» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 刚刚写了个小程序做的一个小测试   作者: 标题: 刚刚写了个小程序做的一个小测试 42602363 新手上路 积分 13 发帖 13 注册 2009-9-14 #1  刚刚写了个小程序做的一个小测试 VC6 一个 Win32 Exe 项目，一个 Win32 Dll 项目。 Exe 动态加载 Dll，调用 Dll 中一个函数， 函数功能是 把 exe 和 dll 合并成一个新的 exe。合并方式为把dll文件数据附加到exe文件数据的末尾。 微点报告未知木马。 然后我修改程序，合并生成的文件扩展名改成了dat， 然后用 API MoveFile 把生成的文件再改名为 exe，微点就没有报告了。 再之后，把程序改回去，微点也不报告了。 什么原因？ ※ ※ ※ 本文纯属【42602363】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-9-15 03:10 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #2   方便的话，请提供具体的程序和详细测试步骤我们模拟分析看看。 相关文件和内容请发送到support@micropoint.com.cn。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2009-9-15 03:33 42602363 新手上路 积分 13 发帖 13 注册 2009-9-14 #3   我是在一个我正在开发的软件中添加代码进行的测试，因此不方便把完整的源代码给出来。 我过会儿把这部分代码整理成一个单独的工程再测试一下。 之后再给你们发邮件。 ※ ※ ※ 本文纯属【42602363】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-9-15 03:47 42602363 新手上路 积分 13 发帖 13 注册 2009-9-14 #4   终于弄明白了。 微点没有问题。 因为在我的测试中，生成的 exe 运行时，会把自己安装为系统服务，服务启动时会把合并到其尾部的Dll文件数据解出生成一个新文件然后加载。而且还要连接网络，具有木马的特征，因此，微点报告它为未知木马。同时，微点可能记录了它的HASH值等特征。 之后，我再次生成同样的 exe 文件时，因为与原本被判断为木马的文件完全相同，因此不需要检测其行为就被直接判断为木马，并弹出提示。 再之后，由于我的代码已经修改，编译的文件已经与微点记录的文件不一样，因此，再次生成 exe 时，微点仅认为这是一次正常的文件合并。不会有任何提示。 直到我合并的 exe 文件执行，因其具有木马特征，微点再次报告“未知木马”，并记录该文件特征。 如果我再次合并此文件，微点会立即报告发现未知木马，除非我修改文件内容，使合并时生成的文件数据与微点记录的不一样。然而，只要合并后的程序一运行，就仍然会提醒。 实际上微点的提示与文件合并的过程、无论是否改名等都没有关系。我的第一次测试有误。 接下来，我要想办法让我生成的exe不会被判断为木马，因为我确实是一个正常的程序，只是又确实具有木马的特征。难度很大啊。 [ Last edited by 42602363 on 2009-9-14 at 21:09 ] ※ ※ ※ 本文纯属【42602363】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-9-15 05:03 42602363 新手上路 积分 13 发帖 13 注册 2009-9-14 #5   顺便问一下，微点有没有64位版？或者什么时候推出64位的版本？ 我装的是双系统，一个是 Windows Server 2003 x86，一个是 Vista x64，偶尔由于工作需要还会使用 Windows Server 2008 x64，不知道微点什么时候支持这些系统？ ※ ※ ※ 本文纯属【42602363】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-9-15 05:34 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #6   感谢您的细致测试与反馈！ 目前微点暂不支持x64的Windows系统，该部分微点程序还在内测优化阶段暂未发布，我们会尽快完成相关工作并适时推出的。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2009-9-15 05:56 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号