微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点主动防御软件 » 关于微点对Appinit_Dlls的保护带来的一点麻烦  

作者:
标题: 关于微点对Appinit_Dlls的保护带来的一点麻烦
spatra
新手上路





积分 34
发帖 34
注册 2008-1-17
#1  关于微点对Appinit_Dlls的保护带来的一点麻烦

RT,微点会保护和定时清理注册表下Appinit_Dlls这个键值,因为这个键值会被病毒写入,再调用user32.dll时就会读取这个键值下的dll。
但是用过GDI++的人知道GDI++可以用这个键值加载渲染字体,但是微点不管这点,一律通杀,害我莫名其妙了半天,上网baidu了下才知道。
这个麻烦不大不小,虽然有其他方法可以调用GDI++渲染,可是微点不应该用一竿子打死一船人的办法来保护。


原来的讨论贴(转自百度贴吧):
http://tieba.baidu.com/f?kz=535750134[url=http://tieba.baidu.com/f?kz=535750134]

[ Last edited by spatra on 2009-2-6 at 18:11 ]

※ ※ ※ 本文纯属【spatra】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

AMD 5000+ @3.0GHZ;2G DDR2 800 *2;320G 7200R 16M。
2009-2-6 18:08
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

谢谢楼主的反馈,我们将具体测试分析后给您回复。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2009-2-6 19:13
查看资料  发短消息   编辑帖子
御剑临风
禁止发言

威武大将军



积分 2135
发帖 2192
注册 2008-8-22
#3  

声明:转载http://zhidao.baidu.com/question/10171948.html

注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表
早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。如求职信病毒。利用注册表启动,就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的,对这个DLL的稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马。
具体清除木马么:帮你找了篇







请相信微点 超版他们测试完会答复楼主的。

这类病毒有很强的行为性 应该比较好查杀 我相信微点

※ ※ ※ 本文纯属【御剑临风】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-7 15:41
查看资料  发短消息   编辑帖子
spatra
新手上路





积分 34
发帖 34
注册 2008-1-17
#4  

等待反馈。

※ ※ ※ 本文纯属【spatra】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

AMD 5000+ @3.0GHZ;2G DDR2 800 *2;320G 7200R 16M。
2009-2-7 17:42
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#5  

此注册表键值是非常危险的键值,是病毒木马经常使用的注册表键值,是系统全局性的Hook,目的是注入系统进程,实现自启动。微点对此注册表键值进行了监控,不允许其他程序修改此注册表键值。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2009-2-9 15:52
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号