XP漏洞攻击实战 国产四款杀毒软件谁最安全?

微软将停止针对Windows XP的更新服务。XP退休后，并不是XP系统无法再用了，而是指微软将不再为XP系统曝出的安全漏洞提供更新补丁。这种未被修复的漏洞一般被称为0day。
微软停止对XP更新支持后，用户将长期处于0day攻击风险中，面临最大的安全问题就是漏洞攻击方面。漏洞本身是一种病-毒传播途径，在漏洞的辅助下，病-毒或黑客可轻易地绕过杀毒软件，在用户毫无察觉的情况下，传播到用户电脑中，从而破坏或远程控制用户电脑。打个比方，家里墙上有个洞，即使门锁再坚固，小偷依然可以绕过门锁从洞里进去偷东西。
近期，国内外各大安全公司纷纷推出了专门针对XP系统的安全加固服务，都宣称可以增强XP系统的安全性。那它们能有效防范XP系统漏洞攻击吗？下面我们选了几个历史上曾爆发过的影响广泛的漏洞，在Windows XP系统上，对四款主流杀毒软件做一个漏洞防护方面的效果测试。
IE/Office/PDF三个代表性漏洞
微软对XP停止更新后，对XP平台上的IE、Office等也会随之停止更新支持。
如果Internet Explorer（IE）爆出新漏洞，或者第三方ActiveX存在缓冲区溢出等漏洞，黑客就可以发起漏洞利用攻击。他们往往精心构造一个网页，内含漏洞利用攻击代码，然后将此网站URL链接发给网民。当网民使用IE访问该网站时，病-毒程序便会悄无声息地下载到本机并执行。
同样，如果Office软件存在安全漏洞，那么黑客可精心构造包含攻击代码的文档文件，比如一个Excel表格，或者是一个Word文档文件。当用户打开该文档文件时，便会被黑客攻击，下载木-马病-毒，从而控制或破坏用户电脑。
另外一类比较常见的被黑客利用漏洞攻击的软件是PDF阅读器，比如Adobe Reader。
这次的测试，我们便是选择这三类最具代表性、最常被黑客所利用的软件漏洞进行测试，测试环境是Windows XP SP3系统（未打后续安全补丁）以及IE8、Office 2003、Adobe Reader 9.0。具体软件版本及漏洞信息如下：
1. IE漏洞:
漏洞编号: CVE-2013-3893
测试软件: Internet Explorer 8
2. Word漏洞
漏洞编号: CVE-2012-0158
测试软件: Microsoft Word 2003
3. Adobe Reader漏洞:
漏洞编号: CVE-2009-0027
测试软件: AdobeReader 9.0 English
漏洞攻击方式
针对上述三类漏洞，我们分别搜集到三类漏洞测试样本，样本的行为是通过成功触发漏洞，并利用漏洞下载运行病-毒。为了更形象地展示漏洞攻击及病-毒运行情况，我们将该病-毒设置为一个“计算器”程序。
如果该病-毒“计算器”成功运行，那么，代表代表当前用户的电脑被黑客攻击成功，用户电脑被病-毒感染，杀毒软件防护失败；否则，代表杀毒软件拦截成功。
附测试样本下载链接：http://pan.baidu.com/s/1nt8uPSX
样本包中，POC目录为测试POC样本。Runbin目录为加密的计算器程序。
三种POC样本会统一从http://www.misssnow.com/runbin.exe下载加密病-毒到临时目录并执行。测试的时候，需在本地构造http://www.misssnow.com/runbin.exe有效下载链接，建议可通过本地host文件配置有效url：www.misssnow.com指向下载服务器。并将runbin.exe放至下载服务器即可。
参与测试的四款杀毒软件
1. 金山毒霸
软件名称: 金山毒霸
软件版本:9.0.152449.8843

