ZDNet安全频道原创翻译 转载请注明作者以及出处
长期以来,对于Windows系统环境来说,安全软件都是必不可少的软件,不论是家用电脑还是企业办公电脑。恶意软件不仅仅会将用户的敏感信息泄露出来,还会浪费宝贵的时间和带宽。
------------------------------------------------------------------------
从市场的角度看,安全软件厂商都宣称自己能够应对这些恶意软件,而实际上他们只是对付了那些他们能对付的恶意软件。当我们真正的来了解每一款产品,就会发现,他们实际上并不如市场宣称的那样万能。
去年在DEFCON ***大会上进行了一场针对市场上大部分反病毒产品的 Race to Zero 竞赛。第一个使得修改的病毒代码能够绕过所有反病毒软件的***团队即为获胜团队。几个小时后,就有团队根据病毒代码样本制作出了可以绕过所有反病毒软件检测的新型病毒代码样本。
当前的安全威胁
如今,很多恶意软件已经变得相当智能,它们会根据情况自己进行race to zero竞赛,对内部代码进行适当修改,形成了数十亿种可能的代码排列,从而逃避反病毒软件的检查。因此,那些基于病毒样本的反病毒软件就会由于没能及时更新病毒样本库而漏掉对新型病毒的检查。其它一些可用的防护措施,包括启发式查毒,白名单,以及Symantec的新型Qourom and Insight 技术虽然越来越成熟和重要了,但仍然不能称为完全方案。
不仅是恶意软件在进化,开发恶意软件的动机也在不断变化。最初的恶意软件只是为名,而如今更多的则是为利。犯罪组织正在资助恶意软件开发者发现新的跟有创意的方法进入客户的电脑系统。
总之,如今没有哪个解决方案可以应对全部恶意软件的。虽然在电脑系统中安装反病毒软件确实可以提高电脑的安全等级,但是你仍然需要及时更新软件,从更安全的角度进行网络设计,采用硬件防火墙,并应用一个优秀的安全策略。
常见的恶意软件类型
基于恶意软件***系统的方式不同,恶意软件可以分为以下几种:
病毒: 病毒一般通过感染文件的方式,比如感染office文档或PDF文档等进行自我复制。这个词有时候也用来指所有的恶意软件。
***: ***是发送给用户并需要用户点击执行的病毒。用户可能将其误认为是文档或者来自朋友的生日祝福邮件而主动点击该文件。虽然打开此类文件时看起来和平时没有什么不 同,但是其中隐藏的后台程序却已经开始控制系统或窃取系统中存储的信息了。***一般会附着在电子邮件中,另外还可以存在于网页上,U盘里,光盘中(采用自 动播放功能),甚至iPod或数码相机里。我们在本文中用到CANVAS 和Metasploit 测试就可以被归类为***。
蠕虫:这是让系统管理员们头疼的一大原因。蠕 虫会利用常见软件的一个或多个漏洞,对系统进行***。一旦进入一台系统,它会尝试着继续进攻其它与之相连的系统。Slammer蠕虫 和 Blaster蠕虫对于互联网的影响最大,最近的Conficker蠕虫也引发了大量问题。
反病毒产品
企业版的反病毒软件套装不论是哪家公司,基本都是一样的功能。他们基本包括了反病毒组件,防火墙或者包过滤组件,web以及邮件扫描组件。另外企业版的反病毒软件一般还带有管理控制台,可以让管理员进行分布式安装工作,以及更好的管理网络中的反病毒软件。同时,企业版的反病毒软件一般都带有病毒库查毒以及启发式查毒功能。而我们的测试是要从中找出最优秀的。
准备测试
为了本次测试,我们收集了2297个病毒和恶意软件代码片段,以便尽可能的实现多样化和公平化。最终的含有恶意代码的文件包括:
· 1541个Windows可执行文件 (PE 文件)
· 500 个MS DOS可执行文件
· 156 个各类杂项文件
· 66 个Office 文档
· 23处主引导区记录被感染
· 11 个ELF 文件(这是Linux和Unix系统中最常见的可执行文件格式)
为什么要在Windows系统上测试 Unix 文件呢?由于Windows系统数量众多,导致很多针对其它系统的病毒借助于Windows系统进行发送和传播,因此从安全延伸的角度讲,我们不但要保护自身系统,还要保证自己的系统不会将病毒传播给其它系统。正所谓网络安全,人人有责。
