55 KB, 下载次数: 3)
15:29 上传
&&结论:由以上引用的QQ安全中心介绍中不难看出,QQ2012 安全防护版内嵌了管家的反QQ盗号木马的模块,而QQ管家则能够提供
更加全面的QQ安全防护,现在主流的盗号木马都是通过注入QQ进程从而开启键盘记录器,然后盗取用户的帐号和密码,
QQ安全管家在防注入方面做了很多对抗策略优化,能够完美拦截主流QQ盗号木马,防止盗号木马窃取用户QQ账户等信息。
四. 搜索保护测试(上网安全防护)
搜索保护就是QQ管家对于搜索引擎搜索结果的检查、目前按照官方的说法只支持IE内核(Trident)、QQ管家通过检查搜索
引擎搜索的结果(百度、谷歌、雅虎、bing、搜搜)来判断当前链接是否安全,然后给出相应的安全提示。
1.jpg (234.53 KB, 下载次数: 11)
15:35 上传
2.jpg (223.93 KB, 下载次数: 7)
15:35 上传
&&但经过笔者测试,无论是IE浏览器、Chrome浏览器还是QQ浏览器(webkit)版,QQ管家的搜索引擎保护全部失效,无论是
搜搜搜索引擎、雅虎搜索引擎、bing搜索引擎还是百度、谷歌搜索引擎、都没有出现QQ电脑管家的搜索引擎保护的拦截提示,
笔者可以肯定自己所搜索的界面存在恶意链接,但是QQ管家并没有给出安全提示,这一点笔者非常疑惑,究竟是QQ管家对
搜索保护的支持不到位、技术细节没完善还是笔者自身问题?
3.jpg (182.52 KB, 下载次数: 7)
15:35 上传
4.jpg (207.36 KB, 下载次数: 2)
15:35 上传
&&结论:笔者始终没有看到半点搜索引擎保护的影子,无法对此功能做出评判。
五. 网游安全防护测试(上网安全防护)
&&网络环境背景:当下中国网络游戏市场蓬勃发展网络游戏的诞生让人类的生活更丰富,并且丰富了人类的精神世界和物质世界,于是网游中的虚拟财产交易等
便成了黑客、不法分子紧盯的目标,网络上的盗号木马时刻威胁着网民们的财产安全!
&&所以,一款安软对于游戏的保护能力十分重要,主要体现在对于游戏盗号木马的防御工作上,盗号木马主要是通过注入游戏登录进程然后
通过键盘记录器获取帐号和密码,从而盗窃受害者的帐号进行倒卖,并从中获利。
&&且现在盗号木马已经形成一个产业链,木马生产者、传播者、洗钱者、贩卖者、组织者形成了一个严密的整体,80%的盗号木马都是由这样
的集体诞生,所以防止盗号木马刻不容缓。
&&测试方法:笔者将通过一种主流的游戏盗号木马检测QQ电脑管家对于盗号木马的检测能力(Win32.trojan.PSW-GameOL.xxx)
病毒样本火眼分析报告:
火眼--结果分析--virus (28).exe.png (118.93 KB, 下载次数: 8)
17:21 上传
该网游盗号木马会不断查找一下游戏程序:
疑似查找游戏进程
附加信息:ACLIENTM.EXE [预言Online]BO.EXE [刀剑online]CA.EXE [泡泡堂]CABALMAIN.EXE [惊天动地]CDCGAMES.EXE [特种部队]CLIENT.EXE [洛奇/龙OL]CLIENT.EXE [蜀门]CLIENT.EXE [降龙之剑]CROSSFIRE.EXE [穿越火线 ]CROSSFIRE.EXE [穿越火线]CSTRIKE.EXE [反恐精英]DNF.EXE [DNF游戏进程]ELEMENTCLIENT.EXE [完美世界/诛仙/等游戏相关进程]GAME.EXE [剑侠世界]GAME.EXE [天龙八部、QQ音速、英雄岛封测版、神魔大陸]GAME.EXE [神泣]GAME.EXE [神鬼世界Online]GAME.EXE [[在论坛广告被屏蔽]]GAMEFREE.EXE [剑侠情缘]GONLINE.EXE [SD敢达]GVONLINE.BIN [大航海时代online]LATALECLIENT.EXE [彩虹岛]MAFIA.EXE [天黑请闭眼]MAIN.EXE [飄流幻境Online]MIR1.DAT [传奇1进程]MXMAIN.DLL [梦想世界]MY.EXE [梦幻西游]QQFFO.EXE [QQ自由幻想]QQFO.EXE [QQ幻想]QQSG.EXE [QQ三国]RA3.EXE [红色警戒3]SOUL.EXE [魔域]SRO_CLIENT.EXE [丝路传说]TTY3D.EXE [QQ寻仙]WOOOL.DAT [传奇世界]WOW.EXE [魔兽进程]
并伺机进行注入从而执行盗号操作
检测是否存在指定注册表键
附加信息:HKEY_LOCAL_MACHINE\Software\SogouInput行为描述:疑似查找浏览器
附加信息:360浏览器傲游浏览器搜狗浏览器
在注册表中查找搜狗拼音输入法、浏览器等执行注入操作
六. U盘防御测试(应用入口防御)
&&U盘作为一种方便快捷的移动数据存储体一直方便着网民的移动生活,但是自从AutoRun.inf漏洞爆出之后,U盘病毒便如雨后春笋般层出不穷,U判病毒的主要
&&原理都是:病毒向U盘写入病毒程序,然后更改AutoRun.inf文件,之后autorun.inf文件记录用户选择何种程序来打开U盘。如果autorun.inf文件指向了病毒程序,那么
系统就会引发病毒。说白了就是会利用Autorun.inf这个会自动播放的漏洞。
& &&&所以对于U判病毒的查杀都是使用病毒特征码或删除autorun.inf来查杀U盘病毒的,&&这种较为暴力的查杀方式可能会导致U盘中的重要文件丢失、本测试专注于QQ电脑管家能否
成功将U盘病毒剔除切不会损坏系统文件。&&
&&下面笔者挑选了50个U盘病毒进行管家的U盘防御测试:
U盘病毒交叉感染防御测试
暴风一号U盘病毒防御测试(1KB快捷方式病毒)
111.jpg (27.39 KB, 下载次数: 5)
22:17 上传
44.jpg (27.35 KB, 下载次数: 5)
22:17 上传
2.jpg (27.72 KB, 下载次数: 9)
22:17 上传
112.jpg (27.52 KB, 下载次数: 4)
22:17 上传
222.jpg (27.53 KB, 下载次数: 9)
22:17 上传
2111.jpg (27.62 KB, 下载次数: 4)
22:17 上传
bb.jpg (28.54 KB, 下载次数: 3)
22:17 上传
QQ截图50.jpg (26.49 KB, 下载次数: 8)
22:17 上传
QQ截图58.jpg (26.58 KB, 下载次数: 8)
22:17 上传
QQ截图03.jpg (27.46 KB, 下载次数: 6)
22:17 上传
QQ截图08.jpg (28.25 KB, 下载次数: 10)
22:17 上传
QQ截图12.jpg (27.35 KB, 下载次数: 11)
22:17 上传
QQ截图01.jpg (27.39 KB, 下载次数: 6)
22:17 上传
QQ截图29.jpg (24.94 KB, 下载次数: 4)
22:17 上传
QQ截图43.jpg (27.42 KB, 下载次数: 5)
22:17 上传
QQ截图53.jpg (27.46 KB, 下载次数: 5)
22:17 上传
QQ截图21.jpg (25.79 KB, 下载次数: 9)
22:17 上传
啊啊啊.jpg (27.4 KB, 下载次数: 3)
22:17 上传
&&测试结果:40/50 管家对于主流U盘病毒的拦截率达到了90%,可以精准查杀主流U盘病毒,对于U盘病毒,尤其是暴风一号
这样的脚本病毒,会进行一些系统破坏,管家的修复流程也能够很好的将这些破坏行为全部回滚、修复、并完美进行清毒
流程,很棒。
&&但仍然会有一些U盘病毒被管家判白,可见管家的U盘防御还有继续上升的空间,希望QQ管家团队不断增强这个U盘防御点,
另外判白的样本已经提交给管家团队,期待早日入库、完美解决。
&&七. 文件防护 三种防护等级分别测试(系统底层防护)
&&八. 注册表防护测试(系统底层防护)
&&九.驱动防护测试(系统底层防护)
文件防护,是所有杀毒软件最核心、最依赖的一套防御体系,它最直接的决定了一款杀毒软件的防御能力强弱,而对于
注册表防护、驱动防护都是文件防护的一种延伸和有益补充,目的在于防止一类篡改注册表实现自启动、破坏杀软、加驱
获得Ring0权限的木马,是一套系统底层的整体防御体系,对于QQ管家防御体系的形成起到一种框架性的作用。
& &评测方法:笔者双击精选的100枚主流病毒样本,查看QQ管家的底层系统防御能力。
QQ截图39.jpg (26.45 KB, 下载次数: 8)
22:25 上传
QQ截图22.jpg (26.69 KB, 下载次数: 8)
22:25 上传
QQ截图01.jpg (26.66 KB, 下载次数: 3)
22:25 上传
QQ截图54.jpg (27.34 KB, 下载次数: 8)
22:25 上传
QQ截图23.jpg (25.74 KB, 下载次数: 3)
22:25 上传
QQ截图14.jpg (25.75 KB, 下载次数: 2)
22:25 上传
QQ截图03.jpg (26.02 KB, 下载次数: 9)
22:25 上传
QQ截图56.jpg (26.44 KB, 下载次数: 9)
22:25 上传
QQ截图50.jpg (26.32 KB, 下载次数: 11)
22:25 上传
QQ截图43.jpg (26.35 KB, 下载次数: 5)
22:25 上传
QQ截图36.jpg (26.3 KB, 下载次数: 5)
22:25 上传
QQ截图29.jpg (26.21 KB, 下载次数: 5)
22:25 上传
QQ截图22.jpg (25.54 KB, 下载次数: 7)
22:25 上传
QQ截图14.jpg (25.76 KB, 下载次数: 3)
22:25 上传
QQ截图00.jpg (25.38 KB, 下载次数: 8)
22:25 上传
112.jpg (25.55 KB, 下载次数: 11)
22:25 上传
22.jpg (26.76 KB, 下载次数: 12)
22:25 上传
QQ截图06.jpg (27.45 KB, 下载次数: 4)
22:17 上传
测试结果表格:
啊啊啊.jpg (29.36 KB, 下载次数: 12)
22:39 上传
测试结果:在双击的100枚样本中,管家成功拦截73个,总拦截率达到了73%,其中40个报危险文件(红色弹窗)、33个报可疑风险文件(橘黄色弹窗)
这些样本都是一些当下流行的样本,可见管家对最新样本的响应速度还是值得肯定的,但是剩下的27个样本管家却没有拦截,甚至3个样本管家报了
白文件,这令笔者十分遗憾。
&&笔者看了一下管家漏报的23个样本,行为威胁并不是很明显,有些样本的行为需要在特定环境下才能被完全触发、另外有9枚病毒无法运行,故不计入管家
漏报样本数目内。
& &总得来说,QQ管家的系统底层防御在不断的加强,至少较上一版本有了很明显的加强,笔者注意到管家在系统ring0层挂了很多IDA HOOK、IDP hook、
SSDT HOOk钩子、这说明管家在不断加强系统内核级的防御。
& &期待正式版本QQ管家更加强大的系统底层监控!
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && & & &&&【下一楼还有】
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
18:07 编辑
③QQ管家与国内外10款主流杀软技术性横向攻防测试
攻防测试开头.jpg (79.98 KB, 下载次数: 4)
00:09 上传
进行大型的横向主流杀软攻防测试,强调测试杀软的灭活能力、染毒后的系统修复能力、文件、注册表、驱动防护能力、以及对未知文件的响应速度等。
攻防测试相关说明:
攻代表的是病毒对系统的攻击,防代表的是病毒免杀杀软的防。
具体方法:
1.提供该样本相关病毒行为,即样本行为简单描述,金山火眼动态样本分析系统日志报告,md监控日志报告。
2.笔者自己对病毒的分析和理解,保障分析透每一个病毒。
2.首先进行染毒前右键扫描,再双击病毒样本,测试杀软的防御能力,再关闭杀软监控或者完全退出杀软,直接运行病毒使其感染系统,再打开杀软进行快速扫描或者全盘扫描,检测是否成功修复系统。
4.共使用10款国内外主流杀毒软件进行攻防测试:QQ管家、金山、360、江民、瑞星、avast!、Avira、Kaspersky、NOD32、Norton
评判成功/残留/失败的方法:
2.jpg (51.35 KB, 下载次数: 11)
21:45 上传
1.成功:必须是Q管成功杀掉病毒母体后重启 保证病毒生成的文件 启动项 注册表等已经清除并且修复对系统的破坏;&&2.残留:残留必须是在杀毒后重启,保证没有病毒运行,但是没有查杀病毒母体或者存在启动项、注册表、病毒衍生物有残留。
3.失败:在快速扫描后重启电脑如果病毒仍然在运行就说明灭活失败&&4.具体判断依据:火眼、CIMA或MD的分析报告或日志
测试意义:笔者在前文中阐述引擎的重要性时,曾经强调评判一款杀软的好坏无外乎三项:引擎、监控、对最新病毒的响应速度。
&&其中评判”引擎“和”监控&这两项最好的办法就是分别测试攻防:& &一.& & 引擎: 电脑染毒后杀软对系统的修复能力、快速灭活能力和清毒流程。这三点决定了引擎关键项指标,而本次测试也将遵循这样的一个原则来进行。
&&二.& & 监控:强调在系统被病毒感染前的快速拦截,是否能拦截住病毒、能否成功拦截加驱、注册表修改等操作、拦截后病毒是否还会死灰复燃、以及监控的严格程度、对系统性能的影响等等。
所以说,进行攻防横向测试的意义非常重大,能够很好的评判出一款杀毒软件的能力强弱,此次笔者更是带来了国内外10款主流杀毒软件
参加测试的国内外10快主流安全软件概览:1.QQ电脑管家7.0杀毒版本
首页体检.jpg (79.55 KB, 下载次数: 13)
20:17 上传
2.金山毒霸2012 猎豹版
22.jpg (80.51 KB, 下载次数: 9)
20:18 上传
3.360杀毒 3.1 Air
1.jpg (78.41 KB, 下载次数: 3)
20:04 上传
4.江民 KV2011
1.jpg (54.7 KB, 下载次数: 4)
20:07 上传
5.瑞星杀毒 2011
4.jpg (72.92 KB, 下载次数: 9)
19:57 上传
6.avast!家庭版 7.0
2.jpg (102.99 KB, 下载次数: 5)
20:08 上传
7.Avira V12 (小红伞)免费版
1.jpg (65.13 KB, 下载次数: 4)
20:11 上传
8.卡巴斯基2012 反病毒
1.jpg (62.49 KB, 下载次数: 9)
20:13 上传
2.jpg (57.52 KB, 下载次数: 10)
20:16 上传
10.Norton反病毒2012
1.jpg (49.74 KB, 下载次数: 3)
20:14 上传
参加测试样本选择:样本必须高质量、有意义、有价值的样本,笔者将会从鬼影3、QQ黏虫、新网银木马(第三方loader加载)等典型样本中挑选进行测试。
样本选择1:新网银木马win32.Trojan.banker.XXX主要特征:病毒样本构成分析(第三方loader白加黑 exe调用dll读取dat文件)
1.jpg (71.72 KB, 下载次数: 3)
19:55 上传
修改后缀名后
2.jpg (64.66 KB, 下载次数: 10)
19:55 上传
OD逆向分析
3.jpg (249.94 KB, 下载次数: 6)
19:55 上传
(笔者分析)&&1.该网银木马利用暴风影音升级程序MicroExamin.exe(正常的白文件 暴风升级程序)会加载stromupdate.dll文件,就是一个第三方loader白加黑的策略以绕过杀毒软件的检测,由于杀毒软件以前对此类白文件都是直接放过的,所以造成了病毒轻易绕过杀软的监控。&&& &2.之后病毒会释放文件version.dat,一个数据dat文件的结尾,其实这是一个加密数据,在利用白程序加载恶意dll后次dat会解密为一个可执行的PE文件,之后创建互斥体判定目的在于判断该dll文件是否已经成功注入;& && &3.完成了以上行为后,病毒会添加注册表关键键值,实现自身伴随系统启动:SOFTWARE\Microsoft\Windows\CurrentVersion\Run设置MicroExamin.exe自启动(而且病毒作者险恶的一点是,由于这个loader是个白文件,所以杀毒软件的不会拦截)
& &4.当病毒完成同系统自启动的篡改后,病毒便会进行一些列在head.bin文件内注入WriteProcessMemory(写入进程内存)、ReadProcessMemory(读取进程内存)等操作,为后续注入浏览器做准备。(目前笔者发现这种网银木马只对IE内核,也就是Trident内核有效,对于webkit等内核的浏览器无法实现注入操作) & &&&5.当一切准备完毕后,病毒就会为了盗号而准备了,病毒会通过RegisterWindowMessage注册一个WM_HTML_GETOBJEC从而注入到浏览器控件中,最终还存在一个winnet.dll的调用。当淘宝等页面被开启后病毒被触发,之后当用户使用支付宝付款时制造支付宝维护的假象,诱导用户进行网银支付,从而跳转到充值卡以诈骗钱财。
这种木马考验杀毒软件的一下几点能力:
1.对于第三方loader白+黑加载方式的木马拦截能力2.对于网购木马快速识别、鉴定、灭活、系统修复、清毒流程的能力。3.防止病毒对浏览器(Triden)内核的防篡改、防注入能力;4.对于钓鱼网站(假银行、假第三方支付平台的拦截能力)下面附上该样本的火眼行为日志:
然后进行Q管与国内外10款主流杀软的技术性攻防横向测试:
1.QQ电脑管家
杀毒界面.jpg (80.44 KB, 下载次数: 12)
20:03 上传
5.jpg (102.35 KB, 下载次数: 5)
20:02 上传
6.jpg (91.65 KB, 下载次数: 9)
20:02 上传
8.jpg (144.46 KB, 下载次数: 8)
20:02 上传
染毒后的快速灭活
2.金山毒霸猎豹版 2012
4.jpg (64.64 KB, 下载次数: 6)
19:59 上传
3.jpg (82.95 KB, 下载次数: 6)
19:59 上传
2.jpg (25.86 KB, 下载次数: 8)
19:59 上传
染毒后的快速灭活
1.jpg (55.86 KB, 下载次数: 6)
19:59 上传
3.360右键扫描
43.jpg (78.07 KB, 下载次数: 7)
20:04 上传
2.jpg (27.01 KB, 下载次数: 7)
20:04 上传
22.jpg (23.28 KB, 下载次数: 8)
20:04 上传
染毒后的快速灭活
4.jpg (72.08 KB, 下载次数: 11)
20:04 上传
12.jpg (66.75 KB, 下载次数: 1)
20:04 上传
右键扫描监控拦截
1.jpg (14.63 KB, 下载次数: 3)
19:57 上传
2.jpg (100.66 KB, 下载次数: 4)
19:57 上传
染毒后的快速灭活
QQ截图55.jpg (2.83 KB, 下载次数: 1)
19:57 上传
5.江民右键扫描
4.jpg (46.03 KB, 下载次数: 6)
20:07 上传
2.jpg (19 KB, 下载次数: 3)
20:07 上传
染毒后的快速灭活6.avast
1.jpg (23.87 KB, 下载次数: 6)
20:08 上传
4.jpg (36.69 KB, 下载次数: 6)
20:08 上传
3.jpg (24.06 KB, 下载次数: 3)
20:08 上传
染毒后的快速灭活
5.jpg (70.18 KB, 下载次数: 9)
20:08 上传
4.jpg (33.18 KB, 下载次数: 3)
20:11 上传
2.jpg (20.94 KB, 下载次数: 8)
20:11 上传
3.jpg (105.47 KB, 下载次数: 7)
20:11 上传
染毒后的快速灭活
6.jpg (39.72 KB, 下载次数: 10)
20:11 上传
7.jpg (29.81 KB, 下载次数: 1)
20:11 上传
8.卡巴斯基
4.jpg (34.34 KB, 下载次数: 4)
20:13 上传
3.jpg (15.63 KB, 下载次数: 7)
20:13 上传
QQ截图08.jpg (36.67 KB, 下载次数: 7)
20:13 上传
染毒后的快速灭活9 mse
1.jpg (52.63 KB, 下载次数: 6)
20:16 上传
染毒后的快速灭活
6.jpg (49.68 KB, 下载次数: 9)
20:08 上传
2.jpg (54.94 KB, 下载次数: 2)
20:14 上传
5.jpg (43.28 KB, 下载次数: 3)
20:14 上传
监控拦截发现威胁
3.jpg (7.52 KB, 下载次数: 5)
20:14 上传
成功处理威胁
4.jpg (9.96 KB, 下载次数: 3)
20:14 上传
染毒后的快速灭活
攻防测试总结果:
1.jpg (28.93 KB, 下载次数: 8)
21:34 上传
测试总结论:根据攻防测试的大型横向对比,笔者比较了QQ电脑管家和其余国内外10款主流杀毒软件对于“新网银木马”的查杀、拦截和灭活能力,以及快速清毒、&&灭活、系统修复等流程,以及对于第三方loader白加黑加载文件方式的拦截能力等,笔者惊喜的发现,对于国内的厂商,例如QQ管家、瑞星、360、金山的防御机制都能很好的拦截这类第三方loader白加黑运行机制的病毒,也能够跑出很好的病毒修复、清毒流程、在快速灭活方面,能够较为快速、准确的将病毒极其衍生物及时删除,将被破坏的系统及时修复,这点做得很好。&&&&但令笔者遗憾的是,作为微软的杀毒软件mse到现在都没有能够及时的查杀、拦截这类第三方loader白加黑的病毒木马,令笔者非常失望,更不要提染毒后的系统修复流程和快速灭活流程了,另外对于瑞星笔者不得不说在进行灭活后还残留了一个启动项,这个启动项是暴风影音升级程序stromupdate的前置程序MX,exe由于是白文件,被病毒利用来加载黑dll所以非常容易被忽略。& &&&总得来说,本次攻防测试。QQ管家表现良好,成功的干掉了类似与QQ黏虫、网银大盗木马这样的第三方loader加载的病毒,非常给力!& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &&&【下一楼还有】
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
22:17 编辑
QQ电脑管家对抗鬼影6病毒
& &鬼影6的基本特征(以下所有特征针对的是感染完全的情况):1. 会将Stralo替换成病毒历程,隐藏端口和驱动文件。2. 回写StartIO 例程。3. 隐藏病毒为内存末尾,让鬼影病毒StartIO例程的保护范围内,说白了就是可以无文件运行。4. 阻止主流杀软(QQ管家、360、金山、江民、瑞星、卡巴、avast、AVG、avira),以及内核、ark工具、专杀。5. 病毒会下载其他盗号木马群,可以看作是一个Trojan-Downloader
笔者从国内某安全厂商的一位病毒分析师那里了解到,此次的鬼影6病毒的AV技术很强,比如:使用了atapi+ntfs+startio+回写+av技术保护mbr不被修复等AV技术,而且最大的特点就是无文件然后躲过杀软的查杀。
笔者用Q管与其进行对抗性测试:
QQ截图21.jpg (25.79 KB, 下载次数: 6)
22:16 上传
QQ截图42.jpg (59.54 KB, 下载次数: 6)
22:16 上传
QQ电脑管家成功拦截鬼影6最新变种 并完美跑完修复流程
右键扫描:成功
拦截:成功
染毒后快速灭活:成功
写在最后,
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
22:19 编辑
全文总结:
原型jpg.jpg (72.54 KB, 下载次数: 3)
17:19 上传
第一部分:QQ管家测试成绩
1.扫描速度成绩
速度.jpg (16.16 KB, 下载次数: 8)
17:16 上传
&&总评:可见,QQ电脑管家引擎的扫描速度方面,无论是全盘扫描还是闪电扫描,速度都非常快(这也跟笔者机器内文件数量不多有关),另外,管家利用了类似于“智扫”或这卡巴斯基的&iswich&/&icheck:扫描技术,在二扫时提高了扫描速度。&&这种技术简而言之就是:记录一扫过程中无变化的白文件,在二次扫描中直接跳过,以达到提高扫描速度的目的。
2.静态扫描测试
扫描.jpg (25.65 KB, 下载次数: 5)
17:16 上传
静扫.jpg (19.56 KB, 下载次数: 7)
17:16 上传
&& 测试结果:
& &经管家静态扫描测试,共识别出44个病毒、其中20分钟后测2次扫描,识别数为44个,较一扫没有增加,加入金山云后识别率为:一扫88%、二扫仍然为88%;
最后添加Avira引擎,还是88%;笔者注意到链接金山云引擎和avira引擎后,查杀率并没有增加,可能是金山与avira是扫描Q管判断为威胁之后再进行扫描剩余的样本;可见管家的静态扫描查杀率还是令人非常满意的,多引擎的优势在此处便一下子显现出来,能够很好的让各种引擎之间进行优势互补。& &但是Q管需要将多引擎查杀的资源占用进一步降低,以让用户得到更大的性能提升。
&&优点——多引擎结合是QQ电脑管家7.0的一大特色所在, ”2云引擎“+“2本地引擎”+修复引擎的结合能够大幅提高管家的检出率,云引擎”与“本地引擎”相结合可以相互弥补各自的不足,达到响应速度和查杀率、资源占用的最大平衡。&&缺点——多引擎势必会带来系统性能的下降,Q管团队需要再不断优化系统资源占用和软件的使用流畅度;另外随着Q管自主引擎的不断成熟,可以将引擎数量减少到3款,保障系统性能。&&评:虽然存在多引擎对系统性能的影响,但是不可否认Q管的多查杀引擎组合的确非常给力,各引擎之间能够优势互补,协调工作,共同提高病毒检出率。另外,针对引擎的相关测试会在文章后半部分给出。
3.攻防测试
攻防标准.jpg (11.6 KB, 下载次数: 5)
17:16 上传
31号 攻防.jpg (16.01 KB, 下载次数: 10)
17:16 上传
28号 攻防.jpg (10.59 KB, 下载次数: 11)
17:16 上传
4.挂马网站拦截
挂马.jpg (19.18 KB, 下载次数: 3)
17:16 上传
测试结果:在所挑选的40个挂马网站中,管家成功拦截29个,拦截率为72.5%。其中这些挂马网站的漏洞利用包括最新的暴雷漏洞、跨站XSS脚本攻击、IE 0day漏洞利用、
等漏洞,管家能够拦截72.5%,这个成绩还是很值得肯定的,另外4个挂马网站中可能注入的.js已经失效。
5.钓鱼网站拦截
钓鱼.jpg (17.33 KB, 下载次数: 7)
17:16 上传
钓鱼种类.jpg (18.29 KB, 下载次数: 7)
17:16 上传
测试结果:在笔者所挑选的45个钓鱼网站中,QQ电脑管家成功拦截36个,总拦截率为80%,但令人遗憾的是其中2个赌博网站管家没有拦截、彩票预测网站管家全部没有拦截,但管家的总拦截率达到了80%,这个成绩还是很让笔者欣慰和满意的;
最后,希望QQ管家团队今后能够继续加强对于钓鱼、欺诈网站的拦截,加快云URL恶意网址查询的响应速度、加快对最新钓鱼、欺诈网站的响应速度;争取做到更高的识别率,以减少网民的财产损失。
6.U判防御测试与底层防御测试
u判.jpg (26.6 KB, 下载次数: 9)
17:16 上传
总评:优点——多层防护架构,通过核心防护体系的拓展和延伸能够较完全的保护系统。缺点——还需要加强各个监控的协调和关联、加强监控同查杀的协作(例如监控发现可疑威胁后立刻进行快速灭活操作)
&&评:系统实时防护体系作为防护木马病毒入侵的第一道屏障,所以显得尤为重要。此次的实时防护更新不难看出Q管做了诸多的加强,最大的优点在于基于核心监控延伸和扩展出多项的监控,让防御更加全面。当然也存在各监控协调力度不够的缺憾,相信管家团队会不断的弥补这个缺点。
& &7.下载保护
&&测试结果:
下载.jpg (15.43 KB, 下载次数: 9)
17:16 上传
&&测试结果:下载前拦截的实现机制,简单来说,就是当用户点击某个下载链接时,Q管将该链接url所指向的文件的特征取至云端进行分析,然后返回分析结果。如果查云得到的结果为黑,就会弹出下载前拦截的提示框,告诉用户当前的下载链接存在风险。
& &但由测试结果可见,管家的下载保护和恶意链接防护措施还不完善,或者说还有很多的缺陷,笔者看了下下载保护的云查询方式,认为
是管家的云端特征码查询,然后反馈到本地,那个bwpe/nhj这种奇怪的后缀可能就是这个特征码的一个段。
& &总之,无论是哪种检测方法,管家的下载保护都急需加强,笔者相信并期待着正式版本的7.0中能够有强劲有力的下载保护
第二部分:笔者对Q管7.0版本优缺点的客观评价与建议、展望
&&7.0杀毒版最大的技术性改进是:
&&①多引擎,Avira与金山云、管家云、本地引擎的多重结合——让管家获得了非常给力的查杀能力,当然在获取最大查杀率的同时也一定程度上牺牲了性能;
&&②全新QQ管家本地引擎——同原有的云引擎配合、通过微特征等手段提取样本特征并同云端相互比对,加快了响应速度、但现在本地引擎仍然有很大提升空间;
&&③监控防御较6.X版本有了很大提升——防御深入至了Ring0层,并通过底层防御逐步拓扑出更加完善的防御体系,不过各防御体系之间的协调还有待加强;
&&④大幅度优化了资源占用——从笔者测试的数据中可以清晰的看出,资源占用降低很明显,且操作流畅度也上了一个台阶,但可以再继续深度挖掘性能潜力;
7.0杀毒版本最吸引我的地方:
①对于恶性木马的查杀、防御、灭活能力明显增强——笔者测试了“QQ黏虫”、“中华黑豹”、“鬼影4”、“伪快播下载者”、“新网银盗号木马”等恶性木马,管家能够进行绞杀、灭活和拦截;且系统修复流程跑得很完美。
&&7.0版本还有待改进的地方:
&&①:资源占用可以继续深度优化——提升UI TAB界面切换的流畅度,深度挖掘软件性能潜力,可以使用预加载、模块化安装等方法实现。
&&②:引擎可以少而精——现在目前一共是5套引擎在查杀、真正的引擎有3款分别是Avira、Q管本地、金山云引擎,这种多引擎会带来性能上的下降,可以在Q管引擎完善后提出Avira本地引擎。
&&③:不断优化监控策略,减少弹窗报警延迟——笔者在测试第三方loader白加黑文件的双击测试时,注意到QQ管家的弹窗会存在1~3秒的延迟,且3种监控模式一样
&&第三部分:笔者总评
&&可以说,此次QQ电脑管家7.0杀毒版带给我们的惊喜还是很多的,例如多引擎联合查杀、监控体系的拓扑和延伸、以及资源占用的进一步降低,都为
Q管正式转型成为杀毒软件做下了坚实的铺垫。当然也存在一些遗憾和失望,例如引擎过多给予性能造成的影响、监控弹窗的延迟等等。希望QQ管家团队
能够不断的去改善这些薄弱环节,不断去优化、去深入开发,最终把Q管7.0打磨成一款真正给力的杀毒软件。
优点缺点方面,管家在7.0最大的改变就是将防御监控进一步深入优化了,将防护做到了系统底层ring0层,不同与以前的R3层,可以说防护力度上了一个台阶;再者
就是现在依照最核心的系统底层防御拓扑除了多维度的系统防御体系,虽然说这些防御的本质还是底层防御的拓展和延伸,但这至少做到了让QQ电脑管家
在监控方面更加严谨、更加符合用户使用环境(比如网购保护、下载保护、网游保护)等。
& & 最亮点的一方面还是QQ管家此次自主研发的引擎,Q管本地引擎刚出现从测试中不难看出还有太多需要去不断磨合,现在这款引擎还非常的不成熟。而相对程度的Q管
云引擎引擎的原理是30M以上不上传,30M一下用管家自有的一套算法计算出文件的特征,然后同云端比对给出结果,但从测试结果来开这一引擎的成绩也并非十分给力,管家
强化自主引擎的道路,任重而道远。
& &但笔者相信,管家和管家团队都会带领管家不断优化,不断增强,笔者期待在7.0正式版本中更给力!& &QQ电脑管家——智能杀毒,专业管理!
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &&}
查看: 6786|回复: 32
【腾讯电脑管家7.0卡饭独家测评】四万字鸿篇巨制!专业杀毒!QQ管家7.0深度纵向评测
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
00:08 编辑
&&为方便评分人员、各位读者阅览,笔者将整个网页另存为了网页HTML格式的文件,可以离线阅读,欢迎下载。
下载地址:& &
访问密码:HERGsi
由于标题无法容纳下更多字,所以此为真正标题:
【腾讯电脑管家7.0卡饭独家测评】四万字鸿篇巨制!智能管理、专业杀毒!——QQ管家7.0杀毒版深度纵评+Q管与国内外10款主流杀软大型万字技术性攻防横测!
1概述.jpg (80.12 KB, 下载次数: 11)
17:58 上传
原型jpg.jpg (72.54 KB, 下载次数: 9)
17:58 上传
本文组成:1.QQ管家7.0功能介绍与分析
①4+1全“芯”杀毒引擎
②全新修复引擎
③16层立体防护
④首页体检、软件管理改版
⑤深度优化系统垃圾清理与系统加速功能
⑥QQ管家云预警功能
⑦性能优化、资源占用减小
⑧全新安全网购功能
2.QQ管家深度纵向评测
①安装操作简易度、UI界面、交互度、用户体验②系统资源占用、性能优化程度③杀毒引擎测试
&&一.静态扫描测试&&二.染毒后的系统修复引擎与灭活能力测试&&三.未知文件云鉴定能力(管家云引擎)④网页挂马、恶意网站拦截能力 &&一.网页防挂马能力测试&&二.恶意网站防护能力测试⑤钓鱼网站、欺诈网站拦截能力&&&&一.对各网银、三方支付、假中奖、彩票、博彩等网站钓鱼防护测试&&二.对例如假小米、iphone等欺诈网站的拦截能力测试⑥恶意链接拦截测试⑦防御能力测试:&&&&一.网购安全防护测试(上网安全防护)
&&二.文件下载保护测试(上网安全防护)
&&三.QQ安全防护测试(上网安全防护)
&&四.搜索保护测试(上网安全防护)
&&五.网游安全防护测试(上网安全防护)
&&六.U盘防御测试(应用入口防御)
&&七.文件防护 三种防护等级分别测试(系统底层防护)
&&八.注册表防护测试(系统底层防护)
&&九.驱动防护测试(系统底层防护)
&&十.黑客入侵防御测试(系统底层防护)
3.& &QQ管家与国内外10款主流杀软的技术性横向攻防测试进行大型的横向主流杀软攻防测试
攻防测试开头.jpg (79.98 KB, 下载次数: 9)
15:13 上传
强调测试杀软的灭活能力、染毒后的系统修复能力、文件、注册表、驱动防护能力、以及对未知文件的响应速度等。攻防测试相关说明:攻代表的是病毒对系统的攻击,
防代表的是病毒免杀杀软的防。 具体方法: 1.提供该样本相关病毒行为,即样本行为简单描述,金山火眼动态样本分析系统日志报告,md监控日志报告。2.首先进行染毒前右键扫描,再双击病毒样本,测试杀软的防御能力,再关闭杀软监控或者完全退出杀软,直接运行病毒使其感染系统,再打开杀软进行快速扫描或者全盘扫描,检测是否成功修复系统。
四.QQ管家与主流恶性病毒(鬼影5、QQ黏虫等)对抗测试
& & &&写在最前:一年前参加金山区评测征文活动有幸在70多名参赛选手中获得第一名,时隔一年再回卡饭再次参加QQ管家主办的评测活动,我感到非常荣幸。我会继往开来、努力为大家带来一篇客观、真实的优秀评测文章,希望大家多多支持,不足之处还请多多批评、多多指正,谢谢!& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && & 卡饭ID:天道酬勤QQ& &&&(牛逸夫)
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &
【下一楼还有】
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
17:54 编辑
前言:《由2012年中国互联网安全界之变革 看QQ管家正式进军杀毒领域》
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &文/牛逸夫
前言.jpg (81.65 KB, 下载次数: 9)
18:05 上传
俯瞰中国安全软件业,2012年注定是不平凡的一年:
企业版方面:江民坚持收费策略向企业版转型,瑞星高管变动全面转战政府、大中小型企业版安全解决产品,此外金山毒霸与360也纷纷推出免费的企业杀毒软件布局企业版市场,试图以免费来抗衡以江民、瑞星为代表的国产企业版安软厂商;
个人版安软方面:金山毒霸通过与腾讯互推致使用户突破1亿大关,正面同360相抗衡;奇虎360部分用户被其他厂商蚕食但仍居中国安软市场占有率第一把交椅,腾讯QQ电脑管家推7.0杀毒版,完成从安全辅助向全功能安全软件的华丽转型;而国外安全厂商G-DATA、Avira、ESET、Kaspersky、AVG也纷纷进驻中国,加大在华投资以及加强本土化建设,试图在竞争十分激烈的中国市场分得一杯羹、稳坐一片席;
移动安全方面:360手机卫士、金山手机卫士、QQ手机管家形成三足鼎立局势霸占中国80%以上安卓、塞班客户端,而LBE安全大师、安全管家等安全产品分流10%左右的用户,剩下10%被国外厂商Kaspersky 、ESET、麦咖啡所占据。
&&不难看出,2012年是一个中国安全软件业的分水岭,任何厂商都站在风口浪尖上、都面临着极为激烈的竞争环境,无论是国内外安软厂商都试图夺得更多的市场份额,取得更大优势。
&&Change or die(要么改变,要么死亡)这句话生动的描述了中国当下安全领域的生存准则——何时变?怎么变?变什么?这正是困扰着诸多安全厂商的问题。
&&笔者认为:变在三点——即“免费”、“互联网化”、“主推杀毒”。
前两点——江民、瑞星就是因此没落;金山、360的崛起就是因此;而主推杀毒是每个安全厂商都必备的安全产品,此前以安全辅助为切入点的QQ管家此次布局此次杀毒领域,正标志着其完成了从安全辅助软件向真正意义上的杀毒软件的转型,也意味着腾讯正式进军杀毒软件市场。
& && &&&&&此次腾讯发布QQ电脑管家7.0(杀毒版),一石激起千层浪,一时间赞赏者有之质疑者亦有之;在新版本发布之际,笔者怀着同广大用户一样激动的心情——用亲身体验诉说产品优劣,以易用程度评断软件人性化与否,以一颗慧眼发现产品亮点!以客观角度评测产品!带领大家一起揭开QQ电脑管家7.0(杀毒版)的神秘面纱!
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &&&【下一楼还有】
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
17:56 编辑
正文(一)QQ管家7.0功能介绍与分析①:4+1全“芯”杀毒引擎②:全新系统修复引擎
正文 介绍 1 引擎.jpg (67.09 KB, 下载次数: 7)
18:12 上传
功能介绍: 本次QQ电脑7.0杀毒版较上一版本新添了腾讯自主研发的管家反病毒引擎,并深度融合入管家云引擎,本地引擎同云引擎相互配合。
此外,QQ管家还同国内厂商金山和国外厂商Avira合作,在QQ管家本地增加了小红伞引擎,并连接金山云引擎,各种本地、云引擎相互配合能够让查杀率得到一个质的提升。(如下图)
引擎.jpg (72.95 KB, 下载次数: 9)
15:04 上传
&&一款杀毒软件不仅需要有强大的查杀能力,更需要具有完美的灭活能力和系统修复能力以及病毒清除能力。&&&&因为一些恶性病毒经常会破坏或修改&开机启动项“、”HOSTS文件”、“硬盘引导扇区”、“文件类型关联”、“映像劫持&等,还可能会破坏或替换相关系统文件(例如svchost.exe),危害十分巨大。针对此,管家7.0的杀毒界面中加强的修复引擎,保障对于活体病毒的快速灭活和系统遭到破坏后的系统修复和病毒清毒流程。(如下图)
系统修复引擎.jpg (74.74 KB, 下载次数: 11)
15:04 上传
&&&&看法与分析:&&&&首先很高兴能够看到7.0杀毒版本中Q管能够推出完全自主研发的管家本地反病毒引擎,虽然一个全新的引擎还需要时间去不断磨合和加强,但我们已经看到这标志着管家由一个安全辅助软件向真正的杀毒软件的成功转型。&&&&此次的管家本地反病毒能够弥补和加强之前单一的Q管云引擎的缺陷和不足,例如Q管云引擎运用微特征(特征码的云查询),但这种引擎的免杀对抗能力不强,断网环境下对病毒没有任何查杀能力等(如遭遇大文件病毒、压缩包炸弹、强制断云等木马);而此次的本地引擎推出就很好弥补了这些缺陷。
观点:&&&&对于连接金山云引擎:现在腾讯与金山处于深度合作关系,金山的云引擎,水银平台,云鉴定器、鹰眼都较为成熟,可以有效的增加管家的检出率;金山云后台总监Charles告诉笔者现在Q管连接金山云是通过查询的方式获取检测信息,可以保障客户端的轻量化。&&
对于引入Avira本地引擎:笔者认为该引擎虽然有非常强的静态启发能力(一种静止状态下通过病毒的典型指令特征识别病毒的技术),能大幅度提高管家查杀率,但是多引擎对系统性能的确有一个不可小觑的影响,建议可以等到管家本地引擎成熟后将其去除,保障系统和软件的流畅程度。(如下图)
多引擎·金山 avira.jpg (23.92 KB, 下载次数: 18)
15:04 上传
总评:&&优点——多引擎结合是QQ电脑管家7.0的一大特色所在, ”2云引擎“+“2本地引擎”+修复引擎的结合能够大幅提高管家的检出率,云引擎”与“本地引擎”相结合可以相互弥补各自的不足,达到响应速度和查杀率、资源占用的最大平衡。 &&缺点——多引擎势必会带来系统性能的下降,Q管团队需要再不断优化系统资源占用和软件的使用流畅度;另外随着Q管自主引擎的不断成熟,可以将引擎数量减少到3款,保障系统性能。 &&评:虽然存在多引擎对系统性能的影响,但是不可否认Q管的多查杀引擎组合的确非常给力,各引擎之间能够优势互补,协调工作,共同提高病毒检出率。另外,针对引擎的相关测试会在文章后半部分给出。&&&&针对杀毒引擎的灭活测试、系统修复测试、病毒清毒流程测试会在后面的《QQ管家于国内外10款杀软大型攻防横测》中体现!关于管家引擎对于静态病毒的查杀能力会出现在后面部分的《静态病毒查杀测试》。&&
③:16层立体防护体系
正 防护.jpg (79.55 KB, 下载次数: 9)
18:12 上传
正 16层防护.jpg (74.31 KB, 下载次数: 15)
18:12 上传
功能介绍与解析:实时保护是一款杀毒软件必不可少的功能,能够在病毒触发或者侵害系统时拦截并查杀保障计算机安全。本次QQ管家7.0杀毒版本的防御体系围绕着”用户上网、应用入口、系统底层“三个大块展开,分别对应以下防护:
1.上网安全保护:主要用于保障用户上网和下载时的安全
防护 一号.jpg (43.57 KB, 下载次数: 14)
15:04 上传
QQ安全防护(QQ登录、运行时对于盗号木马的检测和拦截)
网游安全保护(包括网游运行前的系统快扫和运行环境检测,防止盗号木马和键盘记录器的运行)
网购安全保护(同Q管的网购财产保镖相配合,保障网购安全)
网页防火墙(拦截挂马网站、恶意网站)
文件下载保护(在文件下载到本地的时候对文件进行安全扫描)
搜索保护(检测百度、搜搜等搜索引擎的搜索结果是否安全)
2.应用入口保护
应用入口保护主要是防止病毒通过U盘等入口进入电脑,在入口处加入监控从而严格检测。主要包括
防护 2.jpg (17.13 KB, 下载次数: 10)
15:04 上传
桌面图标防护(防止病毒木马生成假淘宝、钓鱼导航等桌面图标诱导用户点击)
U盘防火墙(禁止U盘自动播放,防止U盘病毒交叉、重复感染电脑)
摄像头保护(防止木马程序打开摄像头偷窥)
ARP防护(防止局域网内的ARP攻击)
3.系统底层保护系统底层保护尤为重要,该监控能够从系统底层全面防御病毒入侵,保障计算机不受到病毒侵害。主要包括:
防护3.jpg (28.02 KB, 下载次数: 17)
15:04 上传
文件系统防护(分为”高“、”中“、”低“三种安全级别,监控文件的读写和执行操作,是最基础也是最有效的防护和措施)
注册表防护(防止病毒木马篡改注册表关键键值以达到自启动、文件扩展方式劫持等破坏目的)
漏洞防火墙(主动扫描系统中存在的漏洞并及时提示用户进行修复操作,及时push微软最新漏洞,保障计算机安全)
进程防护(扫描系统进程,查看是否有木马病毒或其他威胁运行)
驱动防护(防止病毒木马通过加驱方式获取系统最高权限,与病毒在Ring0层进行对抗)
黑客入侵防护(检测系统安全状态,发现系统中容易被黑客利用的”后门“,并提供安全加固方案,防止黑客的扫描端口、拦截黑客下载木马、拦截黑客远程控制)
看法与分析:&&&&本次QQ管家将系统监控升级到了16层,可以说是对系统有了一个较为全面的保护。不难看出,此次的更新突出强调用户的上网保护和应用接口的保护,而这种形式的保护本身也是在系统底层保护的基础上,根据用户使用习惯和木马病毒主要传播途径形成的,但其本质是系统底层保护的拓展和延伸(例如摄像头保护、网购防护、QQ安全防护等) 。&&&&所以笔者认为,QQ管家真正的核心防护是”文件系统防护“、”注册表防护“、”驱动防护“、”入侵防护“、”网页防火墙“。这几层防护核心组合构成了QQ管家的防护体系,并以此为框架延伸拓展了其余的十一层防护。(如下图)
互相协调.jpg (83.49 KB, 下载次数: 6)
15:42 上传
&&1.基于核心防护体系的构造:目前各个防御之间的协调还没有做到极致——QQ管家监控方面还需要不断的加强各防护之间的联系,真正做到一个互补性,强调核心防护充分协调形成一个完整的防御体系。&&&&例如网页防火墙,即使遭遇利用脚本漏洞、伪装成页面元素、脚本调用com组件、渲染界面格式溢出的释放木马和下载木马等挂马方式时,网页防护没有拦截到,木马被下载到本地也能通过下载保护或者文件监控将其删除,即使病毒仍然突破文件监控运行,也需要让驱动防护拦截其加驱操作,让木马成为一个”纸老虎“。&&&&&&这样的防御体系可以做到:即使遭遇一个恶性木马,其也需要经过监控的层层阻拦,从而让木马的下载、运行变得非常困难。即使木马成功运行,也可以通过查毒引擎的快速灭活、系统修复、病毒清除流程,真正做到防护体系和灭活、查杀、修复体系一体化,全面加强协调。
总评: 优点——多层防护架构,通过核心防护体系的拓展和延伸能够较完全的保护系统。 缺点——还需要加强各个监控的协调和关联、加强监控同查杀的协作(例如监控发现可疑威胁后立刻进行快速灭活操作)
&&评:系统实时防护体系作为防护木马病毒入侵的第一道屏障,所以显得尤为重要。此次的实时防护更新不难看出Q管做了诸多的加强,最大的优点在于基于核心监控延伸和扩展出多项的监控,让防御更加全面。当然也存在各监控协调力度不够的缺憾,相信管家团队会不断的弥补这个缺点。&&
关于QQ管家监控的测试会在后面的《QQ管家大型纵向评测》跟《QQ管家与国内外10款杀软横向攻防测试》中体现!&&④首页体检、软件管理改版
总 首页体检.jpg (76.93 KB, 下载次数: 12)
18:12 上传
&&此次的更新优化了操作流程,使得一键体检更加方便,右侧快速通道也让各种工具的使用变得更加便捷。其中软件管理的“专题”栏目做得很有特色,精选软件、下载排行很清晰,并融入手机管家,方便有智能手机的用户通过QQ管家管理手机、下载软件等。
⑤深度优化系统垃圾清理和系统加速功能
介绍与分析:
系统垃圾:是一种会不断随着使用时间的增加而变多的垃圾文件。其是各浏览器的上网缓存垃圾、视频、音乐垃圾、Windows系统产生的临时文件等,这些垃圾会不断增长占用系统空间。而如果是处于C盘的垃圾则会因为C盘容量的不断减小进而影响到系统速度。(如下图)
垃圾清理.jpg (83.71 KB, 下载次数: 9)
15:04 上传
&&系统加速:包括开机加速和系统加速以及网络加速的统称,Q管会根据当前系统配置对”开机启动项“、”系统设置和内存配置“、”网络设置“等进行优化,从而提升系统速度。(如下图)
电脑加速.jpg (77.57 KB, 下载次数: 9)
15:04 上传
&&观点:当下许多用户的计算机都面临着这样的尴尬问题——系统越用越慢,新系统不到一个月又变得十分卡、开机速度慢的如蜗牛让人心急、C盘容量频繁提示不够等。而最常见的问题就是很多用户抱怨系统很慢很卡,而Q管的垃圾清理和加速功能就能够很好的帮助用户解决这样的问题,而且操作方便,易于使用。
&&总评:&&
优点——垃圾清理项全面,加速涉及网络、开机、系统加速,操作方便易于使用&&&&缺点——电脑提速仍然是对各种设置的优化,无法让电脑速度得到大幅度的提升
评:导致计算机卡、慢的原因有很多,QQ管家的垃圾清理跟系统加速功能能够帮助普通用户方便的进行清理和加速工作,然而这些通过更改设置的提速用户感觉并不明显。用户最直观的感受是什么?是我打开一款软件的速度,它“卡不卡”?我优化前后有何变化?&&所以要做好系统提速就需要专注于用户对提速的体验。&&建议QQ管家团队可以根据用户机器配置推出“虚拟盘”,主动记录用户常用软件,事先加载到内存中(类似于windows7的预加载机制),提高打开和运行速度,真正从用户层让用户感觉到加速的明显度。
⑥QQ管家云预警功能&&(备注:笔者曾与市场部约稿关于云预警功能的文章,关于此功能的详解文章可见我在卡饭论坛发表的《智能响应、云端扫描、提前预警——QQ管家云预警功能评测》,有兴趣的读者可以自行查找,这里只专注于介绍、优缺点分析与总结,不再赘述& &帖子链接: )
&&&&功能介绍:&&&&很多人都有一个疑问,什么叫做云预警?&&
正 云预警.jpg (76.62 KB, 下载次数: 11)
18:12 上传
笔者认为:云预警的实质就是以增量式技术在全网进行监控部署,在用户计算机空闲时提前进行预扫描,对可疑文件进行一个威胁分级,并将用户计算机中可疑的文件上报到云端进行分析。从而可以使QQ管家的云端更快的发现潜在在的威胁,以实现流行木马响应的最快化。它的最大特点是主动进行云鉴定,体现其前摄性,而不是等到木马发作后才去扫描、拦截、响应。
&&分析部分: &&最新的云预警系统通过客户端来收集最新样本,减轻了客户端的负担:其将特征码全部放置云端,实时监控以及扫描时会查询云端服务器,若判定为未知威胁则主动上报到云端。云端在分析完成、响应后,QQ管家会自动进行一次回扫,确保未知威胁被精准识别,从而使流行木马被即使发现、绞杀。
&&& &QQ管家云智能预警系统的特点主要体现在三个方面,分别是:智能扫描、云端响应、提前预警。下面笔者就从这三个方面来详细分析。 & &
1.智能扫描部分 & &根据笔者观察发现,智能扫描分为两部分。
&&一是QQ管家会自动识别当前计算机的使用状态,当计算机处于空闲状态时,QQ管家的云引擎会进行后台扫描,主动揪出可能存在威胁的文件并发送到云端进行分析,从而快速确定用户计算机中的文件安全与否。&&&&二是QQ管家在自动上报可疑文件之后,会自动进行云端鉴定。当云端鉴别完成之后,会向客户端发出回扫的指令,及时绞杀已经响应的威胁从而保障用户计算机安全。
&& 2.回扫部分
& &在QQ管家进行第一阶段的“预扫描”之后,会发现一些可疑的文件,管家将此类文件汇报到云端,然后云端进行文件分析。当文件分析完成之后,会向客户端反馈鉴定结果。此时客户端收到云端的指令后,会对刚才检索出的可疑文件进行回扫,如果发现文件特征与云端已知威胁特征相匹配,此时QQ管家便会弹出警告窗并清除此威胁。 &&云预警具体流程如下图
云预警流程图.jpg (102.87 KB, 下载次数: 7)
15:55 上传
优点——前摄性扫描能够通过增量式技术在全网进行监控部署,获取更多可疑文件样本。 缺点——本质是一种回扫技术,或者说是闲时扫描。希望今后的云预警技术能有更大的突破&&&&评:综上所述,云预警是一个以增量式技术在全网进行监控部署,在用户计算机空闲时提前进行预扫描,对可疑文件进行一个威胁分级,并将用户计算机中可疑的文件上报到云端进行查询。 简而言之,是一个回扫功能。(跟Tencent Research 的一位Leader对了一下云预警技术的概念,确保无误) ⑦资源资源占用减少,优化性能
正2 资源占用.jpg (93.26 KB, 下载次数: 4)
15:57 上传
&&&&正如前文所说,6.X版本的QQ管家资源占用很大,在扫描时多引擎造成CPU占用较高,所以给用户造成了明显的卡滞感,严重影响了用户体验。 & &7.0版本的QQ管家较上一版本进行了大幅度的优化,资源占用中:静态内存占用由58m 减少到了 30 m,扫描时内存占用由120 m 降低到了 102 m,CPU闲时占用为1~3%,全盘扫描时资源占用为50%;(备注:为虚拟机内运行数据,配置为奔腾D 2.8GHZ、2GB内存)&&
&&这样的资源占用减少给予用户最直观的感受就是流畅了许多,不仅减少用户电脑的负担,也能够让计算机分配更多资源用于用户的使用。& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &&&【下一楼还有】
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
17:56 编辑
①安装操作简易度、UI界面、交互度、用户体验
&&安装包大小:QQ管家7.0杀毒版本的安装包大小保持在32M,较上一版本的40余M有了明显的瘦身,安装后大小达到了180M(笔者并没有下载Avira本地库),这样的安装包大小在当下的主流配置环境下都是可以接受的。(如下图)
正 安装包.jpg (74.28 KB, 下载次数: 11)
15:22 上传
&&& && &但如果Q管团队能将这个大小继续优化,把安装包做到20M以下、就能够更加方便和简化用户的安装流程和减少时间;对于功能可以实行模块化安装,精简不常用的功能。
此时管家团队的PM和SPE可能会问:那用户感觉到要使用的功能加载很慢怎么办?理由是因为要进行模块的下载和安装。
&&其实这个很好解决:1.根据用户使用习惯,在用户打开主界面的一刻就进行预加载;2.继续优化瘦身模块的安装包大小,深度挖掘模块安装潜力。
&&安装过程:双击安装包进行安装,整个安装流程非常简单、顺畅,没有繁杂多余的选项,安装过程中还会展现新版本的最新功能,图文并茂方便用户快速了解最新功能;
&&安装完毕后管家会推荐安装金山毒霸猎豹版,这是腾讯和金山深度合作的一个互推项目,笔者推荐用户将金山毒霸同Q管配合使用,以达到优势互补的目的。(如下图)
正2 安装过程.jpg (86.56 KB, 下载次数: 4)
15:22 上传
正2 安装过程 2.jpg (82.45 KB, 下载次数: 13)
15:22 上传
主界面:之后主界面便会映入眼帘,腾讯系软件的UI界面和用户体验一直做得非常优秀——各级TAB栏层次分明,界面布局合理、图形化界面便于操作。(如下图)
正2 主界面.jpg (69.92 KB, 下载次数: 3)
15:22 上传
“首页”显示一键体检功能,系统安全状况一目了然;右侧放置快速功能通道,方便有需求的用户直接打开应用(如下图)
正2 首页体检.jpg (81.64 KB, 下载次数: 7)
15:22 上传
&&一级TAB栏包括“首页”、“杀毒”、“实时防护”、“修复漏洞”、“系统清理”、“电脑加速”、“软件管理”、“电脑诊所”、“工具箱”,不同TAB栏对应不同功能,图形化界面可以帮助引导普通用户进行正常使用;
&&值得一提的是,TAB栏图标存在精美的动画效果,例如在“杀毒”栏中进行查杀操作,当切换到其他TAB栏时,杀毒图标会显示正在扫描的状态,十分人性化。
&&另外,Q管UI组提供了八套精美皮肤供用户选择,并可以通过自定义选择更多皮肤,例如将图片作为皮肤底色等;
&&但管家的现有UI界面仍然存在缺陷——TAB栏切换的流畅度有待增强,例如在首页切换到“修复漏洞”、“系统清理”、“电脑加速”这样的TAB栏时,会有1-3秒的延迟才会显示(测试机型、中端配置台式机),这点需要管家团队再不断的深度挖掘性能潜力
交互度:Q管7.0的一大优点就是交互度,主要是通过弹窗的方式同用户进行交互或者通知,例如安全服务、软件、插件安装时的绿色弹窗提示、高危风险时的选择性黄色警告弹窗、漏洞修补、木马发现等危险红色弹窗、颜色分明,内容详尽,易于交互操作;用户使用时的安全感便油然而生;
&&另外Q管在贴心和人性化程度上做到了极致,例如“健康小助手”可以温馨告知用户进行休息或者保护视力等贴心提示。
正2 健康小助手.jpg (66.05 KB, 下载次数: 6)
15:22 上传
&&虽然Q管的弹窗交互度很好,但仍然存在不足的地方,希望管家团队尽快改进。例如一个PPTV软件,在安装完成后,QQ管家会弹绿色弹窗表示是安全的启动项正在添加,但很多用户不希望这类软件自启动,QQ管家是否能在这类弹窗中加入一个禁止自启动的选项呢?
②系统资源占用、性能优化程度
&&笔者认为,一款好的杀软不仅需要具有良好的监控、查杀、灭活、修复能力,还应该在强大功能的基础上,让软件本身保持低资源占用和优越的性能。
正2 资源占用.jpg (93.26 KB, 下载次数: 11)
15:22 上传
&&我们试想,一款杀毒软件的存在意义是用于计算机的安全防护,它处于系统最底层;而用户是因为需要电脑正常的娱乐、工作却怕被病毒侵扰而不得已安装杀毒软件的。&&
&&如果一款杀毒软件安装后,让整个计算机性能大幅度下降,导致用户的正常娱乐、工作都受到影响,那么这样的安全软件是否让计算机的资源分配本末倒置了呢?
&&所以,一款杀毒软件的性能优化程度跟资源占用十分重要,它直接影响到用户的使用体验。
&&测试方法:
&&1.静动态的内存与CPU占用情况
&&笔者通过Windows自带的任务管理器监控QQ管家在闲时、忙时分别的资源占用情况,并在相同配置的机器中多次实验,取平均值以保障数据的可靠性、准确性。
经过10次反复测试,我们取平均值得到的数据如下:
静态时,系统内存资源占用为31m,CPU占用率为0%~1%
动态扫描时(闪电扫描),系统内存资源占用为130m,CPU占用率为49%~72%
扫描 快.png (30.18 KB, 下载次数: 6)
15:38 上传
扫描 完全.png (31.24 KB, 下载次数: 6)
15:38 上传
静态.png (31.5 KB, 下载次数: 9)
15:38 上传
静态 打开主界面.png (30 KB, 下载次数: 3)
15:38 上传
&&结论:由此可见,QQ管家7.0版本对于系统优化较上一版本有了明显提高,性能方面尤其是静态环境下的内存占用得到了大幅减小,但动态扫描的资源占用会偶尔飙升到60%左右,会有轻微的卡滞感,这点还需要管家团队再不断的加强和优化,期待新版本能够看到管家团队继续深度挖掘性能优化潜力。
&&2.软件打开的速度、各级TAB栏切换速度、修补漏洞、杀毒等操作的速度
&&此项考验杀毒软件的UI优化程度与软件性能的优化,主要方法是计时打开主界面、开启杀毒、漏洞修补等时间,并多次测试取平均值,客观判断QQ管家性能是否优异、操作是否流畅。
&&经过10此反复测试,得到的打开速度平均数值如下:
资源占用excel.jpg (19.19 KB, 下载次数: 9)
15:38 上传
结论: UI界面给我的总体感觉流畅,但当打开系统修复、电脑提速TAB栏时,会有轻微的卡滞、希望管家团队UI组能够继续挖掘UI潜力,优化性能、加快响应速度。
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &&&& && && && && &&&【下一楼还有】
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
18:01 编辑
③杀毒引擎测试&&&&&&引擎是一款杀毒软件的核心和灵魂,它能够识别并绞杀计算机存在的病毒,修复被病毒所破坏的系统、完美清除病毒、及时响应新出现的病毒或者变种。&&&&所以评判一款引擎的好坏不外乎三点:“静态扫描的查杀率、染毒后的灭活、修复、清毒能力、对于新病毒的响应速度“。&&&&笔者将对管家云引擎与管家本地引擎进行测试(备注:为使成绩不受其他引擎影响,人为关闭管家的”金山云引擎“跟”Avira本地引擎“),测试项目分别为静态扫描测试、染毒后的系统的修复能力测试、染毒后的灭活能力测试以及染毒后的病毒清除流程测试,以及对于最新病毒或变种(灰文件)的响应能力。 && 一.静态扫描测试& && &测试说明: & &在国内选取50个病毒样本,包括流行的QQ黏虫样本及变种、网购木马样本及变种、Q币大盗样本、伪快播样本等,gh0st远控、Lpk病毒样本、最新鬼影变种(鬼影4)、绑毒DNF外{过}{滤}挂等样本,这些样本能够大致反映国内主流病毒威胁、拥有较好的代表性。(备注:样本在精不在多,50个高质量样本要比500个低质量的样本的测试意义要大很多)
&&所扫描木马病毒种类列举:
种类.jpg (17.79 KB, 下载次数: 6)
01:32 上传
扫描策略概览:(开启不同引擎得到不同成绩)
QQ截图15.jpg (23.6 KB, 下载次数: 12)
01:32 上传
1.jpg (165.93 KB, 下载次数: 4)
22:15 上传
全部样本(如上图)
总览 界面.jpg (72.18 KB, 下载次数: 2)
22:15 上传
最新版本.jpg (83.96 KB, 下载次数: 5)
22:15 上传
总体扫描设置概览(如上图)
1扫 Q管自身.jpg (93.86 KB, 下载次数: 12)
22:15 上传
第一次扫描(Q管本地引擎+Q管云引擎)关闭金山引擎 avira引擎(如上图)
avuira.jpg (73.13 KB, 下载次数: 11)
22:15 上传
打开Avira引擎
AVira 44.jpg (95.95 KB, 下载次数: 6)
22:15 上传
第一次扫描 打开Avira Q管本地 云引擎 关闭金山引擎(如上图)
QQ粘虫.jpg (61.32 KB, 下载次数: 8)
22:15 上传
对于QQ黏虫样本的右键扫描测试,QQ管家成功劫杀(如上图)
网购木马.jpg (59.83 KB, 下载次数: 9)
22:15 上传
对于网购木马样本的右键扫描测试,QQ管家成功劫杀(如上图)
Q管 自身 3.jpg (98.42 KB, 下载次数: 4)
22:15 上传
Q管自身4.jpg (100.3 KB, 下载次数: 12)
22:15 上传
Q管 自身2.jpg (96.79 KB, 下载次数: 8)
22:15 上传
Q管自身引擎的扫描结果(如上图)
Q管二扫.jpg (95.09 KB, 下载次数: 12)
22:15 上传
QQ管家二次云扫描,测试云响应 (如上图)
连接 金山 2.jpg (97.96 KB, 下载次数: 8)
22:15 上传
连接 金山云.jpg (95.47 KB, 下载次数: 5)
22:15 上传
Q管 链接金山云引擎 扫描结果(如上图)
总 结果.jpg (47.05 KB, 下载次数: 8)
22:15 上传
QQ管家最终查杀结果 44/50 查杀率88%(如上图)
总扫描成绩(表格)
测试结果:
&&经管家静态扫描测试,共识别出44个病毒、其中20分钟后测2次扫描,识别数为44个,较一扫没有增加,加入金山云后识别率为:一扫88%、二扫仍然为88%;最后添加Avira引擎,还是88%;笔者注意到链接金山云引擎和avira引擎后,查杀率并没有增加,可能是金山与avira是扫描Q管判断为威胁之后再进行扫描剩余的样本;
可见管家的静态扫描查杀率还是令人非常满意的,多引擎的优势在此处便一下子显现出来,能够很好的让各种引擎之间进行优势互补。&&但是Q管需要将多引擎查杀的资源占用进一步降低,以让用户得到更大的性能提升。& && &&&二. 染毒后的系统修复引擎与灭活能力测试&&&&笔者在前文中阐述引擎的重要性时,曾经强调评判一款引擎好坏的一项重要指标就是染毒后的系统修复能力、快速灭活能力和清毒流程。这三点决定了引擎关键项指标,而本次测试也将遵循这样的一个原则来进行。&&&&测试方法:提供10枚样本进行测试(包括1枚QQ黏虫样本以及变种,1枚鬼影3样本、4枚网购木马样本,1枚伪快播和其他木马3枚)&&并附带金山火眼病毒分析报告或CIMA分析报告,MD日志,先运行病毒,然后10分钟后重启,确保病毒行为完全跑出行为(虚拟机环境,自带QQ等第三方常用软件,确保行为跑全)&&然后打开QQ管家进行灭活快扫,查看是清除成功、残留或者失败。&&
下面给出判定具体依据: &&1.成功:必须是Q管成功杀掉病毒母体后重启 保证病毒生成的文件 启动项 注册表等已经清除并且修复对系统的破坏; &&2.残留:残留必须是在杀毒后重启,保证没有病毒运行,但是没有查杀病毒母体或者存在启动项、注册表、病毒衍生物有残留。 &&3.失败:在快速扫描后重启电脑如果病毒仍然在运行就说明灭活失败 &&4.具体判断依据:火眼、CIMA或MD的分析报告或日志
正式攻防测试:
样本一:VIRUS(28) 自命名 Win32.Trojan.OnlineGamePSW.28具体行为:(火眼)
火眼--结果分析--virus
28 .exe-172149.png (206.3 KB, 下载次数: 16)
17:22 上传
文件名称:virus (28).exe文件哈希:0f2c571cfef9d2c2cf6e文件大小:1013137字节创建时间: 17:00:34文件类型:EXEPEID信息:Nothing found [Overlay] *公司描述:Sogou.com Inc.文件描述:搜狗拼音输入法 快捷输入文件版本:5.2.0.5225版权所有:© 2011 Sogou.com Inc. All rights reserved.原始文件名:QuickInput.exe产品名称:搜狗拼音输入法产品版本:5.2.0.5225
& && &疑似查找游戏进程;疑似查找浏览器;检测是否存在指定注册表键
行为描述:疑似查找游戏进程
附加信息:ACLIENTM.EXE [预言Online]BO.EXE [刀剑online]CA.EXE [泡泡堂]CABALMAIN.EXE [惊天动地]CDCGAMES.EXE [特种部队]CLIENT.EXE [洛奇/龙OL]CLIENT.EXE [蜀门]CLIENT.EXE [降龙之剑]CROSSFIRE.EXE [穿越火线 ]CROSSFIRE.EXE [穿越火线]CSTRIKE.EXE [反恐精英]DNF.EXE [DNF游戏进程]ELEMENTCLIENT.EXE [完美世界/诛仙/等游戏相关进程]GAME.EXE [剑侠世界]GAME.EXE [天龙八部、QQ音速、英雄岛封测版、神魔大陸]GAME.EXE [神泣]GAME.EXE [神鬼世界Online]GAME.EXE [[在论坛广告被屏蔽]]GAMEFREE.EXE [剑侠情缘]GONLINE.EXE [SD敢达]GVONLINE.BIN [大航海时代online]LATALECLIENT.EXE [彩虹岛]MAFIA.EXE [天黑请闭眼]MAIN.EXE [飄流幻境Online]MIR1.DAT [传奇1进程]MXMAIN.DLL [梦想世界]MY.EXE [梦幻西游]QQFFO.EXE [QQ自由幻想]QQFO.EXE [QQ幻想]QQSG.EXE [QQ三国]RA3.EXE [红色警戒3]SOUL.EXE [魔域]SRO_CLIENT.EXE [丝路传说]TTY3D.EXE [QQ寻仙]WOOOL.DAT [传奇世界]WOW.EXE [魔兽进程]
行为描述:检测是否存在指定注册表键
附加信息:HKEY_LOCAL_MACHINE\Software\SogouInput行为描述:疑似查找浏览器
附加信息:360浏览器傲游浏览器搜狗浏览器
镜像劫持 互斥体 远程注入、远程线程注入 提升权限 inline hook 函数入口代码 恢复函数入口代码 启动宿主进程
对本报告内容评价打分:
当前平均分:打分后显示
-5 -4 -3 -2 -1 0& &1 2 3 4 5
对本报告中提及的样本威胁性打分:
当前平均分:打分后显
QQ管家快速灭活情况:进行快扫灭活成功是否有残留:没有
攻防总结果:在病毒行为跑全,对系统造成完全感染后,使用QQ管家快扫进行对系统的快速扫描的灭活操作,结果QQ管家将病毒母体以及衍生物全部清楚,对所破坏的系统进行了完整的修复,清毒流程完美,没有残留。病毒主要查找游戏进程;疑似查找浏览器;检测是否存在指定注册表键,但虚拟机中并不存在这些第三方软件,所以部分行为未跑出。是一枚网游盗号木马。
重启后,病毒消失。灭活成功
QQ截图49.jpg (10.82 KB, 下载次数: 10)
01:39 上传
样本二: 样本信息:主要包括 样本大小、是否有数字签名、MD5值等
01.jpg (107.96 KB, 下载次数: 8)
22:30 上传
具体行为:金山火眼跑出的行为:运用金山火眼在线自动化动态样本分析系统分析木马行为,为后面对于木马的快速灭活操作做铺垫;
火眼--结果分析--nyftest (31).exe.png (58.61 KB, 下载次数: 8)
22:44 上传
MD样本:运用HIPS软件MD的日志,打开学习模式记录病毒完全行为。目的:完全记录病毒行为,便于后续灭活操作时对于灭活成功/残留/失败的甄别
5.jpg (159.53 KB, 下载次数: 3)
22:30 上传
6.jpg (95.39 KB, 下载次数: 17)
22:30 上传
7.jpg (208.31 KB, 下载次数: 9)
22:30 上传
8.jpg (199.99 KB, 下载次数: 9)
22:30 上传
9.jpg (215.92 KB, 下载次数: 12)
22:30 上传
10.jpg (189.75 KB, 下载次数: 8)
22:30 上传
11.jpg (204.62 KB, 下载次数: 8)
22:30 上传
12.jpg (183.65 KB, 下载次数: 2)
22:31 上传
13.jpg (102.51 KB, 下载次数: 4)
22:31 上传
QQ管家快速灭活情况:先关闭QQ管家的监控 让病毒充分感染计算机 然后5min后等待病毒行为完全跑出后进行重启操作,确保完全模拟用户真实染毒环境,然后打开QQ管家进行闪电扫描,从而进行快速灭活操作。(如下图)结果:QQ管家成功揪出病毒并完成染毒后的系统灭活操作,病毒清除流程很完美。
19.jpg (107.44 KB, 下载次数: 8)
22:31 上传
(1)病毒的信息,以及运行病毒时IE的警告提示(上图)
2.jpg (102.4 KB, 下载次数: 6)
22:30 上传
4.jpg (100.27 KB, 下载次数: 3)
22:30 上传
(2)双击运行样本,QQ管家迅速拦截,之后病毒报错退出(上图)
17.jpg (111.61 KB, 下载次数: 9)
22:31 上传
16.jpg (99.54 KB, 下载次数: 6)
22:31 上传
之后 让病毒完全感染系统 然后进行快速扫描进行灭活测试(上图)
18.jpg (96.38 KB, 下载次数: 13)
22:31 上传
20.jpg (92.46 KB, 下载次数: 5)
22:31 上传
QQ管家拦截病毒,并成功跑完病毒清除流程是否有残留:使用内核工具powertools查看系统关键项和根据MD的行为查看病毒是否有残留(如下图)结果:没有残留,病毒灭活成功。
15.jpg (112.32 KB, 下载次数: 10)
22:31 上传
14.jpg (132.97 KB, 下载次数: 3)
22:31 上传
QQ截图28.jpg (12.99 KB, 下载次数: 2)
01:39 上传
(限于版面排版需求 暂时只提供2枚样本的攻防细节,更多的Q管攻防测试将在后面的《Q管与国内外10款主流杀软大型横向攻防测试》中体现,请谅解)
三. 其他项:云引擎原理、引擎扫描速度、对于Rootkit木马等的检测能力评测& & &&1.QQ管家云引擎 与 测试
腾讯Q管云引擎对于文件的查询流程具体我不是很清楚,因为其一我不是内部人员,其二是我没有拿到内部的技术资料(商业机密也不可能给我这些技术资料);
但我可以根据一些特征来帮助大家一起推断Q管云引擎的查询流程——
猜测一:大致是对于10M以下的样本直接查询MD5值,10M以上文件拆分MD5查云;猜测二:不是根据MD5查询而是根据微特征,此处微特征就是指根据管家自己的一套算法找文件特征码然后查云,且大文件可查,但30M以上的文件不上传。猜测三:流程很复杂,黑文件根据微特征查云,白文件查询MD5(10M以下直接查询,10M以上拆分MD5查询,灰文件自动上传到云端进行鉴定,30M以上不上传)
笔者挑选了三个具有代表性的样本进行云鉴定测试。&&&&一是将三个样本进行扫描,然后修改MD5再次扫描看扫描结果。样可以说明管家是否为纯MD5云;&&&&二是挑选了大小为1M、10M、30M(压缩包炸弹)这样三个样本,进行云引擎的扫描,管家全部报安全;30分钟后测试二扫结果为1M、10M样本报毒,30M样本无变化。& &&&测试结果:可以证明,管家的云绝不只是MD5那么简单,或者说根本不是MD5云查询而是根据管家自己的一套算法查询特征码并和云端比较(微特征查杀);若为白文件再比对MD5,若为灰文件则
& &上传到云端进行进一步的鉴定(备注:30M以上不会上传,文件的上传存在选择性)& &可见管家7.0的云绝对不是单一的MD5查云(10m以上拆分MD5查云),而是运用管家自己的一套算法,提取文件特征码然后同云端进行比对从而得到结果。& &
2.QQ电脑管家扫描速度
& &一款引擎的扫描速度、清毒流程速度、快速灭活速度、系统修复速度也关乎着一款杀软的成败,本测试将测试出QQ电脑管家的闪电扫描速度 完全电脑扫描速度 以及系统修复流程和病毒清毒流程速度 放出数值供大家参考&&& & 扫描机器配置情况:
机器配置.jpg (32.08 KB, 下载次数: 4)
01:40 上传
第一次快速扫描:时间24 S
1 快扫 24秒.jpg (94.16 KB, 下载次数: 6)
01:40 上传
处理.jpg (72.64 KB, 下载次数: 7)
01:40 上传
第一次 全盘扫描:12分38秒(硬盘文件较少,主要存在于C盘)
全盘扫描 过程.jpg (79.41 KB, 下载次数: 7)
01:40 上传
全盘 12.38.jpg (91.48 KB, 下载次数: 14)
01:40 上传
结果.jpg (51.51 KB, 下载次数: 4)
01:40 上传
速度.jpg (17.35 KB, 下载次数: 10)
01:32 上传
结论:可见,QQ电脑管家引擎的扫描速度方面,无论是全盘扫描还是闪电扫描,速度都非常快(这也跟笔者机器内文件数量不多有关),另外,管家利用了类似于“智扫”或这卡巴斯基的&iswich&/&icheck:扫描技术,提高了扫描速度。&&这种技术简而言之就是:记录一扫过程中无变化的白文件,在二次扫描中直接跳过,以达到提高扫描速度的目的。
&&最后说一句:有一些热心的饭友问我为什么不做免杀对抗测试,这里我解释一下。事实上:对于单一杀毒软件的免杀对抗性测试毫无意义。因为每一款杀软引擎的识别手段和方式各不相同,即使成功免杀但病毒最终都是要跑起来的,一些加驱、访问底层磁盘、创建互拆体等动作还是会被杀软拦截掉。【下一楼还有】
(750.83 KB, 下载次数: 13)
22:30 上传
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
18:02 编辑
④网页挂马、恶意网站拦截能力
一. 网页防挂马能力测试
&&二. 恶意网站防护能力测试
&&首先在这里简单科普一下网页挂马的原理,方便对挂马不了解的读者:挂马就是网页病毒利用网页来进行破坏的病毒木马,它存在于网页之中,其实是使用一些Script语言编写的一些恶意代码利用IE的漏洞来实现病毒植入,并最终将木马下载至用户计算机且执行。
&&评测说明:挑选了40个挂马网站,包括利用脚本漏洞、伪装成页面元素、脚本调用com组件、渲染界面格式溢出的释放木马和下载木马等挂马方式,另外检测在完成木马下载后,管家对于防止木马运行的能力。
8s.jpg (105.6 KB, 下载次数: 19)
17:52 上传
挂马网站测试 1
7 s.jpg (101.04 KB, 下载次数: 13)
17:52 上传
挂马网站测试 2
4 s.jpg (101.38 KB, 下载次数: 10)
17:52 上传
挂马网站测试 3
3S.jpg (101 KB, 下载次数: 16)
17:52 上传
挂马网站测试 4
2 s.jpg (99.79 KB, 下载次数: 10)
17:52 上传
&&挂马网站测试&&5
8 s.jpg (86.7 KB, 下载次数: 4)
10:20 上传
挂马网站测试 6
7 s.jpg (106 KB, 下载次数: 4)
10:20 上传
&&测试结果:在所挑选的40个挂马网站中,管家成功拦截29个,拦截率为72.5%。其中这些挂马网站的漏洞利用包括最新的暴雷漏洞、跨站XSS脚本攻击、IE 0day漏洞利用、
等漏洞,管家能够拦截72.5%,这个成绩还是很值得肯定的,另外4个挂马网站中可能注入的.js已经失效。
QQ截图54.jpg (17.07 KB, 下载次数: 7)
09:52 上传
⑤钓鱼网站、欺诈网站拦截能力
一.对各网银、三方支付、假中奖、彩票、博彩等网站钓鱼防护测试
二.对例如假小米、iphone等欺诈网站的拦截能力测试
&&近年来B2C、C2C等网站的兴起以及第三方支付与网银的不断完善,网购已经成为网民生活中不可或缺的一部分,然而网络购物给网民带来方便的同时也面临着严重的安全威胁:骗局、陷阱、钓鱼、网购木马等无时不刻不在虎视眈眈着网民的钱包。
&&所谓“钓鱼网站”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。对网民财产安全造成了极大威胁!