2. 360安全卫士
软件名称:360安全卫士加固版
软件版本:9.6.0.1004

3. 卡巴斯基安全软件
软件名称: 卡巴斯基安全软件
软件版本:14.0.0.4651

4. 瑞星杀毒
软件名称: 瑞星杀毒软件
软件版本: 24.00.14.70      

漏洞攻击测试详情
1. IE漏洞:
金山毒霸: 拦截成功，显示XP防护盾挂马拦截。  

360安全卫士: 拦截成功，显示网盾拦截中秋节漏洞。  

卡巴斯基: 拦截成功，显示网页js脚本文件被报毒。        

瑞星杀毒: 拦截失败。有拦截提示，但是病-毒依然成功运行。未能成功防护。     

2. Word漏洞
金山毒霸: 拦截成功，显示XP防护盾溢出防护拦截。

360安全卫士: 未拦截，漏洞触发，病-毒成功运行。

卡巴斯基: 拦截成功，直接被删掉，病-毒未成功运行。

瑞星杀毒: 未拦截，漏洞触发，病-毒成功运行。

3. Adobe reader漏洞
金山毒霸: 拦截成功，显示XP防护盾溢出防护拦截

360安全卫士: 未拦截，漏洞触发，病-毒成功运行。

卡巴斯基: 拦截成功，文件直接被删除。

瑞星杀毒: 未拦截，漏洞触发，病-毒成功运行。

为保证上述测试的可信性与公正性，所有测试均进行了录像截屏，有兴趣的可具体参看该视频：
http://v.qq.com/boke/page/o/o/s/o0127p6tcos.html
http://v.qq.com/boke/page/a/2/d/a0127i8ao2d.html
http://v.qq.com/boke/page/w/9/3/w0127v9ww93.html
http://v.qq.com/boke/page/c/g/s/c01275y8ogs.html
测试结果概述：

根据测试结果，看出金山毒霸和卡巴斯基在漏洞攻击防护方面做得比较好，都是全部拦截。
金山毒霸的拦截主要是基于攻击行为方面的拦截，这和它们之前在网站上所宣传的一样，主要是针对一些漏洞攻击手法的拦截。这样做的最大好处就是对未知漏洞攻击的有效拦截。Windows系统新的漏洞一直在被发现，被利用，但攻击方法却是千篇一律，一直是那些老方法，很少发生变化。对于XP当前的现状，金山毒霸这种对于未知漏洞攻击的拦截策略可以说是最实用的。
卡巴斯基主要是在0day样本的查杀方面做得比较突出。对于三类漏洞利用攻击，全部可在第一时间静态查杀，防止病-毒样本运行，可见卡巴在0day样本的静态查杀方面做得比较完善。
360安全卫士在IE方面做的也还算不错，对于一些比较严重的漏洞进行了相应的热补丁修复。通过对该漏洞进行有针对性的处理修复，从而防止漏洞被再次利用。这种属于最典型的传统漏洞防护方法，非常有效，但是同样存在着致命的缺点：这种方法只在漏洞爆发后，已有大量用户被攻击后，才针对该特定漏洞进行的防护处理，缺乏通用性。在新的漏洞或者未被它们处理的漏洞被利用攻击时，360是无法进行防护的。就像Word跟PDF的漏洞，就成功绕过了360的防护。
瑞星杀毒在IE方面可以看到也做了一定的防护，可以看出跟360一样，同样是针对特定漏洞做的修复补丁。 但是，根据测试看来，瑞星对于CVE-2013-3893防护明显存在bug，虽然弹泡提示拦截js，但病-毒却依然执行了起来。另外，对于Word和PDF的防护，瑞星跟360一样，在这方面，并未做过多的防护处理。

分析相当到位啊，对选择杀毒软件有相当的帮助。谢谢分享
金山更牛？？？

看看怎么样。希望支持国产软件/

我用小红伞和AV，卡巴太卡

分析相当到位啊，对选择杀毒软件有相当的帮助。谢谢分享
金山更牛？？？

分析相当到位啊，对选择杀毒软件有相当的帮助。谢谢分享了！

很好的背景资料分析。