|
年底,众多杀毒软件推新产品的时候,作为国际大厂赛门铁克的诺顿杀毒产品一直是众多网友所关注的。让我们体验一下诺顿2008,尝尝新鲜。
安装运行之后,首先映入眼帘的是诺顿2008的界面。看看它的界面(如下图1),说真的第一印象还真不错!
图1
从界面中显示的功能看,诺顿2008防护功能较为全面,各个方面的防护都有,还可以联机,看样子在SOHO等小型办公网络里应用的话应该很不错的。笔者体现了诺顿2008的各项功能之后,还是比较满意的。笔者是一名网络安全爱好者,平时对所谓免杀的木马和病毒有一定的了解,不知道诺顿对免杀的木马和病毒的查杀的力度如何?带着这些疑问,笔者对诺顿进行了以下的测试。
一、不能发现变异后的木马
现在安全事件频出的根本原因往往是受到利益驱使。这直接导致了木马满天飞,众多网站都成了一些小黑的放“马”场。因此,杀毒软件对木马及其变种的查杀能力则成为衡量一款产品优劣的重要指标之一。
被杀毒软件盯上的“灰鸽子”是最好的实验样本。笔者利用百度,搜索后,将“灰鸽子”样本下载到了本地电脑上。
解压后,在鸽子的目录CACHE里面有鸽子生成服务端之前的原始文件,我下的时候诺顿直接杀掉了,先把它的防护关掉。生成一个鸽子的服务端,用诺顿扫描一下,被送进了隔离区,如图2
图2
把它还原回来,就用这个生成的服务端来测试下诺顿扫马的力度。看见了吧,可以使用安全历史记录随时恢复。
可见,诺顿2008对已经形成特征的木马程序识别没有任何问题。
地球人都知道木马、病毒变异的速度比“小强”的生殖能力强很多,所以一个杀毒软件仅能对已知木马查杀根本不能帮助用户应对如此复杂多变的互联网安全威胁。
木马特征码的更改已经完全傻瓜话了,只具备一定攻防技能的人,随便用个工具就可以对木马特征码进行修改。说真的这些可以直接改“马”的工具应该被封杀。然而事实并非如此,先不提是否封杀问题了,还是在体验一下诺顿2008查杀变异木马的能力。
MASKPE2.0这个改马工具在网络上一搜索,一大群等着你。笔者在这款软件当年刚刚出现的时候,用它做到实验,几乎过了所有杀毒软件。
直接载入服务端,我下的是个英文的版本,界面如如图3
图3
有一些选项,LOAD FILE是载入文件,直接点“MAKE FILE”生成一个,保存,测试了一下,鸽子能够上线,也就是它生成的这个东西可以运行,如图4
图4
现在我们用诺顿扫描下生成的这个文件,看下结果,如图5
 图5
其中 附件 DF 这个文件是刚才用MASKPE生成的,扫描一下,看到了结果是“未找到病毒”,很是惊讶。病毒库是最新的2007-11-14的,看下图6
图6
防护更新在2007-11-14,开始以为病毒库不是最新的,在这个方面诺顿不是很出色。想知道MASKPE的原理可以看看内存映象方面的资料。从以上的实际使用过程中,我们可以看出诺顿对一些流行木马改造工具的查杀力度不够。这个是第一个测试。 |
