» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » [syscoder]杀软行为分析5：微点主动防御对网络通信的拦截   作者: 标题: [syscoder]杀软行为分析5：微点主动防御对网络通信的拦截 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  [syscoder]杀软行为分析5：微点主动防御对网络通信的拦截 2009-12-28 19:45 最近发现微点对网络拦截的一些行为，很多木马为了突破防火墙的拦截都会去选择注入IE浏览器，然后在IE中进行网络通信这样杀毒软件就不会拦截了，呵呵，这个方法好啊！，不过不要高兴地太早，碰到了微点这个方法就不一定行了，你可能会有疑问，怎么？微点竟敢拦截IE通信么？答案是：YES,YES。。。。       当然拦截IE通信是有条件的，不可能造成你无法上网的，微点拦截侧重下面的两点：      【1】 IE进程的父进程。      【2】 IE进程界面是否隐藏。       经过我的测试发现，当IE进程由非信任进程启动时，若IE启动时界面隐藏了，那么会受到微点的拦截，这时启动的IE无法进行网络通信，若IE启动时界面没有隐藏，那么用户可以看到，微点认为没有危险，不会拦截IE通信，那么是不是只要IE进程的界面隐藏了就会受到微点的拦截呢？呵呵，微点也不敢这个唐突的拦截，当IE的父进程是可信任的时候，那么即使IE界面隐藏了，微点照样会允许IE通信，不会拦截，至于到底什么才是可信任的程序，经过我的测试发现只有微软数字签名的貌似才可以算是信任进程，其它外来的有数字签名的不一定可以哦！即使是有微软数字签名的，当它不再它原来目录时，那么来启动一个有隐藏界面的IE时，照样会受到微点的拦截通信，看来这个确实很变态，有兴趣的同学可以去研究一下。。。。 【syscoder] 杀软行为分析1-4 http://bbs.micropoint.com.cn/showthread.asp?tid=64560&fpage=1 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2010-1-14 18:51 镜湖YES 银牌会员 积分 1225 发帖 1199 注册 2009-3-15 #2   有意思，要是有图就更好了 ※ ※ ※ 本文纯属【镜湖YES】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-1-14 19:15 safeage 高级用户 积分 695 发帖 693 注册 2007-5-3 #3   那要是用其它浏览器怎么办呢？微点又是如何识别的？ ※ ※ ※ 本文纯属【safeage】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 一个人做生意,二个人开银行,三个人搞殖民地！ 喷血美女跳舞秀：    http://hi.baidu.com/safeage 2010-1-15 11:21 王者天下 禁止发言 积分 266 发帖 262 注册 2009-11-24 #4     Quote: Originally posted by safeage at 2010-1-15 11:21: 那要是用其它浏览器怎么办呢？微点又是如何识别的？ 这都是懂编程人员讨论的东西。一两句话和你说不清楚。 ※ ※ ※ 本文纯属【王者天下】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-1-15 11:56 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号