微点交流论坛

标题: 这种情况下，微点如何处理木马？？ [打印本页]

作者: 小可 时间: 2007-6-16 12:49 标题: 这种情况下，微点如何处理木马？？

现很多病毒一杀掉它系统也跟着瘫痪了，对于电脑已经感染了这种病毒的电脑微点是否想好了对策呢？

比如说一种病毒把任务栏.EXE文件替换掉了，当微点发现恶意行为时是否会把它杀掉那？杀掉就相当于把任务栏干掉了，呵呵！成病毒帮凶啦？？

支持微点，希望更好！

作者: Legend 时间: 2007-6-16 12:54
对于此类的恶意行为的病毒，微点在该恶意程序产生危害前就可以拦截处理，保护系统的安全，欢迎您继续对微点进行测试，如果您在测试中遇到任何问题和建议都可以通过论坛和邮件向我们反馈，谢谢您的支持。

作者: 小可 时间: 2007-6-16 13:00
请帮主看清楚我的问题，你的回答很含糊喔?我说的是已被替换掉系统文件的病毒喔？杀了他就是杀掉系统文件哟？

作者: Legend 时间: 2007-6-16 13:06
对于安装微点前系统文件已经感染病毒，微点主动防御软件可以阻止此类病毒的进一步感染，在后续版本中微点即将退出扫描引擎对其进行清毒处理。欢迎关注微点升级。

[ Last edited by Legend on 2007-6-16 at 13:10 ]

作者: 小可 时间: 2007-6-16 13:33
还是不明白我的意思？

比方说：一个病毒替换掉了系统任务栏explorer.exe文件，这个病毒有系统原版任务栏explorer.exe文件全部功能，其中加入了木马功能，除了文件容量大小不一样外。

杀掉它就是杀了任务栏，系统就没有任务栏啦？？？？
重点是微点杀掉后能不能根据系统版本，自动还原系统原版文件才行啊？？？

作者: 一个人的旅行 时间: 2007-6-16 13:40
楼主是否有点极端，？
就楼主说的这种情况，目前好像没见过有安全软件可以还原的。文件被替换了，杀毒软件从何处获得原系统文件来还原呢？

作者: 小可 时间: 2007-6-16 13:52
不会啊，先阻止木马行为，再做过简单的软件提示：请插入“某某”系统光盘进行还原呀！
想必杀毒软件不至于检测不出用的是什么系统吧，准备好光盘后杀毒软件再进行杀毒更换系统文件不就OK了。杀毒软件也可以集成部分常见被病毒替换的文件做备份，挺好！

作者: flo 时间: 2007-6-16 14:19

Quote:

Originally posted by 小可 at 2007-6-16 13:52:
不会啊，先阻止木马行为，再做过简单的软件提示：请插入“某某”系统光盘进行还原呀！
想必杀毒软件不至于检测不出用的是什么系统吧，准备好光盘后杀毒软件再进行杀毒更换系统文件不就OK了。杀毒软件也可以集成部 ...

微点定义任何对可执行文件的写操作都是病毒行为。在微点开启的情况下，它不能够成功替换explorer.exe。比方说感染svchost.exe自启动的黑客之门，在它尝试感染时，微点会警报。

除此以外，当系统正常运作时，Windows有文件保护功能，当关键系统文件关闭时就会还原，无法还原时就会要求用户插入光盘。杀软只要确保此功能打开即可。（这也是一些文件感染病毒不感染系统文件的原因）

[ Last edited by flo on 2007-6-21 at 18:12 ]

作者: zn3300680 时间: 2007-6-16 18:35
这是不是有点太苛刻了

作者: 青豆 时间: 2007-6-16 19:03
有过病毒感染系统关键文件，卡巴删除后启动不了的情况
这种情况微点也无能为力，只能通过系统修复解决
不能指望杀毒软件解决一切问题。
就像你的钱被人偷用了，你能要求警察还钱给你吗？

作者: 青豆 时间: 2007-6-16 19:05
如果系统中毒之前已经安装微点，可以说这种中毒的可能性几乎为零

作者: LjhEARTH 时间: 2007-6-16 20:26
这位发主题的朋友问的问题归根到底是讨论微点对已经被感染了病毒的文件的修复能力有多强（修复能力差的安全软件，要么无法清除感染进的病毒，要么直接删除整个已被感染的文件而给用户造成新的损失），这个能力对于已经中了感染型病毒的windows系统重要文件来说尤其重要。而对于微点无论是现在还是将来都会面对这样的情况：很多新用户是系统中毒之后才安装的微点。

作者: 小可 时间: 2007-6-18 11:22
呵呵,总算遇到楼上这位知音了.

感慨,幸会!!

作者: zqrsc 时间: 2007-6-18 12:17
除非比尔撒手.否则要想通过杀软来完全控制系统核心替换,难啊..

作者: 小可 时间: 2007-6-18 13:52
是难,可病毒做到了!

作者: 魔战神 时间: 2007-6-18 21:59

Quote:

Originally posted by 小可 at 2007-6-18 13:52:
是难,可病毒做到了!

搞破坏总是比建设容易的。。。

作者: xuy777 时间: 2007-6-21 15:22

Quote:

Originally posted by 一个人的旅行 at 2007-6-16 13:40:
楼主是否有点极端，？
就楼主说的这种情况，目前好像没见过有安全软件可以还原的。文件被替换了，杀毒软件从何处获得原系统文件来还原呢？

就是啊,这不是在替微软当客服么? 非要逼着微点改行啊:D:D:D

作者: vinter 时间: 2007-6-22 19:31
我也刚装上希望是我最后的选择

作者: segourigh 时间: 2007-6-22 20:40
尺有所长，寸有所短，让微点去恢复你被改变的系统文件现在是不可能的，也许将来微点会兼职医生，不过现在只能当好保镖...

作者: pingpaiji 时间: 2007-6-24 23:43
如果真是这样，那系统自己可能就会报错的啊

作者: LjhEARTH 时间: 2007-6-25 01:01

Quote:

Originally posted by 小可 at 2007-6-18 11:22:
呵呵,总算遇到楼上这位知音了.

感慨,幸会!!

看帖有回帖是美德，回帖前认真看贴更是美德，所以……

作者: LjhEARTH 时间: 2007-6-25 01:01

Quote:

Originally posted by flo at 2007-6-16 14:19:

微点定义任何对可执行文件的写操作都是病毒行为。在微点开启的情况下，它不能够成功替换explorer.exe。比方说感染svchost.exe自启动的黑客之门，在它尝试感染时，微点会警报。

除此以外，当系统正常运作时 ...

flo你真是惜帖如金，竟然不愿意回多一帖而是改自己的老帖，如果不是一眼刚好晃到[ Last edited by flo on 2007-6-21 at 18:12 ]还不知道有新内容。系统的文件保护功能好像是win2000以上版本才有，不过这个是话外题。不知道现在有没有出现过能够冲破windows文件保护功能的病毒？举个例子：一个病毒程序试图改写或替换explorer.exe文件，WFP就会检查该病毒程序的数字签名，如果该病毒程序成功的伪装成系统升级补丁而欺骗了系统的WFP机制进而成功的替换，这样的话系统也就不会进行还原了。要实现这一点是否首先要突破微软的数字签名技术？

作者: flo 时间: 2007-6-25 19:28

Quote:

Originally posted by LjhEARTH at 2007-6-25 01:01:

flo你真是惜帖如金，竟然不愿意回多一帖而是改自己的老帖，如果不是一眼刚好晃到[ Last edited by flo on 2007-6-21 at 18:12 ]还不知道有新内容。系统的文件保护功能好像是win2000以上版本才有，不过这个是话 ...

觉得这个帖子的意义不大，不想把它顶上来。
突破WPF还是有办法的，不过主要方法是把它关掉。要么学黑客之门，注入Winlogon.exe，替它关闭掉WPF。或者修改组策略，让Windows不要开WPF。直接硬碰硬还比较麻烦。
因为楼主讲的是Windows系统文件，所以想到了WPF。但是如果把目标换成其他程序，比方说替换或感染自启动的并且在Program Files目录下的程序，就可以避免这个问题。但是在这种情况下就不能指望主动防御恢复它了。

[ Last edited by flo on 2007-6-25 at 20:04 ]

作者: 干虾米哟 时间: 2007-6-25 22:50
楼上的高人!我拜!

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn