» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 谈谈微点“神话”没有谁是救世主~(zt)   作者: 标题: 谈谈微点“神话”没有谁是救世主~(zt) qbnnq1000 高级用户 积分 851 发帖 853 注册 2008-7-17 #1  谈谈微点“神话”没有谁是救世主~(zt) 微点不用我说了，常玩杀软的应该都知道，以“主动防御”著称，口号是，无需升级防杀新型病毒，无需等待扫描，占用资源低（因为采用的监控是触发式。。。所以不用总在后台扫描文件~）。。。而且也总结了些经验，最近打算出扫描器（就是特征码扫描，据说还采用了虚拟机的方式。。学江民么？，看那个扫描版扫描时CPU狂飙我就不禁冷笑。。。。）以解决之前的微点的一个重大弱点，那就是没法解决没有发作病毒的隐患~这样的话，在配合其主动防御做为的“检控”出个安全套装的话，实力非同小可~无非又给骇客们带来了新的挑战，因此我总结下微点的几个不足的地方，纯技术交流，误做它用~      1.感染性病毒拦截问题。 上面我说过了，微点用的是“触发机制”一旦满足这个机制它才会报警，这就是为什么有些测试样本运行时，一开始没什么反应，过一会就会报毒了。。。不是微点反应慢，而是只有病毒满足其规则的若干个条件时，才会触发“报警”机制，而微点恰恰就是在这方面存在漏洞，尤其是面对“感染型病毒”的时候，一般感染型病毒会通过修改文件和插入代码的方式来感染文件，这期间除了某些不慎的作者触动了敏感选项的注册表外，几乎不会碰到微点的“禁忌事项~”，没有服务创建，不会加载驱动，也不插入某些程序，只需些感染代码的批处理和自启动文件autorun就足够了，并且在感染后删除自身，微点根本就找不到病毒本体，其他程序虽然被感染，但因为其原本是正规程序，所以根本没有触发条件，微点自然就不会报警，所以说微点在这方面需要改进，目前微点对付感染型的病毒还是很弱的，基本上特征码能扫描出来的很多，都对付不了。      2.结束进程问题。微点不同于国产杀软的“疯狂挂钩子”的方法，（尤其是江民，挂钩子的技巧简直能以变态来形容~）恢复SSDT表的话都差不多（江某除外~）也不采用国外的底层驱动保护和服务0秒重启的方式~（卡巴、麦咖啡和NOD32~）微点用的插入进程。。。（病毒的手法，多少有点猥琐~）插入每一个进程，这样即使自己的主要进程被结束，其他程序中插入的模块也会起到自动恢复的作用~杀是杀不觉得（。。。你总不能把所有进程都“结束”吧？~）因此大多木马都研究的是“过微点”。。。却没有打算强杀的，我本身不这么认为，1.强杀比免杀简单的多~效率也高 2.强杀的生存时间比免杀长 但是强杀就要有个强杀的方法，方法1很简单就是利用关闭关键字窗口的方法，关掉微点的界面使其出错~ 2.利用重启计算机的方式，重启后删除微点在系统盘下的sys序列号文件，一旦删除这个文件，微点再重启后会提示“获取序列号，失败”这样微点就完全启动不起来了，同样达到强杀的目的。      3.批处理问题，微点因为没有扫描系统，而批处理恰恰又不容易触发微点报警，所以批处理方面完全是微点的软肋，像之前过微点的“著名”病毒，Trojan.Win32.IAgent 就是利用大量的VBS脚本和批处理文件来达到的，（启动方面还是我上面提到的autorun和系统的那个百年BUG，计划任务~）完全不会触发当时的微点报警机制~。。。所以今后如果微点一旦发达起来，没有配合扫描的微点，批处理将成为其劲敌！~ 。。。。说道底，微点不是那么不容易过，也不是那么不容易杀，只是现在还没有“树大招风”起到一个“免疫”的作用，如果微点成为将来的卡巴或者瑞星，骇客们把眼光集中到微点上，很快就会出现一大堆意想不到的漏洞，（就像微点写病毒报告的时候总有某些病毒的行为是遍历安全软件进程然后杀之。。。然而这个遍历安全软件的进程中，却很少有微点的名字~说明很多病毒作者根本还没把微点纳入眼里~）微点的用户范围还不够广，市场也不够大，现实情况是，微点很缺钱，（没钱你连广告都打不起，打不起广告又怎么让人了解和知道你？~）在金融海啸的危机前，不禁让我怀疑这样下去微点能否“坚持”下去？，让我怀疑起了微点病毒的上报处理能力，（微点有多少反病毒工程师？瑞星有600+ ~微点呢？~）。。。自然会担心起微点的能力了。。。总之，没有谁是救世主。。。。。。不存在只有一面的硬币~ 该文章转自：伞饭论坛（http://bbs.sanfans.com） 原文链接：http://bbs.sanfans.com/thread-5018-1-1.html ※ ※ ※ 本文纯属【qbnnq1000】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ [img]http://bbs.micropoint.com.cn/attachments/month_0706/fanheixianfeng_mcUcoKYvXe3n.gif[img] 2009-8-25 11:05 qbnnq1000 高级用户 积分 851 发帖 853 注册 2008-7-17 #2   这几问题真的说得很实在。微点在这方面做得的确不好，希望微点可以改进。（某些人不要又来骂人） ※ ※ ※ 本文纯属【qbnnq1000】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ [img]http://bbs.micropoint.com.cn/attachments/month_0706/fanheixianfeng_mcUcoKYvXe3n.gif[img] 2009-8-25 11:07 z413733894 新手上路 积分 23 发帖 23 注册 2009-7-22 来自 中国 #3   看不懂哈 ※ ※ ※ 本文纯属【z413733894】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-8-25 11:29 师傅的徒弟 新手上路 积分 9 发帖 9 注册 2009-6-5 #4   发现那个什么伞饭和点饭一样不要脸，转载别人的文章连名字和地址都不注明，还是版主转载的，看着师傅的文章就这样转载真不爽，师傅现在已经把空间所有有关微点的技术文章全都删除了，而且以后不再讨论任何和微点有关的问题，本来挺看好微点的，真是无奈了。 ※ ※ ※ 本文纯属【师傅的徒弟】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-8-25 12:14 随风去来 新手上路 积分 2 发帖 2 注册 2009-8-25 #5   我也不太懂，1和3还是批处理问题，杀毒扫描出来配合应该可以解决。至于第2，想要自动启动后删除SYS文件也许不太容易。如果可以删除微点的SYS文件也许也能删除其他的...。还有不能说使用插入进程就猥琐吧，有人用毒杀人，有人用毒救人！！不管黑猫还是白猫，会抓老鼠就是好猫。用C语言可以写病毒害人，用C语言写应用程序也猥琐了？ 不过确实没有只一面的硬币，没有什么是100%的，要的只是相对比较的！但不能说没有100%好的就不用！ ※ ※ ※ 本文纯属【随风去来】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-8-25 12:55 寂静的黎明 注册用户 积分 131 发帖 129 注册 2009-8-17 #6   完全看不懂，只会使用 ※ ※ ※ 本文纯属【寂静的黎明】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-8-25 14:39 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号