|
抢先试用SecAnalyst 新功能 -- 安全大体验
http://bbs.s-sos.net/viewthread.php?tid=2844&fpage=1&highlight=
隐藏进程测试 网络爸爸软件
灰鸽子 隐藏进程服务 测试
2006-04-24
增加了扫描隐藏进程的功能
减少了误报
2006-04-27
增加了的扫描隐藏服务的功能
修了了自启动扫描的没有显示ValueName的BUG.
2006-04-28
增加了扫描驱动
减少了误报
从上面的更新日志中,我们可以看到“安全分析专家”近期主要推出了三大新功能:
-- -- 扫描隐藏进程
-- -- 扫描隐藏服务
-- -- 扫描驱动
熟悉电脑安全知识的人大概都会接触到这么几个概念,某某程序隐藏了进程,普通的任务管理器根本查不到;
灰鸽子新增隐藏服务功能,彻底保护你的“肉机”,再也不会“到嘴的鸭子飞了”;RootKit时代到来了,驱动不再是系统才能做的事,看看“黑客之门”吧。
这些的这些,都对目前的安全检测手段提出的挑战。
我们要做的事很简单,重显安全,揪出隐藏在你系统中的’间谍‘ !
隐藏进程测试 网络爸爸软件
以网络上的”网络爸爸”软件为测试对象. http://www.tueagles.com/baba/index.htm
其描述为:
看不见、关不了、删不掉 - 采用先进技术实现真正的隐身,不论在win98,win2000,还是在winxp下,不论通过任务管理器还是任何工具,保证孩子无法查出网络爸爸进程。没有密码,谁也无法关闭或删除网络爸爸软件。
针对其提出的” 采用先进技术实现真正的隐身”进行测试.
我们来看看“安全专家分析”报告:
#T0 SecAnalyst 分析报告 版本:0, 3, 4, 0
#操作系统 : Microsoft Windows XP Professional Service Pack 1 (Build 2600) (CHS)
#系统目录 : D:\WINDOWS\System32
#浏览器 : Internet Explorer 6.0.2800.1106
#生成时间 : 2006-4-27 11:39:49
#T2 请把报告贴到安全救援中心bbs.s-sos.net,我们的专家会为你做出诊断,另外,报告中的安全风险值仅仅表示可疑程度。
#Q1 (请在此输入你的电脑遇到的问题和异常情况..)
#O4 警告 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-d:\windows\system32\ravext.dll
#O4 警告 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]-d:\windows\system32\ravext.dll
#O4 低风险 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-c:\program files\winrar\rarext.dll
#O4 低风险 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shell folders]-d:\documents and settings\all users\「开始」菜单\程序\启动\adobe gamma loader.lnk
#O4 低风险 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-deskpan.dll [file not found]
#O4 低风险 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-d:\progra~1\micros~2\office\olkfstub.dll
#O4 低风险 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-c:\program files\techsmith\snagit 8\snagitieaddin.dll
#O4 低风险 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-c:\program files\techsmith\snagit 8\snagitshellext.dll
#O2 警告 BHO: {F79B2338-A6E7-46D4-9202-422AA6E74F43} - D:\WINDOWS\EagleFlt.dll
// 网络爸爸软件中用到控件
#O2 警告 BHO: {54EBD53A-9BC1-480B-966A-843A333CA162} - c:\Program Files\Tencent\QQ\QQIEHelper.dll
#O2 低风险 BHO: {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
#O2 低风险 BHO: {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
#O3 低风险 Toolbar: {E0E899AB-F487-11D5-8D29-0050BA6940E3} - FlashGet Bar - C:\PROGRA~1\FLASHGET\fgiebar.dll
#O3 低风险 Toolbar: {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
#P0 危险 进程: c:\program files\techsmith\snagit 8\tschelp.exe
#P0 警告 进程: c:\病毒测试样本\测试工具\peid v.94\peid.exe
#HP0 低风险 隐藏进程: D:\Program Files\tuEagles\EagleSvr.exe
// 网络爸爸软件的隐藏进程!