&&所以一款杀毒软件对于钓鱼、欺诈网站的拦截力度非常终要,这直接关系到网民的财产安全!本测试将评测QQ电脑管家的防钓鱼、欺诈网站能力,具体评测方法如下:
& &测试方法:能否完美拦截这些钓鱼网站就体现出QQ管家防挂马网站的防护水准!为了保障成绩的可靠性,笔者挑选了45个钓鱼网站,这些钓鱼网站中包涵18个虚假iphone、ipad、小米出售网站、5个假博彩赌博网站、3个假彩票预测网站、4个假黄色网站(伪造成黄色网站诱骗下载绑毒的快播)、以及15个假票网站(火车票、飞机票、船票、汽车票出售)。
9 S.jpg (101.66 KB, 下载次数: 9)
17:53 上传
钓鱼网站测试 1
8 s.jpg (86.7 KB, 下载次数: 12)
17:53 上传
钓鱼网站测试 2
7 s.jpg (106 KB, 下载次数: 4)
17:53 上传
钓鱼网站测试 3
6 f.jpg (113.3 KB, 下载次数: 3)
17:53 上传
钓鱼网站测试 4
5 s.jpg (100.96 KB, 下载次数: 11)
17:53 上传
钓鱼网站测试 5
4 s.jpg (83.91 KB, 下载次数: 12)
17:53 上传
钓鱼网站测试 6
3f.jpg (125.03 KB, 下载次数: 9)
17:53 上传
钓鱼网站测试 7
2 f.jpg (118.82 KB, 下载次数: 3)
17:53 上传
钓鱼网站测试 8
1 f.jpg (130.45 KB, 下载次数: 11)
17:53 上传
钓鱼网站测试 9
5 s.jpg (100.96 KB, 下载次数: 10)
10:20 上传
钓鱼网站测试 10
钓鱼网站测试 11
9 S.jpg (101.66 KB, 下载次数: 7)
10:20 上传
钓鱼网站测试13
钓鱼网站测试14
4 s.jpg (83.91 KB, 下载次数: 4)
10:20 上传
&&测试结果:在笔者所挑选的45个钓鱼网站中,QQ电脑管家成功拦截36个,总拦截率为80%,但令人遗憾的是其中2个赌博网站管家没有拦截、彩票预测网站管家全部没有拦截,但管家的总拦截率达到了80%,这个成绩还是很让笔者欣慰和满意的;
QQ截图18.jpg (17.88 KB, 下载次数: 12)
09:52 上传
QQ截图00.jpg (16.24 KB, 下载次数: 9)
09:52 上传
&&另外,笔者发现QQ管家的钓鱼、欺诈网站的拦截弹窗中,会温馨提示真正的官方网站,这些细节做得的确是非常人性化,能够帮助不小心误点钓鱼网站的用户记住真实网站,从而减少上当几率;(如下图)
&&最后,希望QQ管家团队今后能够继续加强对于钓鱼、欺诈网站的拦截,加快云URL恶意网址查询的响应速度、加快对最新钓鱼、欺诈网站的响应速度;争取做到更高的识别率,以减少网民的财产损失。
⑥【恶意链接+下载保护拦截测试】
&&恶意链接就是指那些恶意程序的下载链接,本测试考察QQ管家对于恶意链接的拦截能力,看浏览器能否保障在恶意程序被下载前就拦截。下载前拦截是Q管网页防火墙功能的一部分,由于是在用户下载文件前就对文件安全性进行识别、拦截危险文件,所以被称为下载前拦截。
&&下载前拦截的实现机制,简单来说,就是当用户点击某个下载链接时,Q管将该链接url所指向的文件的特征取至云端进行分析,然后返回分析结果。如果查云得到的结果为黑,就会弹出下载前拦截的提示框,告诉用户当前的下载链接存在风险。
& &下载保护就是当病毒越过前一层下载前拦截后,被下载到本地的检测手段,保障病毒刚进入计算机就被杀毒软件拦截。
& &测试方法:通过网页下载30个不同种类的木马病毒(包括伪快播、QQ黏虫、鬼影等样本),测试拦截效果。
1 w.jpg (12.97 KB, 下载次数: 12)
02:12 上传
2 w.jpg (12.43 KB, 下载次数: 7)
02:12 上传
6 f.jpg (12.82 KB, 下载次数: 12)
02:12 上传
5f.jpg (13.68 KB, 下载次数: 6)
02:12 上传
4 f.jpg (13.41 KB, 下载次数: 10)
02:12 上传
10 s.jpg (14.58 KB, 下载次数: 4)
02:12 上传
3 s.jpg (24.9 KB, 下载次数: 14)
02:12 上传
7s.jpg (24.9 KB, 下载次数: 5)
02:12 上传
8s.jpg (20.68 KB, 下载次数: 14)
02:12 上传
9s.jpg (22.94 KB, 下载次数: 10)
02:12 上传
&&测试结果:在所挑选的30个木马中,管家拦截了15个,拦截率为50%;但剩余的15个管家一个判白,另外14个报未知。
QQ截图07.jpg (18.02 KB, 下载次数: 7)
09:52 上传
&&由此可见,管家的下载保护和恶意链接防护措施还不完善,或者说还有很多的缺陷,笔者看了下下载保护的云查询方式,认为
是管家的云端特征码查询,然后反馈到本地,那个bwpe/nhj这种奇怪的后缀可能就是这个特征码的一个段。
&&总之,无论是哪种检测方法,管家的下载保护都急需加强,笔者相信并期待着正式版本的7.0中能够有强劲有力的下载保护!
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && & 【下一楼还有】
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
18:05 编辑
⑦防御能力测试:
正 16层防护.jpg (74.31 KB, 下载次数: 6)
10:28 上传
一. 网购安全防护测试(上网安全防护)
测试安全背景:近年来兴起的网购成为了网民生活的主要方式,然而在享受网络购物带来的便利同时也面临着许多风险,例如网购木马的出现,传播方式一般是卖家要发所谓的”实物图“,其实这是伪装成图片格式的网购木马,会通过篡改浏览器内部数据,篡改页面,达到诈骗钱财、窃取支付宝账号密码的目的,威胁十分巨大。所以拥有一款好的反网购木马的杀毒软件至关重要!
& &测试目的:测试QQ管家对于网购的安全保护能力
&& 测试方法:
& && && &&&1.模拟真实网购环境,运行网购木马样本,看管家拦截情况;另外进入财产保镖后运行木马样本查看拦截情况。
& && && &&&2.查看网购安全防护能否防止网购木马注入浏览器线程等高危动作;
样本详细信息与行为分析:
&&这是一枚具有代表性的网购木马,运行后会主动监控浏览器进程并进行注入操作,然后当弹出网购页面后进行页面篡改操作;其也是
一种依靠第三方loader来绕过杀毒软件监控的木马,就是利用了暴风影音升级程序加载dll时不会去鉴定所加载的dll,所以被病毒
恶意利用,以绕过杀软的拦截!
&&这里科普一下:什么是第三方loader?
第三方loader简单来说,比如启动正常的xxx.exe白文件,它会去加载一个xxx.dll白文件。
然而xxx.exe白文件去加载xxx.dll白文件的时候没有去做安全校验
病毒作者会把xxx.dll替换成一个自己写的dll文件,从而打成运行的目的。
而本次的dll就是stormupdate.dll文件
1 样本信息.jpg (30.06 KB, 下载次数: 7)
11:16 上传
名称:实物图(网购木马病毒母体及释放)(如上图)
MD5:5e31db1b3fe4f720e03e9f
大小:570614字节
上样本行为——火眼自动化动态样本分析系统报告(由于该网购木马为俩exe所以火眼只跑出查询a文件的动作,没有跑全 如下图)
火眼--结果分析--网购木马病毒母体及释放.rar-110913.png (84.96 KB, 下载次数: 11)
11:16 上传
火眼--结果分析--StormUpdate.dll-142906.png (111.94 KB, 下载次数: 8)
14:34 上传
(1)程序的压缩包
里面有一个被修改的.exe.a文件和一个stromupdate.dll文件
其中其他俩个文件为病毒母体的衍生物,把.exe.a的后缀改为.exe后,加载该文件会加载stromupdate.dll,运用
第三方loader的方法绕过杀毒软件。
2.jpg (90.03 KB, 下载次数: 7)
14:31 上传
3.jpg (89.69 KB, 下载次数: 18)
14:31 上传
4.jpg (108.72 KB, 下载次数: 6)
14:31 上传
(2)进行右键扫描测试 ,管家成功识别
5.jpg (102.35 KB, 下载次数: 11)
14:31 上传
(3)病毒母体及其衍生物
11.jpg (110.57 KB, 下载次数: 3)
14:31 上传
6.jpg (91.65 KB, 下载次数: 1)
14:31 上传
7.jpg (89.61 KB, 下载次数: 8)
14:31 上传
(4) 进行开启监控下的双击样本测试
管家成功拦截该网购木马样本,并没有被第三方loader的加载方式绕过,很棒!
8.jpg (144.46 KB, 下载次数: 12)
14:31 上传
9.jpg (136.03 KB, 下载次数: 4)
14:31 上传
病毒成功被文件监控系统删除
18.jpg (125.4 KB, 下载次数: 6)
14:32 上传
打开淘宝网,触发网购病毒
19.jpg (130.77 KB, 下载次数: 6)
14:32 上传
注入浏览器进程操作被管家成功截杀
(5)接下来关闭Q管监控 进行完全染毒测试 让病毒充分运行5分钟后 进行重启操作
10.jpg (219.5 KB, 下载次数: 5)
14:31 上传
12母体释放文件.jpg (167.84 KB, 下载次数: 5)
14:31 上传
13 利用白.jpg (160 KB, 下载次数: 3)
14:31 上传
然后进行快速灭活操作,之后使用powertools参考md日志和火眼分析报告,判断灭活是否成功。
17.jpg (108.83 KB, 下载次数: 4)
14:32 上传
final.jpg (99.55 KB, 下载次数: 5)
14:32 上传
(7)根据powertools与md、火眼的日志判定管家是否灭活成功。
14被注入的dll.jpg (155.58 KB, 下载次数: 5)
14:32 上传
15内核提权.jpg (148.5 KB, 下载次数: 2)
14:32 上传
ring3下消息hook.jpg (216.35 KB, 下载次数: 3)
14:32 上传
测试结果:
&&这种第三方loader木马被QQ管家成功截杀、关闭监控后的染毒系统用Q管进行了快速灭活操作,但是存在残留状况。
&&由此可见QQ管家对于利用第三方loader的绕过杀软监控机制做了很多对抗性质的拦截策略,使这种利用第三方白loader
载入恶意文件的方式得以被拦截掉,并逐步完善了染毒后系统的清毒流程、修复流程,对于网购类木马,QQ管家做了很好的
拦截策略,例如对于网购木马试图进行浏览器注入,以篡改页面信息的行为管家都进行了成功的拦截。
& &但Q管的防御仍然存在些许不足之处,例如笔者注意到,病毒运行至少20s后管家才弹出拦截框,这一段时间内存在着一个很长
的延时,另外就是在进行清毒流程后仍然在注册表中留有残留项,并未完美灭活。
& &这点还需要不断的改进,期待能做正式版中看到更强的网购木马拦截与第三方loader方式启动木马的拦截。
QQ截图51.jpg (15.38 KB, 下载次数: 11)
17:24 上传
二. 文件下载保护测试(上网安全防护)
&&Q管的文件下载保护是指下载后的拦截实现机制,简单来说,就是当用户点击某个文件时,Q管将该文件所指向的文件的特征取至云端进行分析,然后返回分析结果。
& &1.如果查云得到的结果为黑,就会在下载完成后弹出拦截的提示框,告诉用户当前的下载链接存在风险。(如下图)
& &2.如果为白,就告诉用户该文件为安全(如下图)
& &3.如果在云端查询不到就报未知并传云端分析(30M以上不上传)。(如下图)
可见,下载保护是保障用户上网安全的一道拦截机制,在下载入口拦截住木马,作为防御威胁的一道屏障。此外下载保护不仅针对浏览器,还对QQ、阿里旺旺等IM软件进行了防护机制,下面笔者就通过实测来检验Q管下载保护强弱。
测试方法:下载30个带毒文件包 查看Q管拦截情况
1 w.jpg (12.97 KB, 下载次数: 8)
11:09 上传
2 w.jpg (12.43 KB, 下载次数: 5)
11:09 上传
4 f.jpg (13.41 KB, 下载次数: 8)
11:09 上传
5f.jpg (13.68 KB, 下载次数: 3)
11:09 上传
6 f.jpg (12.82 KB, 下载次数: 6)
11:09 上传
10 s.jpg (14.58 KB, 下载次数: 14)
11:09 上传
(判灰和判白)
9s.jpg (22.94 KB, 下载次数: 8)
11:09 上传
8s.jpg (20.68 KB, 下载次数: 1)
11:09 上传
7s.jpg (24.9 KB, 下载次数: 8)
11:09 上传
3 s.jpg (24.9 KB, 下载次数: 3)
11:09 上传
&&测试结果:15判黑、14个判灰传云、1个判白
QQ截图07.jpg (18.02 KB, 下载次数: 4)
11:12 上传
&&结论:QQ管家目前的文件下载保护还不是很强,经常出现文件下载后
三. QQ安全防护测试(上网安全防护)
&&QQ安全防护的模块就是QQ管家的,在QQ2012的安全防护版中内置了,该功能能够很好的保障QQ号安全不受盗号木马威胁,该安全防护主要能做到(引用QQ安全中心介绍):“
1.优化安全检查逻辑,及时发现盗号危险支持对QQ盗号木马定向检查,通过云安全检查可及时发现电脑中的QQ盗号木马,提醒用户进行清除,做好帐号财产的保护。
3.jpg (41.43 KB, 下载次数: 9)
15:29 上传
2.有效拦截恶意程序注入,避免QQ异常
针对恶意程序试图注入QQ进行拦截并弹出详情提示,同时允许用户启用QQ电脑管家进行彻底查杀。
2.jpg (34.92 KB, 下载次数: 3)
15:29 上传
3.可疑程序注入提醒
针对可疑程序试图注入QQ进行提醒,用户可根据具体情况选择允许还是放过。
1.jpg (42.55 KB, 下载次数: 3)
15:29 上传
&&结论:由以上引用的QQ安全中心介绍中不难看出,QQ2012 安全防护版内嵌了管家的反QQ盗号木马的模块,而QQ管家则能够提供
更加全面的QQ安全防护,现在主流的盗号木马都是通过注入QQ进程从而开启键盘记录器,然后盗取用户的帐号和密码,
QQ安全管家在防注入方面做了很多对抗策略优化,能够完美拦截主流QQ盗号木马,防止盗号木马窃取用户QQ账户等信息。
四. 搜索保护测试(上网安全防护)
搜索保护就是QQ管家对于搜索引擎搜索结果的检查、目前按照官方的说法只支持IE内核(Trident)、QQ管家通过检查搜索
引擎搜索的结果(百度、谷歌、雅虎、bing、搜搜)来判断当前链接是否安全,然后给出相应的安全提示。
1.jpg (234.53 KB, 下载次数: 11)
15:35 上传
2.jpg (223.93 KB, 下载次数: 7)
15:35 上传
&&但经过笔者测试,无论是IE浏览器、Chrome浏览器还是QQ浏览器(webkit)版,QQ管家的搜索引擎保护全部失效,无论是
搜搜搜索引擎、雅虎搜索引擎、bing搜索引擎还是百度、谷歌搜索引擎、都没有出现QQ电脑管家的搜索引擎保护的拦截提示,
笔者可以肯定自己所搜索的界面存在恶意链接,但是QQ管家并没有给出安全提示,这一点笔者非常疑惑,究竟是QQ管家对
搜索保护的支持不到位、技术细节没完善还是笔者自身问题?
3.jpg (182.52 KB, 下载次数: 7)
15:35 上传
4.jpg (207.36 KB, 下载次数: 2)
15:35 上传
&&结论:笔者始终没有看到半点搜索引擎保护的影子,无法对此功能做出评判。
五. 网游安全防护测试(上网安全防护)
&&网络环境背景:当下中国网络游戏市场蓬勃发展网络游戏的诞生让人类的生活更丰富,并且丰富了人类的精神世界和物质世界,于是网游中的虚拟财产交易等
便成了黑客、不法分子紧盯的目标,网络上的盗号木马时刻威胁着网民们的财产安全!
&&所以,一款安软对于游戏的保护能力十分重要,主要体现在对于游戏盗号木马的防御工作上,盗号木马主要是通过注入游戏登录进程然后
通过键盘记录器获取帐号和密码,从而盗窃受害者的帐号进行倒卖,并从中获利。
&&且现在盗号木马已经形成一个产业链,木马生产者、传播者、洗钱者、贩卖者、组织者形成了一个严密的整体,80%的盗号木马都是由这样
的集体诞生,所以防止盗号木马刻不容缓。
&&测试方法:笔者将通过一种主流的游戏盗号木马检测QQ电脑管家对于盗号木马的检测能力(Win32.trojan.PSW-GameOL.xxx)
病毒样本火眼分析报告:
火眼--结果分析--virus (28).exe.png (118.93 KB, 下载次数: 8)
17:21 上传
该网游盗号木马会不断查找一下游戏程序:
疑似查找游戏进程
附加信息:ACLIENTM.EXE [预言Online]BO.EXE [刀剑online]CA.EXE [泡泡堂]CABALMAIN.EXE [惊天动地]CDCGAMES.EXE [特种部队]CLIENT.EXE [洛奇/龙OL]CLIENT.EXE [蜀门]CLIENT.EXE [降龙之剑]CROSSFIRE.EXE [穿越火线 ]CROSSFIRE.EXE [穿越火线]CSTRIKE.EXE [反恐精英]DNF.EXE [DNF游戏进程]ELEMENTCLIENT.EXE [完美世界/诛仙/等游戏相关进程]GAME.EXE [剑侠世界]GAME.EXE [天龙八部、QQ音速、英雄岛封测版、神魔大陸]GAME.EXE [神泣]GAME.EXE [神鬼世界Online]GAME.EXE [[在论坛广告被屏蔽]]GAMEFREE.EXE [剑侠情缘]GONLINE.EXE [SD敢达]GVONLINE.BIN [大航海时代online]LATALECLIENT.EXE [彩虹岛]MAFIA.EXE [天黑请闭眼]MAIN.EXE [飄流幻境Online]MIR1.DAT [传奇1进程]MXMAIN.DLL [梦想世界]MY.EXE [梦幻西游]QQFFO.EXE [QQ自由幻想]QQFO.EXE [QQ幻想]QQSG.EXE [QQ三国]RA3.EXE [红色警戒3]SOUL.EXE [魔域]SRO_CLIENT.EXE [丝路传说]TTY3D.EXE [QQ寻仙]WOOOL.DAT [传奇世界]WOW.EXE [魔兽进程]
并伺机进行注入从而执行盗号操作
检测是否存在指定注册表键
附加信息:HKEY_LOCAL_MACHINE\Software\SogouInput行为描述:疑似查找浏览器
附加信息:360浏览器傲游浏览器搜狗浏览器
在注册表中查找搜狗拼音输入法、浏览器等执行注入操作
六. U盘防御测试(应用入口防御)
&&U盘作为一种方便快捷的移动数据存储体一直方便着网民的移动生活,但是自从AutoRun.inf漏洞爆出之后,U盘病毒便如雨后春笋般层出不穷,U判病毒的主要
&&原理都是:病毒向U盘写入病毒程序,然后更改AutoRun.inf文件,之后autorun.inf文件记录用户选择何种程序来打开U盘。如果autorun.inf文件指向了病毒程序,那么
系统就会引发病毒。说白了就是会利用Autorun.inf这个会自动播放的漏洞。
& &&&所以对于U判病毒的查杀都是使用病毒特征码或删除autorun.inf来查杀U盘病毒的,&&这种较为暴力的查杀方式可能会导致U盘中的重要文件丢失、本测试专注于QQ电脑管家能否
成功将U盘病毒剔除切不会损坏系统文件。&&
&&下面笔者挑选了50个U盘病毒进行管家的U盘防御测试:
U盘病毒交叉感染防御测试
暴风一号U盘病毒防御测试(1KB快捷方式病毒)
111.jpg (27.39 KB, 下载次数: 5)
22:17 上传
44.jpg (27.35 KB, 下载次数: 5)
22:17 上传
2.jpg (27.72 KB, 下载次数: 9)
22:17 上传
112.jpg (27.52 KB, 下载次数: 4)
22:17 上传
222.jpg (27.53 KB, 下载次数: 9)
22:17 上传
2111.jpg (27.62 KB, 下载次数: 4)
22:17 上传
bb.jpg (28.54 KB, 下载次数: 3)
22:17 上传
QQ截图50.jpg (26.49 KB, 下载次数: 8)
22:17 上传
QQ截图58.jpg (26.58 KB, 下载次数: 8)
22:17 上传
QQ截图03.jpg (27.46 KB, 下载次数: 6)
22:17 上传
QQ截图08.jpg (28.25 KB, 下载次数: 10)
22:17 上传
QQ截图12.jpg (27.35 KB, 下载次数: 11)
22:17 上传
QQ截图01.jpg (27.39 KB, 下载次数: 6)
22:17 上传
QQ截图29.jpg (24.94 KB, 下载次数: 4)
22:17 上传
QQ截图43.jpg (27.42 KB, 下载次数: 5)
22:17 上传
QQ截图53.jpg (27.46 KB, 下载次数: 5)
22:17 上传
QQ截图21.jpg (25.79 KB, 下载次数: 9)
22:17 上传
啊啊啊.jpg (27.4 KB, 下载次数: 3)
22:17 上传
&&测试结果:40/50 管家对于主流U盘病毒的拦截率达到了90%,可以精准查杀主流U盘病毒,对于U盘病毒,尤其是暴风一号
这样的脚本病毒,会进行一些系统破坏,管家的修复流程也能够很好的将这些破坏行为全部回滚、修复、并完美进行清毒
流程,很棒。
&&但仍然会有一些U盘病毒被管家判白,可见管家的U盘防御还有继续上升的空间,希望QQ管家团队不断增强这个U盘防御点,
另外判白的样本已经提交给管家团队,期待早日入库、完美解决。
&&七. 文件防护 三种防护等级分别测试(系统底层防护)
&&八. 注册表防护测试(系统底层防护)
&&九.驱动防护测试(系统底层防护)
文件防护,是所有杀毒软件最核心、最依赖的一套防御体系,它最直接的决定了一款杀毒软件的防御能力强弱,而对于
注册表防护、驱动防护都是文件防护的一种延伸和有益补充,目的在于防止一类篡改注册表实现自启动、破坏杀软、加驱
获得Ring0权限的木马,是一套系统底层的整体防御体系,对于QQ管家防御体系的形成起到一种框架性的作用。
& &评测方法:笔者双击精选的100枚主流病毒样本,查看QQ管家的底层系统防御能力。
QQ截图39.jpg (26.45 KB, 下载次数: 8)
22:25 上传
QQ截图22.jpg (26.69 KB, 下载次数: 8)
22:25 上传
QQ截图01.jpg (26.66 KB, 下载次数: 3)
22:25 上传
QQ截图54.jpg (27.34 KB, 下载次数: 8)
22:25 上传
QQ截图23.jpg (25.74 KB, 下载次数: 3)
22:25 上传
QQ截图14.jpg (25.75 KB, 下载次数: 2)
22:25 上传
QQ截图03.jpg (26.02 KB, 下载次数: 9)
22:25 上传
QQ截图56.jpg (26.44 KB, 下载次数: 9)
22:25 上传
QQ截图50.jpg (26.32 KB, 下载次数: 11)
22:25 上传
QQ截图43.jpg (26.35 KB, 下载次数: 5)
22:25 上传
QQ截图36.jpg (26.3 KB, 下载次数: 5)
22:25 上传
QQ截图29.jpg (26.21 KB, 下载次数: 5)
22:25 上传
QQ截图22.jpg (25.54 KB, 下载次数: 7)
22:25 上传
QQ截图14.jpg (25.76 KB, 下载次数: 3)
22:25 上传
QQ截图00.jpg (25.38 KB, 下载次数: 8)
22:25 上传
112.jpg (25.55 KB, 下载次数: 11)
22:25 上传
22.jpg (26.76 KB, 下载次数: 12)
22:25 上传
QQ截图06.jpg (27.45 KB, 下载次数: 4)
22:17 上传
测试结果表格:
啊啊啊.jpg (29.36 KB, 下载次数: 12)
22:39 上传
测试结果:在双击的100枚样本中,管家成功拦截73个,总拦截率达到了73%,其中40个报危险文件(红色弹窗)、33个报可疑风险文件(橘黄色弹窗)
这些样本都是一些当下流行的样本,可见管家对最新样本的响应速度还是值得肯定的,但是剩下的27个样本管家却没有拦截,甚至3个样本管家报了
白文件,这令笔者十分遗憾。
&&笔者看了一下管家漏报的23个样本,行为威胁并不是很明显,有些样本的行为需要在特定环境下才能被完全触发、另外有9枚病毒无法运行,故不计入管家
漏报样本数目内。
& &总得来说,QQ管家的系统底层防御在不断的加强,至少较上一版本有了很明显的加强,笔者注意到管家在系统ring0层挂了很多IDA HOOK、IDP hook、
SSDT HOOk钩子、这说明管家在不断加强系统内核级的防御。
& &期待正式版本QQ管家更加强大的系统底层监控!
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && & & &&&【下一楼还有】
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
18:07 编辑
③QQ管家与国内外10款主流杀软技术性横向攻防测试
攻防测试开头.jpg (79.98 KB, 下载次数: 4)
00:09 上传
进行大型的横向主流杀软攻防测试,强调测试杀软的灭活能力、染毒后的系统修复能力、文件、注册表、驱动防护能力、以及对未知文件的响应速度等。
攻防测试相关说明:
攻代表的是病毒对系统的攻击,防代表的是病毒免杀杀软的防。
具体方法:
1.提供该样本相关病毒行为,即样本行为简单描述,金山火眼动态样本分析系统日志报告,md监控日志报告。
2.笔者自己对病毒的分析和理解,保障分析透每一个病毒。
2.首先进行染毒前右键扫描,再双击病毒样本,测试杀软的防御能力,再关闭杀软监控或者完全退出杀软,直接运行病毒使其感染系统,再打开杀软进行快速扫描或者全盘扫描,检测是否成功修复系统。
4.共使用10款国内外主流杀毒软件进行攻防测试:QQ管家、金山、360、江民、瑞星、avast!、Avira、Kaspersky、NOD32、Norton
评判成功/残留/失败的方法:
2.jpg (51.35 KB, 下载次数: 11)
21:45 上传
1.成功:必须是Q管成功杀掉病毒母体后重启 保证病毒生成的文件 启动项 注册表等已经清除并且修复对系统的破坏;&&2.残留:残留必须是在杀毒后重启,保证没有病毒运行,但是没有查杀病毒母体或者存在启动项、注册表、病毒衍生物有残留。
3.失败:在快速扫描后重启电脑如果病毒仍然在运行就说明灭活失败&&4.具体判断依据:火眼、CIMA或MD的分析报告或日志
测试意义:笔者在前文中阐述引擎的重要性时,曾经强调评判一款杀软的好坏无外乎三项:引擎、监控、对最新病毒的响应速度。
&&其中评判”引擎“和”监控&这两项最好的办法就是分别测试攻防:& &一.& & 引擎: 电脑染毒后杀软对系统的修复能力、快速灭活能力和清毒流程。这三点决定了引擎关键项指标,而本次测试也将遵循这样的一个原则来进行。
&&二.& & 监控:强调在系统被病毒感染前的快速拦截,是否能拦截住病毒、能否成功拦截加驱、注册表修改等操作、拦截后病毒是否还会死灰复燃、以及监控的严格程度、对系统性能的影响等等。
所以说,进行攻防横向测试的意义非常重大,能够很好的评判出一款杀毒软件的能力强弱,此次笔者更是带来了国内外10款主流杀毒软件
参加测试的国内外10快主流安全软件概览:1.QQ电脑管家7.0杀毒版本
首页体检.jpg (79.55 KB, 下载次数: 13)
20:17 上传
2.金山毒霸2012 猎豹版
22.jpg (80.51 KB, 下载次数: 9)
20:18 上传
3.360杀毒 3.1 Air
1.jpg (78.41 KB, 下载次数: 3)
20:04 上传
4.江民 KV2011
1.jpg (54.7 KB, 下载次数: 4)
20:07 上传
5.瑞星杀毒 2011
4.jpg (72.92 KB, 下载次数: 9)
19:57 上传
6.avast!家庭版 7.0
2.jpg (102.99 KB, 下载次数: 5)
20:08 上传
7.Avira V12 (小红伞)免费版
1.jpg (65.13 KB, 下载次数: 4)
20:11 上传
8.卡巴斯基2012 反病毒
1.jpg (62.49 KB, 下载次数: 9)
20:13 上传
2.jpg (57.52 KB, 下载次数: 10)
20:16 上传
10.Norton反病毒2012
1.jpg (49.74 KB, 下载次数: 3)
20:14 上传
参加测试样本选择:样本必须高质量、有意义、有价值的样本,笔者将会从鬼影3、QQ黏虫、新网银木马(第三方loader加载)等典型样本中挑选进行测试。
样本选择1:新网银木马win32.Trojan.banker.XXX主要特征:病毒样本构成分析(第三方loader白加黑 exe调用dll读取dat文件)
1.jpg (71.72 KB, 下载次数: 3)
19:55 上传
修改后缀名后
2.jpg (64.66 KB, 下载次数: 10)
19:55 上传
OD逆向分析
3.jpg (249.94 KB, 下载次数: 6)
19:55 上传
(笔者分析)&&1.该网银木马利用暴风影音升级程序MicroExamin.exe(正常的白文件 暴风升级程序)会加载stromupdate.dll文件,就是一个第三方loader白加黑的策略以绕过杀毒软件的检测,由于杀毒软件以前对此类白文件都是直接放过的,所以造成了病毒轻易绕过杀软的监控。&&& &2.之后病毒会释放文件version.dat,一个数据dat文件的结尾,其实这是一个加密数据,在利用白程序加载恶意dll后次dat会解密为一个可执行的PE文件,之后创建互斥体判定目的在于判断该dll文件是否已经成功注入;& && &3.完成了以上行为后,病毒会添加注册表关键键值,实现自身伴随系统启动:SOFTWARE\Microsoft\Windows\CurrentVersion\Run设置MicroExamin.exe自启动(而且病毒作者险恶的一点是,由于这个loader是个白文件,所以杀毒软件的不会拦截)
& &4.当病毒完成同系统自启动的篡改后,病毒便会进行一些列在head.bin文件内注入WriteProcessMemory(写入进程内存)、ReadProcessMemory(读取进程内存)等操作,为后续注入浏览器做准备。(目前笔者发现这种网银木马只对IE内核,也就是Trident内核有效,对于webkit等内核的浏览器无法实现注入操作) & &&&5.当一切准备完毕后,病毒就会为了盗号而准备了,病毒会通过RegisterWindowMessage注册一个WM_HTML_GETOBJEC从而注入到浏览器控件中,最终还存在一个winnet.dll的调用。当淘宝等页面被开启后病毒被触发,之后当用户使用支付宝付款时制造支付宝维护的假象,诱导用户进行网银支付,从而跳转到充值卡以诈骗钱财。
这种木马考验杀毒软件的一下几点能力:
1.对于第三方loader白+黑加载方式的木马拦截能力2.对于网购木马快速识别、鉴定、灭活、系统修复、清毒流程的能力。3.防止病毒对浏览器(Triden)内核的防篡改、防注入能力;4.对于钓鱼网站(假银行、假第三方支付平台的拦截能力)下面附上该样本的火眼行为日志:
然后进行Q管与国内外10款主流杀软的技术性攻防横向测试:
1.QQ电脑管家
杀毒界面.jpg (80.44 KB, 下载次数: 12)
20:03 上传
5.jpg (102.35 KB, 下载次数: 5)
20:02 上传
6.jpg (91.65 KB, 下载次数: 9)
20:02 上传
8.jpg (144.46 KB, 下载次数: 8)
20:02 上传
染毒后的快速灭活
2.金山毒霸猎豹版 2012
4.jpg (64.64 KB, 下载次数: 6)
19:59 上传
3.jpg (82.95 KB, 下载次数: 6)
19:59 上传
2.jpg (25.86 KB, 下载次数: 8)
19:59 上传
染毒后的快速灭活
1.jpg (55.86 KB, 下载次数: 6)
19:59 上传
3.360右键扫描
