Board logo

标题: [建议]微点杀软反跟踪能力需加强 [打印本页]
作者: disk     时间: 2010-2-14 15:00    标题: [建议]微点杀软反跟踪能力需加强

我在对微点杀软的测试中,我发现微点的自我防护体系比较脆弱。
      虽然微点的句柄进行了隐藏,在一定程度上防止了病毒的迫害。但是,这并不能影响病毒对它SSDT,消息钩子,API,进程注入,以及其它被HOOK点的查找和破坏。
病毒思路:
      病毒首先遍历所有进程,查找是否有微点杀软的进程存在。如果有,则实行B计划;如没有,实行A计划或别的操作。这样病毒就能做出对微点的破坏工作,安装驱动,去除钩子,恢复SSDT,内存清空,甚至让微点进程崩溃。
黑客思路:
      黑客想要破坏微点,必然会先进行信息收集工作。可能会用调试工具,动态反汇编工具对为微点进行分析,以便他们对微点漏洞的查找和破坏。
建议和防御思路:
1.我认为这是微点杀软的一个漏洞,竟然不对驱动的安装进行审核。
2.微点保护自身有两方面。一是隐藏自身在系统中的痕迹,防止病毒查找。二是防止自身别破坏,及即使找到也无法进行破坏工作。
3.微点应在发布时,反制调试工具等程序对微点的访问,如发现被调试,则直接BAN掉。可以在一定程度上防止黑客分析和技术泄密。
4.微点的自我保护中应有反跟踪模块,防止非法程序(大多就是病毒和调试器)对微点的跟踪。及时消灭它们试图破坏微点的意图。

本人技术有限,如有错误,请多多包涵。
希望微点杀软早日成熟。(题外话,让X星感到自己的技术是多么垃圾)
作者: disk     时间: 2010-2-14 15:03
再说一声,我的微点杀软已被我调试得崩溃了,无法开机启动。(幸好是在虚拟机里做的实验)
作者: pow78781     时间: 2010-2-14 15:11


  Quote:
Originally posted by disk at 2010-2-14 15:03:
再说一声,我的微点杀软已被我调试得崩溃了,无法开机启动。(幸好是在虚拟机里做的实验)

羡慕牛牛啊···:(膜拜···



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn