调试易

　　这个帖子的大部分内容是关于安全技术的，但是也与VB编程有联系，而且我只对这个版块熟悉，所以请管理员和版主不要转移这个帖子，谢谢。
　　闲来无事用VB6写了一个小程序对常用的卡巴7、江民2008、瑞星2008、毒霸2008几款杀毒软件进行了测试，将测试结果与大家交流一下，欢迎朋友们发表看法。
　　我这个测试软件有以下几种木马和病毒常用的手段：无运行界面、关闭xp自带的防火墙、释放exe文件到系统目录、运行其他exe文件、注册新的系统服务、修改exe文件的创建日期信息。
　　测试方法：在虚拟机vmware5.5中安装番茄花园XP sp3，依次安装（或卸载后安装）几种杀毒软件，采用默认设置，先对我的测试程序进行扫描杀毒，然后运行测试程序。
　　测试结果：杀毒时，几种杀毒软件都未把我的测试程序认作病毒，但是运行测试程序时，各种杀毒软件的监控系统表现不一：
　　　　卡巴：提示我的测试程序在进行隐藏安装，点详细信息能列举出其释放的exe文件，注册系统服务时改动的注册表位置和具体键值，询问是拒绝还是允许；
　　　　江民：对关闭xp自带的防火墙、释放exe文件到系统目录、运行其他exe文件、注册新的系统服务均进行提醒并询问是否允许；
　　　　瑞星和毒霸：两款杀毒软件的监控系统均对测试软件的运行视而不见，毫无反应！　　接下来我又测试了一下几款杀毒软件监控系统的防杀能力。由于只懂VB，当然还是用VB来做：提升权限，枚举到监控系统的进程pID，打开句柄，强行结束。由于各款杀毒软件都加载有底层驱动，对很多API都做了屏蔽，只能用比较特殊的方法来实现这些过程。在我的测试中，江民2008的KVMonXP.kxp和kvsrvxp.exe被顺利关闭，监控彻底失效；瑞星2008的RavMon.exe、RavTask.exe、RavStub.exe、RavMonD.exe也都不堪一击，小绿伞用鼠标一指就没了；而卡巴的两个avp.exe虽然可以得到句柄，但是用了几种方法都无法结束进程；毒霸的监控同样也没能干掉。　　经过我的测试，江民和卡巴文件监控系统的灵敏度比较令人满意，而卡巴和毒霸本身防杀的能力较强，不讲其他，就这两个方面综合一下，好像还是卡巴比较好一点。　　以上测试只是没事搞着玩的，本人保证其真实性，但是并无意败坏某些杀毒软件，也不是给某些杀毒软件做广告。这个测试至少说明了两个问题：
　　1、不要太相信杀毒软件，有时候它们在木马病毒面前自己都不知道是怎么死的；
　　2、不要不相信VB，一些看似很难的工作其实它也可以完成哦