除了各类恶意软件,我们还加入了来自Metasploit 框架和 Immunity CANVAS Professional的文件。这两种工具都是用来进行远程***的,并且包含了大量的***工具。我们利用这些工具进行网络的反***测试以及个性化的攻 击。
这些工具不但能让我们观察反病毒软件是如何对抗***的,而且由于这些工具所利用的技术很大程度上类似于病毒和rootkits,因此他们可以让反病毒软件发挥出其最大能力。
细节
通过 Metasploit我们创建了一个简单的绑定shell程序,一旦激活便可以与某个端口绑定,并给远程接入方一个shell。接下来它通过SMB将自己 拷贝到安装有安全软件的Vmware虚拟机中并执行,查看安全软件是否能有所动作。
接下来我们还会将这个程序进行加密,查看反病毒软件是否能将其截获。通过Metasploit 的msfpayload 和msfencode 程序,我们可以很方便的进行代码加密:
# ./msfpayload windows/shell_bind_tcp LPORT=7878 R | ./msfencode -e
x86/shikata_ga_nai -t exe > bind_nonx_tcp_shikata.exe
[*] x86/shikata_ga_nai succeeded with size 369 (iteration=1)
另外,我们利用 CANVAS中的BuildCallbackTrojan 工具建立了一个回调程序,它的作用类似于MOSDEF。同时我们还开发了一个HTTP下载器,激活后可以连接指定网站下载一个新的可执行文件。
通过 CANVAS我们可以测试反病毒软件对于不同位置的***的反应情况,以及恶意软件安装程序和隐藏进程等******的常用手段。
对于我的系统,它是做什么的呢?
我们同时还比较了不同安全软件对于系统内核和用户区的修改情况。一般来说,反病毒软件会使用一种叫做hooking 的rootkit技术。Hooking可以让反病毒软件拦截和检查普通程序在System Service Dispatcher Table (SSDT)区域(Windows系统功能所存储的内存位置)的每一个功能调用。
比如主机***预防系统 (HIPS)程序会与SSDT中的ZwCreateFile 功能函数挂钩,因为系统在每次打开或创建文件时,都会调用这个函数。这就让安全软件能够做到实时的监控每一个打开的文件。通过检查安全软件的钩子,我们就能看到它的拦截能力,从而对它的性能有所了解。
但是安全软件这样做也有一个问题,即挂钩的功能函数越多,系统性能所受到的影响就越大。因此一定要在安全性和系统性能损失这两方面取得平衡,选择最恰当的功能函数进行挂钩。
为了检查安全软件所挂钩的功能函数,我们选择了一款名为 GMER 的rootkit检测和杀除软件。这款软件的名字来自它的波兰设计师Przemyslaw Gmerek。软件的功能强大而且丰富,包含隐藏进程,线程,模块,服务,文件等的检测,以及替换数据流,注册表键值,SSDT以及其它 类型的Hooking。
如图GMER列出了McAfee的hooks.
另外,我们还采用了Dark Elevator 来检查反病毒软件是否带有任何许可权问题。这个工作用来确定所安装的反病毒软件是否会降低某些系统安全服务的优先级。
Dark Elevator检查所运行的服务的权限级别
平台/软件
测试采用的平台是Windows XP Professional Service Pack 3,补丁都已经安装到最新版本。我们建立了一个独立的镜像,并将其克隆到VMware Server。每个杀毒软件都安装在相同的环境里,从而确保了测试公平性。
在必要时,我们在Windows Server 2003虚拟机中安装集中管理软件,另外我们还是用一台Windows XP Professional操作系统的笔记本进行额外测试,以便确保Vmware本身不会影响到测试结果。
测试方法
我们为每个网络安全产品提供统一的Vmware镜像,并按照以下程序操作:
· 用 Wireshark 进行数据包捕获:通过这个软件,我们能从网络的角度看反病毒软件是如何动作的,尤其是它的安装和升级过程。
· 安装和配置网络安全产品。安全软件是按照标准模式安装的,带有全部功能,包括网络防火墙。如果能够设置,我们都将软件设置为一旦发现潜在威胁,就进行删除,而不是将文件放入隔离区。按访问扫描的模式也被我们关闭了,因为我们经常需要浏 览存放病毒样本的文件夹。
· 研究反病毒软件是如何工作的:GMER实时查看反病毒软件的工作动作(大部分软件都将GMER.exe 列为了可疑程序,因为其向系统内核加载了驱动)
· 防火墙测试:使用CANVAS callback shells 测试平均出口过滤规则,以及通过telnet或IE尝试访问外部端口的可能性。另外我们还检查了防火墙软件中的各种可手动设置项目,判断是否有特殊优势或潜在风险。防火墙的外部测试采用Nmap进行试图绕过防火墙的测试。
· 网络负载测试:我们使用各种工具将网络负载加到最大程度,查看防火墙的工作状况。
· 默认文件权限:每次安装好杀毒软件后,我们都会对杀毒软件所在文件夹和文件进行权限测试,查看权限是否正确。这和我们做其他***测试是一样的。
· 恶意软件扫描:将防火墙禁用后,我们把所有恶意软件样本发送到主机上。所有的恶意软件均被检出并被删除。在这之后,我们会将这些恶意软件进行打包,通过网络常见的打包软件(VMProtect, Obsidium, Multi Packer and UPX)将他们的代码进行封装。由于打包后的恶意代码有所改变,因此这个测试可以查看反病毒软件对于此类伪装的识别程度。
· 使用商业框架***: 通过 CANVAS我们可以模拟多种***机巧,查看安全软件对此的防御程度。
这些测试中显示了两条信息:Wireshark显示没有任何值得我们特别关注的异常现象,另外所有安全软件的默认设置都是合理的。
Kaspersky Total Space Security
这款产品,尤其是 Anti-Virus 6.0 for Windows Workstations 组件,与其它参评产品相比,具有相当大的功能优势。其所包含的功能从文件反病毒到主机***预防系统(即反***系统),还包括了防火墙和包过滤功能。
不同之处
Kaspersky 是我们评测的众多安全软件中系统嵌入度较高的一款产品,他与Windows内核SSDT 区域的53个功能函数挂钩。这能够让它更好的控制系统并阻止恶意软件。
除了众多的 SSDT hooks, Kaspersky 还与Import Address Tables (IATs)中的不少功能有挂钩,包括诸如tcpip.sys等一系列内核驱动。
扫描结果
总体来说,Kaspersky在扫描测试中表现不错,在2297个恶意软件样本文件中仅漏掉了122个文件。
重新封装恶意软件扫描
在这项测试中,Kaspersky表现最佳,从全部27个重新封装的恶意软件包中检测出了17个。
商业后门软件扫描
Kaspersky在这项测试中表现一般,仅检测出CANVAS HTTP下载器代码(常见的HTTP下载器)。这个代码和很多恶意软件代码类似,主要用来从互联网下载可执行的代码。恶意软件作者经常使用这个技术将体积很小的下载器发送给受害者(比如通过邮件),然后利用下载器下载最终的恶意软件。***们使用下载器的原因很多,比如获取访问权限,确保系统负载等。
在我们试图通过CANVAS调用可执行文件以及试图载入rootkit并窃取密码hashe文件时,均被Kaspersky阻挡。该防火墙如我 们所期望的那样阻止了试图控制电脑的后台连接,同样也阻止了我们试图加载内核rootkit的动作。向LSASS.exe进程注入密码截取代码的工作也被 Kaspersky发现并阻止。除此之外,Kaspersky还将CANVAS标记为可疑程序,以后每次运行都会给出风险提示。
防火墙测试
从某种角度上讲,Kaspersky是一款非常好的防火墙产品。它可以自动学习该系统上的常见操作,并且可以让用户手动进行规则设置。另外用户 可以简单的将安全级别设置为“高度安全”,一旦有程序不符合安全规则,就会有提示给用户,让用户决定是否允许该程序执行。防火墙的手工设置过程非常简单。
Kaspersky防火墙也有不足之处。当面对大量数据包需要检测时,系统会有5-10秒的假死状态。而测试中的其它软件则没有这样的情况。
(Credit: Securus Global)
Kaspersky Total Space Security
