微点交流论坛

标题: 用微点实机试毒的后果！ [打印本页]

作者: martionhao 时间: 2007-6-28 13:33 标题: 用微点实机试毒的后果！

实机试毒的后果是什么呢？要看你用的是什么杀软！卡巴，免杀太多，红伞也有飘过的时候，那微点如何呢？
很多用了微点的兄弟慢慢都会喜欢上用微点实机试毒的感觉，双击一个样本，微点很快会报未知木马，然后把本体和衍生物通通删掉！
可是，实机试毒毕竟带有危险性！今天我就郁闷了两回！
第一回是样本区那个，运行了就等着关机重启吧的那个样本！这是个玩笑程序，运行了以后，进程不停的关闭重建，无法手动停止，并且进程越来越多，最后只好重启，我看野马兄发上去的截图有拦截，可是我的微点就是不拦截！
这也就算了，可是，等我吃完晚饭回来，又下载了几个样本，解压缩其中一个压缩包，里面的病毒文件是隐藏的，于是我想打开隐藏文件的显示，可是，点了很多次都无法正常显示隐藏文件！于是，第一个反映，中招了！打开任务管理器仔细查看进程，没有异常！打开冰刃，估计有可能有dll插入了explorer，于是检查explorer的模块信息，没有发现异常！用微点的自启动清理，删除了几个我觉得可疑的驱动，然后重启，问题依旧！
既然没有异常模块加载，也没有异常进程，那只有注册表文件被恶意修改了，于是去检查HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 下面的checkedvalue键值，发现果然被恶意修改为0000 01，删掉它，重建一个DWORD值，改为1，刷新一下，这个值正常了，可以设定显示所有文件了！但是显示受保护的系统文件这个选项仍然不正常！百度了一下，找到了这个键值，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\SuperHidden，CheckedValue和DefaultValue这两个键值应该设置成 0，而UncheckedValue应该设置成1~！在我的电脑上，UncheckedValue被设置成了0！改成正常值以后，刷新，设置恢复了，所有隐藏文件可以显示了！问题终于解决了！
虽然又学到了不少东西，可是实机试毒还是有一定风险的！微点虽然删掉了病毒和衍生物，但是还是不能做到完全的防护啊！
最好是微点能提供自己设定注册表保护的范围的功能，这样我们可以自己添加一些注册表项进行保护，就像卡巴的主动防御那样！

作者: Legend 时间: 2007-6-28 13:40
请楼主将您提到的病毒样本送到virus@micropoint.com.cn，我们具体分析一下，随信请附上本帖链接，谢谢。

作者: norman6810 时间: 2007-6-28 13:41
看过在卡饭的帖子，楼主发到微点论坛啦，呵呵！
实机试毒本来就很危险，况且也没有那个杀软能做到100％查杀！
不过楼主说的这个问题的确要引起注意，最好能把样本上报给微点病毒上报邮箱！
:P还是超版快啊！！

作者: skydragon 时间: 2007-6-28 13:41
提供RD功能，自定义MP目前的“注册表保护”：）不错，我记得之前也有同志提过！：）

作者: hortra 时间: 2007-6-28 19:28
好像微点的记性比较好，杀过一会以后都能记住

作者: 干虾米哟 时间: 2007-6-28 22:46
超版你真神速啊！

作者: 牛行天下 时间: 2007-6-28 23:40
引狼入室？？？

作者: 驾驭流星 时间: 2007-7-2 21:10
要就用虚拟机测试病毒啊~

作者: dsl5 时间: 2007-7-3 10:59
哈哈!我都说了超版一定是这样回复的,果然猜对了!:D我是读心理学的哦!

作者: 反黑先锋 时间: 2007-7-3 12:12
显示隐藏文件的问题相信内测版已有针对性的保护功能

选项锁定保护;)

作者: 顺其自然 时间: 2007-7-15 21:20

Quote:

Originally posted by 驾驭流星 at 2007-7-2 21:10:
要就用虚拟机测试病毒啊~

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn