卡巴＆微点PK磁碟机 - 病毒木马 - - 网络安全 - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 网络安全 » 病毒木马 » 卡巴＆微点PK磁碟机 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

本主题由小王于 2008-3-18 17:57 移动

技术员
技术员

帖子 114
精华 0
无忧币 260
积分 230
阅读权限 30

注册日期 2007-7-19

最后登录 2008-5-21

离线

[查看资料] [发短消息] [Blog]

发表于:2008-3-18 15:26　　标题：卡巴＆微点PK磁碟机
＜上一帖 | 下一帖＞

磁碟机病毒是最近最为厉害的病毒之一，变种频繁，国内外杀软对此都只是勉力应付。昨日专门下载一个样本就卡巴和微点对比测试，结果卡巴彻底瘫痪，微点阻止成功。实测虽然很麻烦，但能看出二者“主动防御”是有着本质区别的，这是最大的收获，其次可以亲自体会到各自的长短，最后基本可以断定，卡巴对付磁碟机靠的是特征扫描。
磁碟机是20080305免杀并加了RLPACK壳
卡巴是“麦田守望者”汉化的KIS8.0（未激活）
微点是20080228试用版
电脑未联网
总之，无论是卡巴还是微点都是认识不了病毒样本的，大家都只能靠主动防御。

将系统备份到隐藏分区后安装KIS8.0，重启直到卡巴完全进入迎战状态。运行磁碟机病毒。立即，卡巴闪掉，系统迅速变慢并自动重启，重启后系统时间并未改变，绝大多数程序无法运行，系统隐藏文件无法显现，任务管理器变灰，卡巴不能自动和手动启动。狙剑能够运行，但基本无法操作。此时安装微点提示“不是有效的32位程序”。重启进行安全模式失败，进入WinPE系统发现各分区都有病毒副本PageFile.Pif，引导分区还有一个8位数字.LOG文件，与原样本比较是同一病毒。
恢复系统安装微点，重启直到微点运行正常，将磁碟机病毒样本放进去拈来弄去微点无任何提示，说明微点对此病毒未知，运行！正准备收拾残局，不料微点稍缓1秒即弹出发现未知病毒提示框，以默认方式处理删除样本，系统无异常，查看系统日志无忧也。