标题: 我想知道微点怎么对付与微点拥有相同权限的驱动木马 [打印本页]

---

作者: leadingtheway     时间: 2008-1-9 19:31    标题: 我想知道微点怎么对付与微点拥有相同权限的驱动木马

(很多人都有疑问）好像微点是放任木马加载，然后才对木马进行行为判断，判断为木马后才来个惊天大逆转，清除病毒

这样的话，如果拥有同等权限的木马一旦加载后，微点想清楚木马恐怕不是一件容易的事吧，让木马加载驱动后就很棘手了，强行清除的话恐怕系统也有可能崩溃吧

---

作者: Legend     时间: 2008-1-9 19:34
微点会监控所有进程的动作，当发现有危害系统的动作微点会及时拦截。请放心使用

---

作者: xiahe1     时间: 2008-1-9 19:44
同样级别的也可以监听吗?
那不是要抢了.......看谁动作快了...........

---

作者: 点饭的百度空间     时间: 2008-1-9 19:46
这贴很有潜力 我也有疑问担心 微点如何AntiRootkit? 前沿技术大家都研究
好比让国外军队开近国土 不 是开进国土.. 突然微点发现对方驱动怀有敌意病毒行为  艺高人胆大的微点再进行拦截判断清除 大家都是平等权限 清除难度不小  卡巴主防没微点这么牛叉强悍 就不这么干:cool: 老毛子蛮有自知之明

---

作者: 点饭的百度空间     时间: 2008-1-9 19:56
向卡巴致敬 干脆微点添上卡巴那损招  驱动加载我先来个拦截报警 让用户选择
用户选错了 没关系 微点不是卡巴 半驱动全驱动病毒微点主动防御照样有效行为判断
用户选对了 更好  降低安全风险还能提高效率降低cpu系统资源 一般除了微点已识别的安全软件 误报应该不会很多

---

作者: gxrsprite     时间: 2008-1-9 20:48
这样的病毒绝对不多

阻止病毒提升权限

如果已经提升到了同级别  
PK的话大概就蓝屏了

---

作者: 点饭的百度空间     时间: 2008-1-9 21:56
最近校园非常流行的xorer病毒  利用windows消息驱动机制发垃圾信息 双进程感染行为 驱动删除服务等 破坏卡巴微点江民主防  微点内测版很强大已经解决近期升级给预升级  但相信大多数微点测试者头一回感觉到压力，处在"不设防”状态真的不好过  这病毒让大家仿佛又回到了以前的杀软过期药时代:cool: 我看见磁碟机马上藏起来远远的 不敢运行  
希望微点添加驱动加载报警  未来的驱动病毒肯定越来越多 比xorer更变态的肯定不少
  

---

作者: gudan     时间: 2008-1-10 22:11
如果把驱动所调用的函数集合启发出来判断一下就好了，不过似乎不简单阿

---

作者: 7ctt     时间: 2008-1-12 15:35    标题: 微点在驱动级防护应该是采用特征码

自己的观点，不代表微点：
微点在驱动级防护应该是采用特征码，在用户级采用的是行为判断！

---

作者: dsl5     时间: 2008-1-13 09:46
个人认为在未有更底层的突破之前，还是拦截一下驱动加载比较好，一些病毒木马已经有全驱执行的趋势。。。就是前期什么行为都没，一开始就加载驱动。。。然后后面的行为全部由驱动抹去。。。

其实个人认为可以细化判断方式。。。例如正常的软件一开始肯定要先对系统进行检测，检测环境再决定是否加载驱动。。。如果一个程序不检测就直接加载，可以当作异常加载拦截。。。。

个人愚见，又或者。。。一加载后马上挂钩一些相关的内核函数作掩护用途的，或者不检测字节长度直接盲目覆盖来hook的，可以拦截下来。。。。

[ Last edited by dsl5 on 2008-1-13 at 09:49 ]

---

作者: philwilla     时间: 2008-1-13 18:40
对病毒研究不深,路过学习下.

---

作者: gudan     时间: 2008-1-13 21:42
发现论坛高手越来越多

---

作者: lotei     时间: 2008-1-13 22:19
点饭的百度空间的想法不错！但对驱动的加载并报警个人觉得虽然提高了安全性但却增加了软件的易用性，毕竟微点面向的是更为广泛的普通用户，而不是单单是我们。

而dsl5的想法更全面些，对驱动的加载之后的一些后续行为经过微点的判断之后会对其进行判断，该是病毒还是木马微点就会报警的。

xorer的病毒编写难度一般但确思路独特，很针对主动防御产品，微点已经可以有效拦截了，另外关于半驱到全驱的转变是必然的，半驱很早就有，全驱具说已有，不知道
点饭的百度空间手头上有没有，有的话也给小弟一个。好好看看，要让内核驱动实现应用层干的事情编写和稳定性要求苛刻。

PS：gudan好像某某人的马甲！不知道对不对！呵呵

---

作者: theone     时间: 2008-1-14 08:19

Quote:

Originally posted by gudan at 2008-1-13 21:42: 发现论坛高手越来越多

有点像是nasdaq:o

---

作者: gudan     时间: 2008-1-14 10:11
呵呵。我得马甲好多的，布置这一个哈，要是想猜就慢慢的猜噢

---

作者: 点饭的百度空间     时间: 2008-1-14 13:55
正好昨天捡到2枚rk  无法stop it  





[ Last edited by 点饭的百度空间 on 2008-1-14 at 14:35 ]

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn