从上图不难发现,江民KV09的静态侦测率已经达到了90%以上(蓝色部分),再加上红色部分通过主动防御识别的部分,总侦测率达到了99.5%, 从而获得了PCSL当月颁出的五星奖章。
下载江民KV2009:http://www.skycn.com/soft/15041.html
看到这张图后,我对江民KV2009有效而又零误报的主动防御产生了浓厚的兴趣,觉得有必要好好研究一下。决定自己动手测试一下看看PCSL对KV2009的评测是否名至实归。
首先,介绍一下我的测试环境:
硬件环境:
CPU: Intel Core 2 Duo E4500
Memory : Kingston DDR2 667 1G + 2G
Motherboard : Asus P5G-MX BIOS v0401
HDD : Seagate Barracuda 7200.9 160G
VGA : Intel GMA950
软件环境:
Host OS为Windows Vista Ultimate SP1 简体中文版
应为要实际测试病毒,因此采用了虚拟机,而要测试主动防御,必须让病毒发作,因此对虚拟机内的系统也采取了保护措施。由于主要是主动防御测试,因此采用了比较早的病毒库(2008/10/14),没有更新到最新病毒库。
虚拟机的两种配置如下:
1.使用Microsoft Virtual PC 2007虚拟Windows XP SP2简体中文版, 分配8G硬盘空间,512MB内存。并用影子系统2008单一影子模式保护操作系统。如下图:
2.使用VMWare Workstation 6.5虚拟Windows Vista Home Premium简体中文版,分配16G硬盘空间,1G内存。并用Returnil保护操作系统。如下图:
那接下来就是选择合适的样本了, 样本方面,我选择了3个PCSL在其英文主站列出的malware list中的病毒,另外,还选取了一个破坏力比较强的,通过优盘传播的木马。
其中,这3个PCSL的样本由于在11月份还是新病毒,因此绝大多数杀毒软件还没有入库。因此扫描是不会报毒的,这也为我们测试主动防御提供了便利。
当然,这些病毒现在早已入库了,在升级KV2009至最新病毒库后,这些样本都被KV09正确识别并清除了。
以上图中的PLAY-MOVIE.exe为例,这是一个会释放木马文件的恶意软件,可以看到,病毒是在2008-10-31最终完成的。