» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 这种情况下，微点如何处理木马？？    24   3/3   <   1   2   3  作者: 标题: 这种情况下，微点如何处理木马？？ LjhEARTH 新手上路 积分 45 发帖 45 注册 2006-8-25 #21     Quote: Originally posted by 小可 at 2007-6-18 11:22: 呵呵,总算遇到楼上这位知音了. 感慨,幸会!! 看帖有回帖是美德，回帖前认真看贴更是美德，所以…… ※ ※ ※ 本文纯属【LjhEARTH】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-6-25 01:01 LjhEARTH 新手上路 积分 45 发帖 45 注册 2006-8-25 #22     Quote: Originally posted by flo at 2007-6-16 14:19: 微点定义任何对可执行文件的写操作都是病毒行为。在微点开启的情况下，它不能够成功替换explorer.exe。比方说感染svchost.exe自启动的黑客之门，在它尝试感染时，微点会警报。 除此以外，当系统正常运作时 ... flo你真是惜帖如金，竟然不愿意回多一帖而是改自己的老帖，如果不是一眼刚好晃到[ Last edited by flo on 2007-6-21 at 18:12 ]还不知道有新内容。系统的文件保护功能好像是win2000以上版本才有，不过这个是话外题。不知道现在有没有出现过能够冲破windows文件保护功能的病毒？举个例子：一个病毒程序试图改写或替换explorer.exe文件，WFP就会检查该病毒程序的数字签名，如果该病毒程序成功的伪装成系统升级补丁而欺骗了系统的WFP机制进而成功的替换，这样的话系统也就不会进行还原了。要实现这一点是否首先要突破微软的数字签名技术？ ※ ※ ※ 本文纯属【LjhEARTH】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-6-25 01:01 flo 注册用户 积分 168 发帖 168 注册 2006-8-17 #23     Quote: Originally posted by LjhEARTH at 2007-6-25 01:01: flo你真是惜帖如金，竟然不愿意回多一帖而是改自己的老帖，如果不是一眼刚好晃到[ Last edited by flo on 2007-6-21 at 18:12 ]还不知道有新内容。系统的文件保护功能好像是win2000以上版本才有，不过这个是话 ... 觉得这个帖子的意义不大，不想把它顶上来。 突破WPF还是有办法的，不过主要方法是把它关掉。要么学黑客之门，注入Winlogon.exe，替它关闭掉WPF。或者修改组策略，让Windows不要开WPF。直接硬碰硬还比较麻烦。 因为楼主讲的是Windows系统文件，所以想到了WPF。但是如果把目标换成其他程序，比方说替换或感染自启动的并且在Program Files目录下的程序，就可以避免这个问题。但是在这种情况下就不能指望主动防御恢复它了。 [ Last edited by flo on 2007-6-25 at 20:04 ] ※ ※ ※ 本文纯属【flo】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-6-25 19:28 干虾米哟 中级用户 积分 343 发帖 343 注册 2007-2-12 #24   楼上的高人!我拜! ※ ※ ※ 本文纯属【干虾米哟】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-6-25 22:50  24   3/3   <   1   2   3  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号