包括 McAfee VirusScan Enterprise 8.7i在内, McAfee 将自己的产品按功能分为不同的功能包,企业用户只需要选择自己企业所需的部分即可。默认安装的反病毒程序并不包含任何防火墙或HIPS(主机***防御系统)功能,而这些功能都打包于单独的“主机***防御”产品中。为了 配置这套产品,用户需要在其他系统上安装McAfee Agent以及 McAfee ePolicy Orchestrator (ePO)套装。比如,要在测试系统上配置防火墙规则,管理员需要登录服务器上的ePO web界面,选择该测试系统,再进行单独配置。
不同之处
和其它产品相比McAfee产品在与Windows系统内核嵌入深度方面有所不同。其它反病毒产品都是与SSDT挂钩,而McAfee则采用名为inline hooking 的技术。与前者相比,这种技术带来的结果是一样的,唯一的不同在于恶意的***者更加难以清除McAfee产品的内核。
扫描结果
在2297个样本中,McAfee仅漏掉了116个,这个成绩在全部评测产品中名列第一。
重新封装恶意软件测试
对于经过重新封装的恶意软件,McAfee的表现并不尽如人意,在27个样本中仅检测出了6个。 这可能是因为,虽然McAfee有庞大的病毒样本库,但是在启发式查毒和变异样本方面做得还不够完善。当然,这只是个人的猜测。
商业后门软件测试
McAfee是所有评测产品中唯一一个完全检测出 Metasploit 测试的产品,这让我们印象深刻。但是不幸的是,它在检测CANVAS文件时表现不佳。
在CANVAS***测试中, McAfee并没有发现我们加载病毒驱动的动作,而这会让整个系统的控制权落入***者之手,并进一步禁止任何反病毒软件正常工作。在向其他进程注入恶意代码时,McAfee能够及时发现并阻止我们的注入行为。
防火墙测试
在防火墙/包过滤的测试中,我们使用了ePO 中的“典型企业防火墙”配置策略。默认设置已经很好了,不过我们也发现McAfee有时候过于谨慎,所给出的建议是宁可让网络存在潜在风险,也要尽量保证 诸如SMB以及NetBIOS网络功能正常。
(Credit: Securus Global)
Sophos Endpoint Security and Data Protection 9.0.0
Sophos Endpoint Security and Data Protection除了具有常见的反病毒/间谍软件等功能外,还有一些有趣的附加功能,同时它还内建了缓冲区溢出保护功能,以应对越来越常见的缓冲区溢出***。
Sophos的界面看上去类似Windows的资源管理器,甚至还带有前进和后退按钮,有时候我会误将其当做Windows资源管理器。总之, 我们觉得这种直观且简洁的界面要比那些华丽的界面更让人容易习惯。
不同之处
和上面介绍的Kaspersky以及 McAfee相比, Sophos 对于系统没有太深入的嵌入动作,但是这种嵌入的深度仍然要高于Trend Micro 和 ESET。比如 Sophos与SSDT中的ZwSetSystemInformation 函数挂钩,这个函数是一些内核rootkit在加载时常用的非标准方式。这意味着Sophos 也具有一定的***检测功能。
除了在 SSDT中的钩子,Sophos还与大量常用函数挂钩,如全部的svchost 进程LSASS以及 Windows Explorer ,共同实现前面提到的“缓冲区溢出保护”功能。
扫描结果
在全部2297个病毒样本中,Sophos漏掉了226个,在对比产品中属于中等水平。
重新封装恶意软件测试
Sophos在这个测试项目上表现的很有趣,它可以检测出很多通过高级封装形式封装的恶意软件,如利用Obsidian和 VMProtect封装的大部分恶意软件,但是却漏掉了大部分通过基本的UPX 和 Multi Packer 封装的恶意软件。在全部27个样本中,检测出13项。
商业后门软件测试
Sophos除了针对高级封装器有强大的检测效果外,它还是唯一一个检测出CANVAS MOSDEF的反病毒软件。另外,它还检测出了Metasploit bind shell 的一种编码方式 (call4_dword_xor),不过没有检测出未编码的二进制文件。很明显,它是将编码后的恶意软件当成了有可能的潜在威胁,而对于未编码文件则没有考虑。
在CANVAS rootkit 测试中,我们注意到,虽然Sophos HIPS警告了有驱动被载入系统,但是却没能阻止驱动的载入。默认情况下, HIPS只是警告用户但并不阻止。一旦我们将其设置为直接阻止载入动作,那么我们所做的所有进程注入动作都会被阻止,甚至还会阻止 GMER存储后缀为.sys的文件。
