微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 关于粉碎机的问题  

作者:
标题: 关于粉碎机的问题
aliu134
中级用户





积分 317
发帖 315
注册 2007-5-26
#1  关于粉碎机的问题

刚用了优化大师的文件粉碎
微点报了,显示优化大师正写入某某文件
我解除了,防御的效果不错哦
不过也透露了优化大师粉碎文件的小手段
敢肯定的是写入文件是...

※ ※ ※ 本文纯属【aliu134】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

甘秋千摆 浪剑明心
随情而立 行益则侠
望夜秋忆思亲
恨苍天戏烬千百痴情人
2007-5-27 20:16
查看资料  发送邮件  发短消息  QQ   编辑帖子
zzlpp
新手上路





积分 40
发帖 40
注册 2007-5-26
来自 广东深圳
#2  

粉碎的原理就是在原来文件占用的扇区间隔地写入数据,报警是正常的吧。

※ ※ ※ 本文纯属【zzlpp】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-5-28 08:52
查看资料  发送邮件  发短消息  QQ   编辑帖子
kangbingzhen
中级用户




积分 334
发帖 320
注册 2007-4-2
来自 河南驻马店西平
#3  

用金山文件粉碎器,粉碎文件时,微点从不报警,但用超级巡警做同样的事时,微点会报警,虽然都在粉碎文件,但因为遵循的标准不一样,产生的磁盘操作行为也不一样啊(金山的是什么符合美国国防部标准,而超级巡警就不知道了)
看来微点应该对这一类行为进行归纳,这应该算是误报吧

※ ※ ※ 本文纯属【kangbingzhen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-5-28 09:02
查看资料  发送邮件  发短消息   编辑帖子
aliu134
中级用户





积分 317
发帖 315
注册 2007-5-26
#4  

还说明一点,有时候报,有时候不报!

※ ※ ※ 本文纯属【aliu134】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

甘秋千摆 浪剑明心
随情而立 行益则侠
望夜秋忆思亲
恨苍天戏烬千百痴情人
2007-5-28 09:15
查看资料  发送邮件  发短消息  QQ   编辑帖子
kangbingzhen
中级用户




积分 334
发帖 320
注册 2007-4-2
来自 河南驻马店西平
#5  

更详细的是当用粉碎器粉碎可执行程序(.exe;.com等)时有时微点会报警,此可执行文件刚才被使用过,若是没有过则微点也不报警,;当粉碎普通文件(音频,视频,ISO等)微点则从不报警。我用的时超级巡警的文件粉碎功能
微点应该分析一下巡警的粉碎行为

※ ※ ※ 本文纯属【kangbingzhen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-5-28 09:49
查看资料  发送邮件  发短消息   编辑帖子
aliu134
中级用户





积分 317
发帖 315
注册 2007-5-26
#6  

你研究的蛮深啊 哈哈
谢谢了

※ ※ ※ 本文纯属【aliu134】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

甘秋千摆 浪剑明心
随情而立 行益则侠
望夜秋忆思亲
恨苍天戏烬千百痴情人
2007-5-28 20:47
查看资料  发送邮件  发短消息  QQ   编辑帖子
aliu134
中级用户





积分 317
发帖 315
注册 2007-5-26
#7  

通过你给我的行为判断
我做了个实验,有点头绪
我根据你的方法写入了一个文件,可以说是"粉碎"
微点报了,我阻止了,然后微点就报我的程序是未知病毒 呵呵
我删除了,不知道会自动发送到微点不,可是发送的是个查毒的工具
我做了点手脚,我把我要粉碎的文件改成了一模一样的名字,呵呵
都放在一起,而我的程序运行后自动该自己的名字,所以微点删除的是我要粉碎的文件
而不是我粉碎的程序文件,如果我有什么侵犯,我像微点道歉,我只是深入的测试
而已,呵呵 如果真的发送了正常文件,文件是SREng.exe
我想在瑞星发帖杀毒的艘认识!

※ ※ ※ 本文纯属【aliu134】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

甘秋千摆 浪剑明心
随情而立 行益则侠
望夜秋忆思亲
恨苍天戏烬千百痴情人
2007-5-28 21:46
查看资料  发送邮件  发短消息  QQ   编辑帖子
aliu134
中级用户





积分 317
发帖 315
注册 2007-5-26
#8  

微点还是够强的 呵呵

※ ※ ※ 本文纯属【aliu134】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

甘秋千摆 浪剑明心
随情而立 行益则侠
望夜秋忆思亲
恨苍天戏烬千百痴情人
2007-5-28 21:52
查看资料  发送邮件  发短消息  QQ   编辑帖子
aliu134
中级用户





积分 317
发帖 315
注册 2007-5-26
#9  

原理很简单我可能说的有点模糊:
我做个程序是普通的写入文件,而在同一个文件夹里我知道有一个EXE文件(没运行的),我指定了这个EXE就是要"粉碎"的对象,我程序运行后会检测自己本身的名字(保存到变量),然后返回成功后会自己改名,然后程序会找到我要"粉碎"的EXE文件,并把它改成我程序以前没改前的名字(保存的变量),而进程中映的是我开始原来的程序名,这次不管是系统还是微点都被骗了,微点就删除了我要"粉碎"的文件!   普通正在运行的文件没自我保护的是可以...
应该大多数系统都可以这样吧!没试过别的系统运行后是否可以做到 呵呵!
不可能我的系统就特殊点吧!?
如果是这样看来我要换个正规的系统了 哈哈!

※ ※ ※ 本文纯属【aliu134】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

甘秋千摆 浪剑明心
随情而立 行益则侠
望夜秋忆思亲
恨苍天戏烬千百痴情人
2007-5-28 22:44
查看资料  发送邮件  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号