【单项测试】七款影子/还原软件的防穿透能力

??原帖从天涯论坛找到，未知原作者。原标题《几款影子/还原软件的防穿透能力》

       ============ 原帖内容 ==========

??针对影子/还原软件的“防穿透”能力，笔者做了一点对比测试。

　　文中推断不一定完全确切，但力求以实验结果说话，力求客观，有不同意见可以一起切磋。
　　
　　1、参与测试的影子系统/还原软件：
　　1)DeepFreeze-2008.3.11.0
　　2)还原精灵-6.1
　　3)PowerShadow2009
　　4)Returnil RVS-2008-2.0.0.5011
　　5)ShadowDefender-1.1.0.264
　　6)ShadowUser-10.50.0.125
　　7)FreezeMagic冰冻精灵-2.0.0.9，新出的， http://www.FreezeMagic.com/
　　
　　2、参与测试的穿透工具：
　　a)SectorEditor1.06.exe  --- 作者 Julie.Lau --- 基于scsi指令
　　b)PassDiskProtect_C.exe --- 作者 猪头三 --- 基于scsi指令
　　c)ReadSector.exe        --- 作者 魔刀王子 --- 基于out指令
　　d)硬盘保护卡克星        --- 作者 汪登 --- 应该是基于out指令，没深入研究
　　
　　出于时间原因，笔者并没有找机器狗的样本来参加测试。
　　
　　3、测试环境：
　　vmware虚拟机，xpsp3操作系统，系统分区处于1)2)3)4)5)6)7)的保护状态
　　
　　4、测试方法：
　　A)用SectorEditor1.06.exe  修改硬盘的0扇区(MBR)
　　B)用SectorEditor1.06.exe  修改系统分区的0扇区
　　C)用PassDiskProtect_C.exe 运行一遍 --- 程序行为是向MBR写入N个01值
　　D)用ReadSector.exe        修改硬盘的0扇区(MBR)
　　E)用硬盘保护卡克星快速格式化整个硬盘 --- 程序行为是向MBR写入N个00值
　　
　　5、测试结果：
　　1)DeepFreeze-2008.3.11.0 :       全部穿透，得分0+0+0+0+0= 0，汗！
　　2)还原精灵-6.1 :                 全部穿透，得分0+0+0+0+0= 0，可惜！
　　3)PowerShadow2009 :              全部穿透，得分0+0+0+0+0= 0，可惜！
　　4)Returnil RVS-2008-2.0.0.5011 : 得分0.7+0.0+0.7+0.7+0.7= 2.8
　　5)ShadowDefender-1.1.0.264 :     得分0.5+0.5+0.7+0.7+0.7= 3.1
　　6)ShadowUser-10.50.0.125 :       全部穿透，得分0+0+0+0+0= 0，可惜！
　　7)FreezeMagic冰冻精灵-2.0.0.9 :  可以顶住A)B)C)，得分1+1+1+0+0= 3
　　
　　6、简要分析：
　　* DeepFreeze/还原精灵/PowerShadow/ShadowUser似乎压根没想防这些，希望未来不断完善一下。
　　* RVS的0.7分是有原因的，因为笔者发现其内部采用的防御机制不够彻底，
　　 似乎是定期轮巡或关机的时候回写了MBR。
　　 具体的表现就是，当你穿它后，正常关闭机器，它可以“防”住；但是，当你穿它后立即关闭电源，
　　 则RVS就挂了、防不住了。
　　* ShadowDefender的0.5分也是有原因的，因为A)B)穿透时，SD的策略是立即自动重启了，不够友好。
　　 如果其内部用的是“白名单”机制，则分数应该更低；如果其内部用的是防scsi机制，
　　 则会带来程序兼容性的潜在隐患。
　　 ShadowDefender的0.7分的原因和RVS的原因一样，不再赘述。
　　* 冰冻精灵是后起之秀，除了对out的防御未做轮巡回写保护外，其他都是不错的。
　　* 从上面的结果看，所有的软件都没有彻底防御out指令导致的穿透。
　　 这也说明这些软件都还不是完全的虚拟化实现，需要有新的策略加进来才能不断提升防御能力。
　　
　　7、后记：
　　经过几十次的重启机器，终于完成了测试。
　　向vmware致敬！这才是最强大的虚拟化防穿透！没有它，我们是无论如何不能完成这个测试的。
　　不过，以上测试和评分仅仅针对于“防穿透”一个方面，所以，得分不高的也不能说明软件不好，
　　只是说在这方面有提高的空间，可以在未来使软件完善并提高到一个新的台阶。
　　软件的综合素质才是一个最值得衡量的指标。
　　欢迎大家一起讨论。

           =========== 原帖完 =============

 

点评：

测试者对SD不是很了解，把SD的重启保护机制说成缺陷。当然对这个问题也可以说是“仁者见仁智者见智”。

FreezeMagic有保护MBR，只是没有做定期回写加强，因为定期回写（比如1秒）会牺牲掉一些硬盘性能，但除此之外防御能力比SD要强。我用过，非常稳定，单进程，占3M内存，用起来特简单，唯一麻烦的是进入保护和退出保护都要重启。
官方对此回应：“不用重新启动就进入影子的模式是以牺牲稳定性为前提的，所以我们没有采用这个做法。
其实，不重启就相当于瞬间冰冻，和瞬间断电是基本等价的。而这个瞬间照像因为没有处理好系统关机时配置的保存，所以是有隐患的。在一些条件时，容易造成系统无法启动以及文件系统的破坏。

关于排除列表的问题，一旦有了排除列表，就相当于在盾牌上留了个洞，是有安全漏洞的，容易被病毒穿透。我们未来会支持文件夹迁移的功能，比如，您可以用我们提供的工具包把一些常用的系统文件夹（桌面、我的文档等）设置到D盘，这样系统盘就不会有漏洞。”

补充说明：

楼下有几个人反映测试版本不是最新的。的确，这个测试已经有一段时间了，所有参侧软件都已经更新。但是，上述测试并非针对病毒样本，而是测试软件的防御体系，反映出该软件的设计理念，这是一个架构性的变化不大的东西，除非官方有明确说明，否则不会有根本性变化。例如：Powershadow会根据用户提交的穿透报告制作特征库，加入到新版本中，增强新版本防狗能力，但是这显然不是架构性改进。其他影子类软件也是在功能和性能方面小幅改进，没听说过什么重大改进。

也就是说，上述测试结果长期有效。