一旦Sophos检测出CANVAS可执行文件试图实施某些可疑动作,它便对其进行标记,以后该软件每次运行,都会弹出一个警告窗,询问用户是否要执行该程序。将可执行文件拷贝或改名也不能取消这个标记。
防火墙测试
在我们看来,Sophos防火墙的默认设置有些刻板,需要用户在安装后进行适当的修改。防火墙部分的界面看上去有些呆。不过和其它防火墙一样, 它可以通过学习的方式记住用户常用的软件,以便开放相应的端口。从好的方面来讲,Sophos防火墙拥有不错的Internet Control Message Protocol (ICMP) 协议规则,比如不接受ICMP 重定向,这可以阻止man-in-the-middle类型的***。
(Credit: Securus Global)
Symantec Endpoint Protection Small Business Suite
我们测试的第四款安全软件是 Symantec Endpoint Protection Suite 12.0.122.192。这是所有产品中最古老也是企业使用最广泛的安全软件,世界上很多大型企业在它们的网络中使用的都是这款软件。
我们测试的是 Endpoint Protection Suite产品套件中的小型企业版本。虽然并不是企业版,但是Symantec表示,小型企业版和企业版在检测和扫描方面是一样的。
产品给我们的第一印象很好,安装过程很顺利,软件界面看上去也很舒服。我们针对一个没有被感染的硬盘分区进行了测试,虽然它的速度并不是所有产品中最快的,但也令我们 相当满意。
不过在测试含有病毒的区域时,它却是所有评测产品中扫描速度最慢的一个。实际上,其它产品的扫描时间都在15分钟到2个小时之间,而 Symantec的产品则在5个小时以上,因此我们只好让测试平台通宵工作。
在与Symantec的技术人员沟通后我们了解到,当Symantec的产品发现恶意软件后,会执行一系列额外的扫描工作,确保病毒没有存在于内存或系统的其它角落。虽然这个功能对于家庭用户来说可能很不错,但是对于企业环境来说可能就不适用了,因 为一旦企业环境中出现严重的病毒感染,管理员都会立即将系统关闭或隔离,并重建系统,不会等好几个小时。
不同之处
Symantec仅仅挂钩SSDT表,而不涉及任何内核代码区。一个最大的不同在于Symantec将自己的防护范围扩大到更多的设备上。一般 来说,反病毒软件都是针对特定设备工作的,比如针对某个IP,TCP,UDP,来监控数据流,而Symantec除此以外还监控IP Multicast设备。
扫描结果
Symantec在所有产品中,扫描耗时最长,在全部2297个测试样本中,漏掉了148个,位居第三名。
重新封装的恶意软件测试
在这项测试中,Symantec表现不错,检测出了全部27个样本中的16个。
商业后门软件测试
Symantec 对于商业软件并不敏感,完全没有检测出我们所使用的商业后门软件。仅在CANVAS测试中给出了一个异常端口连接的警告。如果这个***连接所使用的是常见端口比如80端口,则根本连 这个警告都木有了。这种结果让我们有些失望,在重复进行了一次测试后,得到了同样的结果。
防火墙测试
Symantec 所提供的“网络威胁保护”功能所给出的默认设置过于宽松。比如,***者在***系统时,软件只会给用户一个警告信息,而并不实际阻止***者的行为。默认的防火墙规则只是拦截了IPv6数据流,但其它数据流则全 部放行。当然,防火墙规则是可以手动修改的,用户也可以将其设置为基于IP地址的规则,或者基于应用程序的规则。如果是后者,那么当用户使用的程序首次需 要接入网络时,Symantec防火墙会给出提示,询问用户是否放行。
(Credit: Securus Global)
Trend Micro OfficeScan
此次趋势科技给我们提供的评测产品是OfficeScan Client-Server Suite 10.0。OfficeScan与其它产品的不同之处在于,它没有运行于终端电脑上的非托管的客户端程序,即所有客户端配置均通过HTTPS由中央管理服 务器管理。
软件安装过程很有趣,在安装完服务器端后,客户端可以通过ActiveX 控件通过网络进行安装和配置。服务器端还可以将客户端“推送”到终端系统上。
