微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点主动防御软件 » 转贴一篇针对微点的文章,希望管理员看看如何预防  

作者:
标题: 转贴一篇针对微点的文章,希望管理员看看如何预防
xuhuixuhui
新手上路





积分 5
发帖 5
注册 2008-3-12
#1  转贴一篇针对微点的文章,希望管理员看看如何预防

使用knlps轻松干掉微点主动防御

来源: IT168  作者: 伤心的鱼

2008年各个杀毒厂商全部推出了主动防御. 各个厂商大打主动防御这个招牌。最近在测试自己的免杀木马的时候发现, 可以躲过瑞星2008 跟Norton的查杀, 但是一运行的时候会被微点的主动防御提示。 百思不得其解 . 因为微点据说是行为判断。可以说是误杀的可能性大大减少了。

  换句话说也就是我的木马运行以后他才判断是不是不明文件。 通过判断文件运行以后所做的动作来判断.

  我在本地安装了微地点后发现三个进程为

  MPSVC.exe

  MPSVC1.exe

  MPSVC2.exe

  有了这三个进程 就知道了安装了微点了。 那么是不是我们干掉这三个进程就可以继续我们的行为了呢? 这里我使用了一个叫做knlps的工具 只有几K大小 DOS下运行。 超级适合我们在WEBSHELL里干掉微点后继续运行我们的木马

  首先切换到我们的knlps目录 然后执行

  >knlps -l 列举出所有的进程

  然后查找到

  MPSVC.exe

  MPSVC1.exe

  MPSVC2.exe 三个进程的PID值

  然后继续执行

  >knlps -k pid 就可以终止掉指定pid的进程 这样我们就可以干掉微点的主动防御进程 可以继续我们的木马运行

  不过还有一点就是服务器重起以后微点又会重新建立主动防御进程,这样有可能我们的木马又会被查杀,

  对于这个出来把微点全部搞掉还米啥好办法

  这种方法主要适合在WEBSHELL里执行, 因为前几天我就碰到一个服务器装了微点. 服务器没开终端 我在SQL里执行上传的pcshare全部被杀掉 所以才找到这个办法。 工具超级小而且稳定。 是个对付杀软的好东西

※ ※ ※ 本文纯属【xuhuixuhui】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-4-3 02:27
查看资料  发送邮件  发短消息   编辑帖子
xuhuixuhui
新手上路





积分 5
发帖 5
注册 2008-3-12
#2  

还有通过远程在服务器安装了微点,但不显示托盘图标(MPSVC.exe,MPSVC1.exeMPSVC2.exe在运行) ,是否微点还可用?

[ Last edited by xuhuixuhui on 2008-4-3 at 02:31 ]

※ ※ ※ 本文纯属【xuhuixuhui】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-4-3 02:29
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#3  

感谢楼主的反馈,楼主所描述的问题,目前已经无法结束微点,另外通过远程在服务器安装了微点,但不显示托盘图标(MPSVC.exe,MPSVC1.exeMPSVC2.exe在运行) ,是否微点还可用?,请问楼主除了
MPSVC.exe,MPSVC1.exeMPSVC2.exe外是否还能看到mpmon.exe.

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-4-3 07:17
查看资料  发短消息   编辑帖子
xuhuixuhui
新手上路





积分 5
发帖 5
注册 2008-3-12
#4  

看不到mpmon.exe,除非手动运行微点,但一注销,再进服务器又没有了。

※ ※ ※ 本文纯属【xuhuixuhui】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-4-3 16:28
查看资料  发送邮件  发短消息   编辑帖子
y0365
版主

使用与技巧版主


积分 1603
发帖 1571
注册 2007-1-27
#5  

你的这种操作类似多用户操作吧,微点不支持多用户,如果远程服务器的本机已经登陆系统,再通过远程用户来登陆的话是看不到微点的托盘的。

※ ※ ※ 本文纯属【y0365】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

乱我心者必杀之
2008-4-3 16:34
查看资料  发短消息   编辑帖子
xuhuixuhui
新手上路





积分 5
发帖 5
注册 2008-3-12
#6  



  Quote:
Originally posted by y0365 at 2008-4-3 16:34:
你的这种操作类似多用户操作吧,微点不支持多用户,如果远程服务器的本机已经登陆系统,再通过远程用户来登陆的话是看不到微点的托盘的。

看不到托盘也没关系,问题是MPSVC.exe,MPSVC1.exeMPSVC2.exe在运行的情况下微点是不是在起作用?(mpmon.exe没有运行)

※ ※ ※ 本文纯属【xuhuixuhui】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-4-3 17:15
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号