#S0 危险 NT 服务: RsCCenter - 启动方式: 手动 - 当前状态: 已停止 - "c:\Program Files\Rising\Rav\CCenter.exe"
#O18 警告 Protocol: text/html - {F79B2338-A6E7-46D4-9201-422AA6E74F43} - D:\WINDOWS\EagleFlt.dll
// 网络爸爸软件中的网络过滤控件
您的电脑整体安全风险为低(19分),有空的话,请进行安全优化处理!
灰鸽子 隐藏进程服务 测试
#T0 SecAnalyst 分析报告 版本:0, 3, 4, 0
#操作系统 : Microsoft Windows XP Professional Service Pack 1 (Build 2600) (CHS)
#系统目录 : D:\WINDOWS\System32
#浏览器 : Internet Explorer 6.0.2800.1106
#生成时间 : 2006-4-27 16:19:12
#T2 请把报告贴到安全救援中心bbs.s-sos.net,我们的专家会为你做出诊断,另外,报告中的安全风险值仅仅表示可疑程度。
#Q1 (请在此输入你的电脑遇到的问题和异常情况..)
#O4 警告 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-d:\windows\system32\ravext.dll
#O4 警告 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]-d:\windows\system32\ravext.dll
#O4 低风险 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-c:\program files\winrar\rarext.dll
#O4 低风险 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-c:\program files\alwil software\avast4\ashshell.dll
#O4 低风险 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shell folders]-d:\documents and settings\all users\「开始」菜单\程序\启动\adobe gamma loader.lnk
#O4 低风险 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-deskpan.dll [file not found]
#O4 低风险 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-d:\progra~1\micros~2\office\olkfstub.dll
#O4 低风险 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-c:\program files\techsmith\snagit 8\snagitieaddin.dll
#O4 低风险 自启动: [hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved]-c:\program files\techsmith\snagit 8\snagitshellext.dll
#O2 警告 BHO: {54EBD53A-9BC1-480B-966A-843A333CA162} - c:\Program Files\Tencent\QQ\QQIEHelper.dll
#O2 低风险 BHO: {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
#O2 低风险 BHO: {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
#O3 低风险 Toolbar: {E0E899AB-F487-11D5-8D29-0050BA6940E3} - FlashGet Bar - C:\PROGRA~1\FLASHGET\fgiebar.dll - [file not found]
#O3 低风险 Toolbar: {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
#M0 危险 DLL: D:\WINDOWS\system32\Telnets.DLL
#M0 警告 DLL: D:\WINDOWS\system32\TelnetsKey.DLL
//两个坏家伙,灰鸽子用到的DLL
#M0 警告 DLL: c:\Program Files\Tencent\QQ\QQIEHelper.dll
#M0 低风险 DLL: C:\PROGRA~1\FLASHGET\jccatch.dll
#M0 低风险 DLL: C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
#M0 低风险 DLL: C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
#M0 低风险 DLL: C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddinRes.dll
#HS0 警告 隐藏服务: telnets
// 隐藏服务! 灰鸽子用到服务名称。
// 你可以发现,在下面的正常服务列表中并没有发现其服务存在。
// 并非“安全分析专家”漏报,其实是新版灰鸽子所采用“隐藏服务”手段,一般的服务管理器查询不到的。#S0 警告 NT 服务: RsCCenter - 启动方式: 手动 - 当前状态: 已停止 - "c:\Program Files\Rising\Rav\CCenter.exe"
#S0 低风险 NT 服务: aswUpdSv - 启动方式: 自动 - 当前状态: 已停止 - "c:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"
#S0 低风险 NT 服务: avast! Web Scanner - 启动方式: 手动 - 当前状态: 已停止 - "c:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service
您的电脑整体安全风险为低(44分),有空的话,请进行安全优化处理!
|
一共有 0 条评论