» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点主动防御软件 » mp开头的sys都是微点的?   作者: 标题: mp开头的sys都是微点的? 慕晨雪 新手上路 积分 9 发帖 9 注册 2006-9-8 #1  mp开头的sys都是微点的? 今天用IceSword了下 发现类似mp110009.sys等的都为红色危险进程 这些都是微点进程? !*^_^*!    ※ ※ ※ 本文纯属【慕晨雪】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ [color=#CA0F66] .乘雪夜航迁异域. .清夜无尘舞月光.   [/color] 2006-9-14 07:30 nasdaq 版主 版主 积分 1140 发帖 1118 注册 2006-4-6 #2   ？？？ IceSword啥版本？ 我的IceSword 1.18，内核模块，MP1100XX.sys系列全都是黑色的。 WinXP SP2 另，IceSword报红色，含义是隐藏模块，不能简单理解为危险模块。 ※ ※ ※ 本文纯属【nasdaq】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-9-14 12:56 慕晨雪 新手上路 积分 9 发帖 9 注册 2006-9-8 #3     Quote: Originally posted by nasdaq at 2006-9-14 12:56: ？？？ IceSword啥版本？ 我的IceSword 1.18，内核模块，MP1100XX.sys系列全都是黑色的。 WinXP SP2 另，IceSword报红色，含义是隐藏模块，不能简单理解为危险模块。 和你同样版本的 我在SSDT里看到的 !*^_^*!    ※ ※ ※ 本文纯属【慕晨雪】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ [color=#CA0F66] .乘雪夜航迁异域. .清夜无尘舞月光.   [/color] 2006-9-15 12:06 nasdaq 版主 版主 积分 1140 发帖 1118 注册 2006-4-6 #4     Quote: Originally posted by 慕晨雪 at 2006-9-15 12:06: 和你同样版本的 我在SSDT里看到的 !*^_^*!    深了，又学了一着 呵呵，我觉得SSDT里面的红色是不是指非windows自带的驱动模块阿，我这里微点、卡巴4、DAEMON Tools4的驱动都是红色的 呵呵，因为微点的驱动最多，可能是因为微点监控的目标比较多吧 ※ ※ ※ 本文纯属【nasdaq】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-9-15 12:35 flo 注册用户 积分 168 发帖 168 注册 2006-8-17 #5   在IceSword的SSDT选项卡里，红色是指被修改的SSDT，是说现在这项SSDT的地址与从系统ntoskrnl.exe里算出来的正常值不一样。 微点通过修改SSDT实现主要监控，这是正常的。许多安全软件都会把这个表改得面目全非。KIS6更为恐怖... 当然啦，修改SSDT也是可以干坏事的，有些早期Rootkit通过修改SSDT隐藏自己。 [ Last edited by flo on 2006-9-15 at 19:44 ] ※ ※ ※ 本文纯属【flo】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-9-15 19:39 nasdaq 版主 版主 积分 1140 发帖 1118 注册 2006-4-6 #6     Quote: Originally posted by flo at 2006-9-15 19:39: 在IceSword的SSDT选项卡里，红色是指被修改的SSDT，是说现在这项SSDT的地址与从系统ntoskrnl.exe里算出来的正常值不一样。 微点通过修改SSDT实现主要监控，这是正常的。许多安全软件都会把这个表改得面目全非。K ... 感谢英雄给俺科普了一下。 ※ ※ ※ 本文纯属【nasdaq】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-9-15 21:52 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号