探秘測試新《木馬殺客》靠不靠譜？

木馬的危害人人皆知，選擇一款放心的安全軟件，是普通用戶賴以“防身”的惟一手段。《木馬殺客》是一款在網上知名度頗高的免費安全軟件，在很多網站的熱門軟件排行榜上都占有一席之地。但近日有媒體報道稱，它僅能簡單地通過文件名稱和容量來辨識有害文件，并不能有效保護用戶安全。現在，它的最新版本《木馬殺客2007》登場了，它是否還像以前版本那么“不靠譜”呢？

這次我們測試的是最新推出的《木馬殺客2007》（以下簡稱“殺客”，下載地址http://www.mmsk.cn/Down.html）。它的判斷方式還跟以前一樣嗎？

是否還依據文件名來判別木馬？

筆者用來作為測試樣本的木馬是“灰鴿子2006”。下載樣本并解壓后，用殺客和Nod32對測試目錄進行掃描，均能將其中的“CServer.dat”和“H_Client.exe”這兩個文件識別為木馬。

1.將上述兩個木馬文件改名為“pcd1.exe”和“pcd2.exe”，再次進行掃描。呵呵，這次殺客仍然正確地將它們識別出來了（如圖1）。

2.將“c:\\windows\\explorer.exe”和“c:\\windows\\system32\\rundll32.exe”兩個正常的系統文件復制到測試目錄中，并分別重命名為“CServer.dat”和“H_Client.exe”，再次用殺客掃描，并沒出現誤報（如圖2）。

看來，《木馬殺客2007》已經開始采用了新的方式來判別木馬。相對于以前的版本來說，這無疑是一個有益的改進。

MD5值判別仍有不足

熟悉網絡下載的朋友都應該知道MD5值是什么。MD5可以簡單地被理解為“文件的指紋”，只要文件內容不被修改，那么它的MD5值就不會變。現在的《木馬殺客2007》，會不會就是使用MD5值來判別木馬呢？

1.通過HA_HashTab軟件查看先前找到的木馬文件“H_Client.exe”，發現它的MD5值是“0C298E955192F888E438D94D96332C2F”。

2.隨后，我們在殺客安裝目錄下的“tmp”子目錄中，發現“ZY.ENX”文件中果然存放著與“H_Client.exe”的MD5值一致的字符串（如圖3）。

3.隨便使用一款16進制編輯軟件打開“H_Client.exe”，改動其中一個數據使文件的MD5值改變。再重新使用殺客進行掃描，軟件沒能認出這個木馬文件（如圖4）。但此時使用NOD32，仍然可用正常識別它。

在進一步測試中，我們又用“歲月無痕木馬加殼器”對“H_Client.

exe”進行了加殼操作。這樣的操作同樣改變了文件的MD5值。再次進行木馬檢測，同樣出現了NOD32能夠發現木馬，而殺客不能的情況。

4.重新解壓木馬樣本，然后把“ZY.ENX”文件刪除。再次使用殺客掃描，它就不能認出先前還能正確識別的木馬文件了。

《木馬殺客2007》對危險文件的辨識能力，與以前版本相比已有所增強，但與正規的商業安全軟件仍有一定差距。

對于一款免費軟件，也許我們不能要求太多。但若要讓用戶放心地將自己的安全交給《木馬殺客2007》來守護，它的表現還不夠靠譜。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。