|
|
反Rootkit软件测试(Tbk Corporation的Iru Dog原创)
由于网络的发展,Rootkit已经成了计算机用户最大的安全威胁。因为杀毒软件并不能完美地查杀Rootkit,尤其是未知Rootkit,反Rootkit软件已经成了我们的必备工具。随着Rootkit的发展,IceSword已经显得力不从心,因此我找到了7款反Rootkit软件来测试。
反Rootkit软件:
IceSword:经典的反Rootkit工具,也是我最早使用的反Rootkit工具,测试时(下同)最新版本为1.22
Darkspy:0ginr论坛上说是最强的反Rootkit工具,最新版为1.05测试版
Knlps:经典的反Rootkit工具,没找到所谓的最新版,我用的是1.0
Raide:在www.rootkit.com上找到的一个反Rootkit工具,版本是1.0beta
Rootkit Unhooker:0ginr论坛上说的第二强的反Rootkit工具,我用在线更新下载到最新的3.7.300.502版
SysCheck:新兴的工具,听说超越了IceSword,我去官方网站找到了最新版0725
Rootkit Dectector:也是经典的工具,在官方网站上找到最新版0.62,不过站上的下下来解压失败,只好用搜到的0.62版
Rootkits:
泡泡堂:一款流行的网络游戏,由于使用了Rootkit技术保护自己,因此成了测试对象之一。上次它让我一打开IceSword1.20时便重启了,不知道1.22版怎样(不过结果还是一样,Darkspy也是重启了)
PCShare:国内的一个非常优秀的木马,使用了驱动隐藏技术,我用了20070722版
AFX Rootkit:我用2005版,这是个老Rootkit了,但不稳定,运行后重启了一次
Hacker Defender:我用1.00版,这是黑客们常用的东西了
FU-Rootkit:《黑客防线》的评价为“养在深闺人未识”的Rootkit,不过现在也应该出名了,我从www.rootkit.com下载的,版本未知
Rkdemo:从0ginr那里听说IceSword检测不出此Rootkit,但后来不知道怎么在那里找不到了,不过我去www.rootkit.com找到了,网站叫它New Rootkit 11
介绍完了,实验开始,为了防止实验被干扰,我把NOD32卸载了。实验过程中,我发现瑞星个人防火墙也干扰实验,于是也删了。反正我用的是Windows XP黑客精华版,不怕中招。
测试结果如下表:
|
IceSword | Darkspy |
knlps | Raide | Rootkit Unhooker | SysCheck | Rootkit Dectector | | 泡泡堂 | + | + | +++++ | +++++ | +++++ | + | ++ | | PCShare | + | +++ | + | ++++ | +++++ | ++++ | + | | AFX Rootkit | +++++ | +++++ | +++++ | + | ++++ | +++++ | +++++ | | Hacker Defender | +++++ | +++++ | +++++ | +++++ | +++++ | +++++ | + | | FU-Rootkit | +++++ | +++++ | +++++ | ++ | +++++ | +++++ | + | | Rkdemo | + | ++++ | + | + | ++++ | ++++ | + | | 综合评价(100分为满分) | 79 | 88 | 85 | 80 | 95 | 90 | 70 |
(注:1个+表示没检测出或发生重启,2个到3个+表示能部分检测,4个到5个+表示能完全检测,其中5个+表示能完美清除)
其他方面:IceSword、Darkspy和Raide在系统运行了某些Rootkit时,发生了一启动系统便重启的现象;RootkitUnhooker在系统运行了AFX Rootkits,发生了一启动就使AFXRootkits停止运行的现象。图形界面的IceSword、Darkspy、RootkitUnhooker和SysCheck均有强大的文件、服务/驱动或注册表管理功能,IceSword有插件功能、RootkitUnhooker提供了检测更新的功能,Syscheck有清除Autorun.Inf的功能。而且图形界面的反Rootkit软件有强删文件、禁止进线程创建等功能。Darkspy尚不够人性化。在命令行的反Rootkit软件中,Raide的功能较完善,但操作烦琐。
总结:总的来说,我用7款反Rootkit软件测试了6款Rootkit,在检测能力及稳定性、附加功能等方面,RootkitUnhooker以高超的反Rootkit技术及人性化的功能获得了绝对优势而胜出。SysCheck以微弱的优势打败了Darkspy排名第二。Darkspy排名第三。Knlps排名第四。Raide与IceSword并列第五。RootkitDectector由于检测功能极差且无任何特色功能而排在倒数第一。 |
|
狗仔卡
发表于 2007-8-5 12:27:24
提升卡
置顶卡
变色卡
恢复卡