43.jpg (78.07 KB, 下载次数: 7)
20:04 上传
2.jpg (27.01 KB, 下载次数: 7)
20:04 上传
22.jpg (23.28 KB, 下载次数: 8)
20:04 上传
染毒后的快速灭活
4.jpg (72.08 KB, 下载次数: 11)
20:04 上传
12.jpg (66.75 KB, 下载次数: 1)
20:04 上传
右键扫描监控拦截
1.jpg (14.63 KB, 下载次数: 3)
19:57 上传
2.jpg (100.66 KB, 下载次数: 4)
19:57 上传
染毒后的快速灭活
QQ截图55.jpg (2.83 KB, 下载次数: 1)
19:57 上传
5.江民右键扫描
4.jpg (46.03 KB, 下载次数: 6)
20:07 上传
2.jpg (19 KB, 下载次数: 3)
20:07 上传
染毒后的快速灭活6.avast
1.jpg (23.87 KB, 下载次数: 6)
20:08 上传
4.jpg (36.69 KB, 下载次数: 6)
20:08 上传
3.jpg (24.06 KB, 下载次数: 3)
20:08 上传
染毒后的快速灭活
5.jpg (70.18 KB, 下载次数: 9)
20:08 上传
4.jpg (33.18 KB, 下载次数: 3)
20:11 上传
2.jpg (20.94 KB, 下载次数: 8)
20:11 上传
3.jpg (105.47 KB, 下载次数: 7)
20:11 上传
染毒后的快速灭活
6.jpg (39.72 KB, 下载次数: 10)
20:11 上传
7.jpg (29.81 KB, 下载次数: 1)
20:11 上传
8.卡巴斯基
4.jpg (34.34 KB, 下载次数: 4)
20:13 上传
3.jpg (15.63 KB, 下载次数: 7)
20:13 上传
QQ截图08.jpg (36.67 KB, 下载次数: 7)
20:13 上传
染毒后的快速灭活9 mse
1.jpg (52.63 KB, 下载次数: 6)
20:16 上传
染毒后的快速灭活
6.jpg (49.68 KB, 下载次数: 9)
20:08 上传
2.jpg (54.94 KB, 下载次数: 2)
20:14 上传
5.jpg (43.28 KB, 下载次数: 3)
20:14 上传
监控拦截发现威胁
3.jpg (7.52 KB, 下载次数: 5)
20:14 上传
成功处理威胁
4.jpg (9.96 KB, 下载次数: 3)
20:14 上传
染毒后的快速灭活
攻防测试总结果:
1.jpg (28.93 KB, 下载次数: 8)
21:34 上传
测试总结论:根据攻防测试的大型横向对比,笔者比较了QQ电脑管家和其余国内外10款主流杀毒软件对于“新网银木马”的查杀、拦截和灭活能力,以及快速清毒、&&灭活、系统修复等流程,以及对于第三方loader白加黑加载文件方式的拦截能力等,笔者惊喜的发现,对于国内的厂商,例如QQ管家、瑞星、360、金山的防御机制都能很好的拦截这类第三方loader白加黑运行机制的病毒,也能够跑出很好的病毒修复、清毒流程、在快速灭活方面,能够较为快速、准确的将病毒极其衍生物及时删除,将被破坏的系统及时修复,这点做得很好。&&&&但令笔者遗憾的是,作为微软的杀毒软件mse到现在都没有能够及时的查杀、拦截这类第三方loader白加黑的病毒木马,令笔者非常失望,更不要提染毒后的系统修复流程和快速灭活流程了,另外对于瑞星笔者不得不说在进行灭活后还残留了一个启动项,这个启动项是暴风影音升级程序stromupdate的前置程序MX,exe由于是白文件,被病毒利用来加载黑dll所以非常容易被忽略。& &&&总得来说,本次攻防测试。QQ管家表现良好,成功的干掉了类似与QQ黏虫、网银大盗木马这样的第三方loader加载的病毒,非常给力!& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &&&【下一楼还有】
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
22:17 编辑
QQ电脑管家对抗鬼影6病毒
& &鬼影6的基本特征(以下所有特征针对的是感染完全的情况):1. 会将Stralo替换成病毒历程,隐藏端口和驱动文件。2. 回写StartIO 例程。3. 隐藏病毒为内存末尾,让鬼影病毒StartIO例程的保护范围内,说白了就是可以无文件运行。4. 阻止主流杀软(QQ管家、360、金山、江民、瑞星、卡巴、avast、AVG、avira),以及内核、ark工具、专杀。5. 病毒会下载其他盗号木马群,可以看作是一个Trojan-Downloader
笔者从国内某安全厂商的一位病毒分析师那里了解到,此次的鬼影6病毒的AV技术很强,比如:使用了atapi+ntfs+startio+回写+av技术保护mbr不被修复等AV技术,而且最大的特点就是无文件然后躲过杀软的查杀。
笔者用Q管与其进行对抗性测试:
QQ截图21.jpg (25.79 KB, 下载次数: 6)
22:16 上传
QQ截图42.jpg (59.54 KB, 下载次数: 6)
22:16 上传
QQ电脑管家成功拦截鬼影6最新变种 并完美跑完修复流程
右键扫描:成功
拦截:成功
染毒后快速灭活:成功
写在最后,
天道酬勤QQ
本帖最后由 天道酬勤QQ 于
22:19 编辑
全文总结:
原型jpg.jpg (72.54 KB, 下载次数: 3)
17:19 上传
第一部分:QQ管家测试成绩
1.扫描速度成绩
速度.jpg (16.16 KB, 下载次数: 8)
17:16 上传
&&总评:可见,QQ电脑管家引擎的扫描速度方面,无论是全盘扫描还是闪电扫描,速度都非常快(这也跟笔者机器内文件数量不多有关),另外,管家利用了类似于“智扫”或这卡巴斯基的&iswich&/&icheck:扫描技术,在二扫时提高了扫描速度。&&这种技术简而言之就是:记录一扫过程中无变化的白文件,在二次扫描中直接跳过,以达到提高扫描速度的目的。
2.静态扫描测试
扫描.jpg (25.65 KB, 下载次数: 5)
17:16 上传
静扫.jpg (19.56 KB, 下载次数: 7)
17:16 上传
&& 测试结果:
& &经管家静态扫描测试,共识别出44个病毒、其中20分钟后测2次扫描,识别数为44个,较一扫没有增加,加入金山云后识别率为:一扫88%、二扫仍然为88%;
最后添加Avira引擎,还是88%;笔者注意到链接金山云引擎和avira引擎后,查杀率并没有增加,可能是金山与avira是扫描Q管判断为威胁之后再进行扫描剩余的样本;可见管家的静态扫描查杀率还是令人非常满意的,多引擎的优势在此处便一下子显现出来,能够很好的让各种引擎之间进行优势互补。& &但是Q管需要将多引擎查杀的资源占用进一步降低,以让用户得到更大的性能提升。
&&优点——多引擎结合是QQ电脑管家7.0的一大特色所在, ”2云引擎“+“2本地引擎”+修复引擎的结合能够大幅提高管家的检出率,云引擎”与“本地引擎”相结合可以相互弥补各自的不足,达到响应速度和查杀率、资源占用的最大平衡。&&缺点——多引擎势必会带来系统性能的下降,Q管团队需要再不断优化系统资源占用和软件的使用流畅度;另外随着Q管自主引擎的不断成熟,可以将引擎数量减少到3款,保障系统性能。&&评:虽然存在多引擎对系统性能的影响,但是不可否认Q管的多查杀引擎组合的确非常给力,各引擎之间能够优势互补,协调工作,共同提高病毒检出率。另外,针对引擎的相关测试会在文章后半部分给出。
3.攻防测试
攻防标准.jpg (11.6 KB, 下载次数: 5)
17:16 上传
31号 攻防.jpg (16.01 KB, 下载次数: 10)
17:16 上传
28号 攻防.jpg (10.59 KB, 下载次数: 11)
17:16 上传
4.挂马网站拦截
挂马.jpg (19.18 KB, 下载次数: 3)
17:16 上传
测试结果:在所挑选的40个挂马网站中,管家成功拦截29个,拦截率为72.5%。其中这些挂马网站的漏洞利用包括最新的暴雷漏洞、跨站XSS脚本攻击、IE 0day漏洞利用、
等漏洞,管家能够拦截72.5%,这个成绩还是很值得肯定的,另外4个挂马网站中可能注入的.js已经失效。
5.钓鱼网站拦截
钓鱼.jpg (17.33 KB, 下载次数: 7)
17:16 上传
钓鱼种类.jpg (18.29 KB, 下载次数: 7)
17:16 上传
测试结果:在笔者所挑选的45个钓鱼网站中,QQ电脑管家成功拦截36个,总拦截率为80%,但令人遗憾的是其中2个赌博网站管家没有拦截、彩票预测网站管家全部没有拦截,但管家的总拦截率达到了80%,这个成绩还是很让笔者欣慰和满意的;
最后,希望QQ管家团队今后能够继续加强对于钓鱼、欺诈网站的拦截,加快云URL恶意网址查询的响应速度、加快对最新钓鱼、欺诈网站的响应速度;争取做到更高的识别率,以减少网民的财产损失。
6.U判防御测试与底层防御测试
u判.jpg (26.6 KB, 下载次数: 9)
17:16 上传
总评:优点——多层防护架构,通过核心防护体系的拓展和延伸能够较完全的保护系统。缺点——还需要加强各个监控的协调和关联、加强监控同查杀的协作(例如监控发现可疑威胁后立刻进行快速灭活操作)
&&评:系统实时防护体系作为防护木马病毒入侵的第一道屏障,所以显得尤为重要。此次的实时防护更新不难看出Q管做了诸多的加强,最大的优点在于基于核心监控延伸和扩展出多项的监控,让防御更加全面。当然也存在各监控协调力度不够的缺憾,相信管家团队会不断的弥补这个缺点。
& &7.下载保护
&&测试结果:
下载.jpg (15.43 KB, 下载次数: 9)
17:16 上传
&&测试结果:下载前拦截的实现机制,简单来说,就是当用户点击某个下载链接时,Q管将该链接url所指向的文件的特征取至云端进行分析,然后返回分析结果。如果查云得到的结果为黑,就会弹出下载前拦截的提示框,告诉用户当前的下载链接存在风险。
& &但由测试结果可见,管家的下载保护和恶意链接防护措施还不完善,或者说还有很多的缺陷,笔者看了下下载保护的云查询方式,认为
是管家的云端特征码查询,然后反馈到本地,那个bwpe/nhj这种奇怪的后缀可能就是这个特征码的一个段。
& &总之,无论是哪种检测方法,管家的下载保护都急需加强,笔者相信并期待着正式版本的7.0中能够有强劲有力的下载保护
第二部分:笔者对Q管7.0版本优缺点的客观评价与建议、展望
&&7.0杀毒版最大的技术性改进是:
&&①多引擎,Avira与金山云、管家云、本地引擎的多重结合——让管家获得了非常给力的查杀能力,当然在获取最大查杀率的同时也一定程度上牺牲了性能;
&&②全新QQ管家本地引擎——同原有的云引擎配合、通过微特征等手段提取样本特征并同云端相互比对,加快了响应速度、但现在本地引擎仍然有很大提升空间;
&&③监控防御较6.X版本有了很大提升——防御深入至了Ring0层,并通过底层防御逐步拓扑出更加完善的防御体系,不过各防御体系之间的协调还有待加强;
&&④大幅度优化了资源占用——从笔者测试的数据中可以清晰的看出,资源占用降低很明显,且操作流畅度也上了一个台阶,但可以再继续深度挖掘性能潜力;
7.0杀毒版本最吸引我的地方:
①对于恶性木马的查杀、防御、灭活能力明显增强——笔者测试了“QQ黏虫”、“中华黑豹”、“鬼影4”、“伪快播下载者”、“新网银盗号木马”等恶性木马,管家能够进行绞杀、灭活和拦截;且系统修复流程跑得很完美。
&&7.0版本还有待改进的地方:
&&①:资源占用可以继续深度优化——提升UI TAB界面切换的流畅度,深度挖掘软件性能潜力,可以使用预加载、模块化安装等方法实现。
&&②:引擎可以少而精——现在目前一共是5套引擎在查杀、真正的引擎有3款分别是Avira、Q管本地、金山云引擎,这种多引擎会带来性能上的下降,可以在Q管引擎完善后提出Avira本地引擎。
&&③:不断优化监控策略,减少弹窗报警延迟——笔者在测试第三方loader白加黑文件的双击测试时,注意到QQ管家的弹窗会存在1~3秒的延迟,且3种监控模式一样
&&第三部分:笔者总评
&&可以说,此次QQ电脑管家7.0杀毒版带给我们的惊喜还是很多的,例如多引擎联合查杀、监控体系的拓扑和延伸、以及资源占用的进一步降低,都为
Q管正式转型成为杀毒软件做下了坚实的铺垫。当然也存在一些遗憾和失望,例如引擎过多给予性能造成的影响、监控弹窗的延迟等等。希望QQ管家团队
能够不断的去改善这些薄弱环节,不断去优化、去深入开发,最终把Q管7.0打磨成一款真正给力的杀毒软件。
优点缺点方面,管家在7.0最大的改变就是将防御监控进一步深入优化了,将防护做到了系统底层ring0层,不同与以前的R3层,可以说防护力度上了一个台阶;再者
就是现在依照最核心的系统底层防御拓扑除了多维度的系统防御体系,虽然说这些防御的本质还是底层防御的拓展和延伸,但这至少做到了让QQ电脑管家
在监控方面更加严谨、更加符合用户使用环境(比如网购保护、下载保护、网游保护)等。
& & 最亮点的一方面还是QQ管家此次自主研发的引擎,Q管本地引擎刚出现从测试中不难看出还有太多需要去不断磨合,现在这款引擎还非常的不成熟。而相对程度的Q管
云引擎引擎的原理是30M以上不上传,30M一下用管家自有的一套算法计算出文件的特征,然后同云端比对给出结果,但从测试结果来开这一引擎的成绩也并非十分给力,管家
强化自主引擎的道路,任重而道远。
& &但笔者相信,管家和管家团队都会带领管家不断优化,不断增强,笔者期待在7.0正式版本中更给力!& &QQ电脑管家——智能杀毒,专业管理!
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &&}
我要回帖
更多关于 梦幻西游点修 的文章
更多推荐
- ·office365包括哪些软件和office2016有什么区别?
- ·沐曦股票行情在那上市的?
- ·原神如何做任务必要手续任务怎么做_必要手续任务完成攻略
- ·李锋刚主要研究领域域
- ·衢州学院学费多少有清真食堂吗?要是没有的话附近有没有清真饭馆?
- ·最近蓝屏用2345系统要LOL偶尔会蓝屏,最可气的是经常出现下图这样的报错框,求解
- ·1尾中特——梦幻西游抓鬼不给东西得东西
- ·3D极品飞车哪一个好玩玩--LOL 别人邀请我的时候,我的右下角看不到邀请信息,我邀请别人的时候 别人也看不
- ·讨论裙LOL红色符印最佳与普——LOL冰鸟游戏青云劫礼包的Q为什么一按就飞了最远而不是在自己的指...
- ·玩守望高画质fps特别模糊,还有马赛克,fps50左右
- ·3D软件下载的赌王——剑网三背包锁密码忘了有哪些
- ·搜狐彩票软件炉石传说狗头人冒险布莱恩——lol英雄联盟是由哪个公司制作的
- ·排列3排列五走势图综合版为什么我LOL进去——梦幻西游一共有多少法宝
- ·三肖拿去喝你最喜欢喝的吧哪个呢你有去过——剑灵的活力可以保存几天的能保存多少能存多少活力有上限吗
- ·腾讯彩票计划群真的假的——退出游戏和重新连接英文怎么说
- ·红双——掌上英雄联盟对战助手怎样和和好友对战
- ·《王者荣耀s7刘备出装》S8刘备怎样出装 S8刘备最强出装攻略
- ·双色球开奖日期剑灵剑士怎么——穿越火线98k盲狙教学的盲狙怎么打
- ·智能移动设备高速发展的今天 传统任天堂掌机发展史会被取代吗
- ·手机彩票公益金分配——你已被分配到已经存在的游戏怎么回事
- ·腾讯彩票讨论裙梦幻西游修业点计算器点修——CF怎么查看军衔的
- ·重庆幸运农场人工计划计划——里的术语什么意思
- ·6和开奖公告——梦幻西游手游装备属性级所有装备国标属性
- ·时彩软件怎样提高对线能力呢——逆战n卡设置提高fps无尽塔防什么
- ·我是摩托罗拉全键盘如何去掉下面这三个键,以前是没有的 现在玩游戏都不能全频!求大神帮忙!
- ·战争雷霆选哪个国家a系是哪个国家
- ·2肖玩的时候需要具备什么条——逆战什么时候玩的查询界面流行音乐是什么
- ·求推荐本本 主要玩梦幻西游手游血宠推荐 3000以下 最好是买过的 用过的觉得好的 最好发链接出来
- ·中彩开奖——LOL寡妇碰到隐身的老鼠隐身是怎么定义的,显示黄眼或者红眼是什么...
- ·体育彩票什么叫补位——炉石传说炉石索瑞森大帝怎么打打炉石黑石深渊攻略
- ·类似时空猎人的手游名字前面的最佳怎么来的
- ·求王者荣耀梦间猫去衣
- ·高频彩开奖号码——tgp逆战截图在哪tgp的中文意思
- ·四中一——剑网五毒单刷烛龙殿小仙踪林如何单刷