客户端程序看上去非常简朴,有些类似于Windows的配置对话框。它只允许用户进行手动扫描。
不同之处
除了ESET, Trend Micro 是对用户干扰程度最低的产品了,它只挂钩了少量必须的内核功能,没有与用户功能模块挂钩。
扫描结果
在全部2297个测试样本中,OfficeScan漏掉了447个,到目前为止是成绩最差的。令人感到不安的是,一些被检测出来的病毒样本仍然被标记为“通过了潜在安全风险的检测”。因为我们对于趋势科技的检测系统感到不是很满意。
一定数量的病毒样本是在打开实时扫描功能,并指向了特定文件夹后才被扫描出来的。这表示实时扫描比手动扫描更彻底。
重新封装的恶意软件测试
与上面的测试结果类似, Trend Micro在全部27个病毒样本中仅检测出了3个。其中两个是由UPX (最著名的封装软件)重新封装,一个是由VMProtected 封装。
商业后门软件测试
直接扫描商业后门软件所在的文件夹,没有任何反应,同样,当我们在使用CANVAS 时,Trend Micro 也没有任何反应。
防火墙测试
由于测试的产品为企业版,因此其防火墙设置可以完全手工修改。管理员可以手工设置防火墙规则,并通过网络将其应用于客户端系统。而其它产品则是 通过自动检测用户的日常应用而生成相应的规则。这是趋势的防火墙和其它产品相比的最大不同。
虽然可以完全手动设置防火墙规则,但是趋势的防火墙中并没有包含我们所希望见到的功能,如ARP 和 DHCP 欺骗保护机制。
(Credit: Securus Global)
ESET Smart Security
ESET的Smart Security产品已经出现一段时间了。它拥有了包括远程管理在内的企业用户所需要的全部常见功能。我们测试的版本为ESET Smart Security 4。
软件的客户端在默认情况下只显示简单模式,而不显示高级模式。而在高级模式中,用户可以进行更多的配置,同时高级模式中还 会显示出更多高级功能。
不同之处
在所有评测产品中,ESET的内核嵌入程度最低,仅关联了七个内核功能函数,而卡巴斯基则多达53个。ESET所关联的大部分功能函数都是与进 程和线程监控有关的。
扫描结果
在全部2297个病毒样本中,ESET漏掉了296个,在全部六个评测产品中排名倒数第二。
重新封装的恶意软件测试
虽然在全部27个样本中, ESET仅检测出了7个,但是其中包含了一些很难被检测出的文件,比如通过 VMProtect封装的恶意软件。
商业后门软件测试
和趋势的产品一样, ESET没有检测出任何我们所使用的商业后门软件。在我们使用 CANVAS载入驱动或注入进程时,ESET都没有反应。
防火墙测试
ESET防火墙和***检测系统 (IDS)功能是所有测试产品中最丰富的,可以检测出已知的蠕虫和漏洞***,还具备一定的学习能力。配置工具也具有普通和高级功能设置,使用起来很方便。
在默认规则下,任何程序可以使用任何端口连接(并不是件好事)。
(Credit: Securus Global)
总结
通过测试,我们惊讶于不同产品之间的功能和效果间能有如此大的差异。每种产品都使用其独有的一套功能函数来实现病毒检测,而效果也各不相同。
我们认为 Kaspersky 和 McAfee 是评测产品中效果最好的两个产品。McAfee 在常见恶意软件的扫描中拥有最佳的检出率,仅漏掉了116 个病毒样本。而另一方面,Kaspersky 和 Sophos,则针对CANVAS 和 Metasploit等后门程序给出了更完善的防护方案。
通过测试我们能知道,没有哪个防病毒软件能够抵挡经验丰富的***者的***,因为对于诸如CANVAS 这样的商业后门软件,很多反病毒程序都无法有效检出。
另一个有趣的现象是,市面上常见的封装软件都能有效抵抗反病毒软件的扫描。就连扫描成绩最好的Kaspersky,面对重新封装过的病毒,也仅能检测出不足三分之二的数量。
在选择反病毒软件产品时,我们需要考虑到自己的需求。对于企业来说,最主要的就是选择适合自己网络环境的产品。
下面给出的柱状图和表格体现了本次评测的基本结果。需要注意的是,对于病毒库的扫描结果并不能仅从扫描数量上反映出产品间的差别,在实际防护工作中,这些数量上的微小差别可能不会导致防护结果 出现重大偏差。
扫描效果,正常病毒样本和重新封装的病毒样本
商业后门软件扫描结果