微点交流论坛 - 微点主动防御软件

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点主动防御软件 » 一点建议～

renlang119
新手上路

积分 20
发帖 20
注册 2008-7-15

#1 一点建议～

关于微点的日志部分，我觉得可以在改进的清楚些

Quote:

进程启动日志
我觉得应该加的项目显示某个程序的启动是由哪个程序运行的，就像SSM那样，一般由桌面运行的的程序就应该显示是由explorer.exe运行的，进程退出也是，应该显示是由那个进程结束的这个进程，这样方便查很多东西

Quote:

程序生成日志
右键某个生成的程序的时候，有个查找目标，这点很好，但是，这个查找目标只打开选中程序的文件夹，这点没冰刃方便，应该像微点的进程查找目标那样，不仅打开所在文件夹，还应该选中文件，这样是最好的，有些时候文件是隐藏的什么的，很不好找
另外，似乎对于系统创建的文件就没记录，我右键在桌面上新建一个文本文件，就没记录，这个应该是由explorer.exe创建的，但是没记录，我觉得这也该改进，毕竟万一explorer.exe被木马或者注入了进程，用explorer.exe的名义创建一些木马文件，在记录上就找不到，用户也就不知道了

我是菜鸟，可能想法不是很成熟，但是这2点是我自己实际用的时候发现的，研究一些病毒样本的时候不是很方便的发现病毒进程的运行过程（当然也可以用其他的软件，但是我觉得微点既然设计了这些功能就应该做好，使用也方便，所有功能在一个软件上～）～～～不妥之处多多包涵～～～

※ ※ ※ 本文纯属【renlang119】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-8-4 17:48

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#2

1、通过启动日志里的PID和PPID号即可查找是由哪个程序启动的
2、右键点击查找后，只选中所在文件夹，一般是由于文件已不存在，或文件是隐藏的但系统并为开启显示隐藏和显示系统文件
3、微点不是HIPS，并不会记录所有创建的信息，只记录PE（可执行）格式的文件

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2008-8-4 17:56

renlang119
新手上路

积分 20
发帖 20
注册 2008-7-15

#3

补充一点，发完贴的时候，邮件上报一个样本，但是被拦截了，所以，我觉得微点该增加个在线上报，要不邮件上报有些时候挺麻烦的，现在很多安全软件都有在线上报功能的
说明下，这个样本我测试过的，过微点的～～～

附：
您发送的邮件:

> 日期: Mon, 4 Aug 2008 17:51:47 +0800
> 主题: 上报
> 大小: 468646 字节
被检测出带有病毒：Trojan.Win32.Delf.dwl

无法发送到<virus@micropoint.com.cn>

不会再有任何动作来尝试发送你的邮件了。请联系你的系统管理员或先通过其它非电子邮件的方式向你的朋友发送信息以免耽误。

※ ※ ※ 本文纯属【renlang119】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-8-4 17:58

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#4

请使用压缩软件加密压缩病毒程序后在作为附件发送即可，一般通用使用virus这个单词作为密码。
被微点处理到隔离区里的程序，可以在上面单击右键选择上报。
感谢您的反馈，我们收到这个样本后会进行进一步的分析确认的，请您通过论坛短消息留一个您的邮箱地址给我们，方便帮您查收处理，谢谢。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2008-8-4 18:07

renlang119
新手上路

积分 20
发帖 20
注册 2008-7-15

Quote:

Originally posted by Legend at 2008-8-4 17:56:
1、通过启动日志里的PID和PPID号即可查找是由哪个程序启动的
2、右键点击查找后，只选中所在文件夹，一般是由于文件已不存在，或文件是隐藏的但系统并为开启显示隐藏和显示系统文件
3、微点不是HIPS，并不会记录 ...

1、我倒是没注意后面还有个PPID，但是这样相对于直接显示PPID具体是那个来说，麻烦很多，也不好找，我试了下，查找日志不能单独查找某个数值，这样就导致找PID不好找，直接显示一目了然对不对？
2、恩，您说的对，这个是我没测试好
3、对，微点不是HIPS，但是对于程序生成的bat文件总该记录吧，我觉得中了木马bat的危害不必EXE低，实际上所有文件都记录最好，方便高级用户手工清除病毒生成的所有文件，这只是个建议

※ ※ ※ 本文纯属【renlang119】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-8-4 18:13

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#6

1、日志部分作为一个辅助功能模块，暂时没有此类细致的查找功能，目前您可以尝试通过在日志上单击右键，选择导出全部日志后，使用记事本直接查找PID和PPID

3、对于其它类型的文件，微点通过特征码识别和行为判断来捕获，一样有很好的防御效果，请您放心使用。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2008-8-4 18:20

renlang119
新手上路

积分 20
发帖 20
注册 2008-7-15

#7

呵呵，如果日志部分定位是辅助功能模块的话，确实是做到了“辅助”模块，整一个鸡肋......

初级用户用不到，高级用户用不爽....

如果日志功能做好了对手工杀毒很有用的，增加加个系统服务改变的日志就更棒了

算了，不说了，我也是想微点做的更好，This is only proposed

看来不能微点单奔了，我得去装点其他的～～～

祝愿以后微点做的更好～

※ ※ ※ 本文纯属【renlang119】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-8-4 18:42

renlang119
新手上路

积分 20
发帖 20
注册 2008-7-15

#8

上报忘了简单说明，我在贴子上简单说明下吧，
程序图标很具有迷惑性，是文件夹图标，我就是因此不慎运行的
这个木马运行后会施放5个文件，
分别是：
[quote]
c:\windows\system32\system.exe
c:\windows\system32\service.exe（以服务加载。貌似是灰鸽子）
c:\windows\system32\install.bat（似乎是安装服务的，安装完了自我删除）
c:\windows\system32\hook.dll
c:\windows\system32\log_files_1.log（记录用户操作）
[/quoet]

用户运行后会发现进程里面有cmd.exe存在，这是已经调用c:\windows\system32\install.bat执行的缘故，基本说明已经中招

其他不详，没深入分析

[ Last edited by renlang119 on 2008-8-4 at 18:58 ]

※ ※ ※ 本文纯属【renlang119】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-8-4 18:56

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号