微点交流论坛

标题: 实例验证微点的智能化 [打印本页]

作者: 青豆 时间: 2007-11-8 22:13 标题: 实例验证微点的智能化

用Autohotkey写了一个程序1.exe，程序的功能就是当你按下某个键时，鼠标自动操作使微点退出。

手动运行正常，微点不报警。
将这个程序复制到F盘根目录下，运行，微点不报警。
当通过cmd窗口运行1.exe时，微点立刻报警，提示发现可疑程序。
点“拒绝”，然后提示删除病毒。

当再次手动运行1.exe时（非F盘的那个），微点不报警。即使把这个程序复制到F盘，手动运行，微点不报警。

手动运行程序，正常操作。（用户的行为）
通过调用该程序运行，危险操作，立刻报警。（程序的行为）

如果将危险程序从隔离区拿出来，微点会对这个参与了危险行为的程序报警。而对没有参与危险行为的一模一样的危险程序不报警。

说明微点是非常智能化的，因为两个1.exe文件是一模一样的，当微点报警发现未知病毒后，如果只是简单的把这个程序提取特征码加入病毒库，那么手动运行这个程序时微点也应该马上报警。因为此时的本地病毒库已经更新。

说明微点是对危险程序以及和这个程序相关的动作来进行判断的。而不是简单的靠提取这个未知的危险程序的特征码来判断。

对微点的信心再次提升 :D

作者: 青豆 时间: 2007-11-8 22:17
微点这样就避免了黑客远程登录调用危险程序的隐患

如果将微点设为自动处理，然后设置操作密码，黑客几乎没有机会远程干掉微点。

作者: skychong 时间: 2007-11-9 09:31
恩。。支持热心网友.....

作者: 青豆 时间: 2007-11-9 09:38
微点对于卸载程序的保护很弱，希望改进一下
当调用微点的卸载程序，并模拟鼠标单击时，微点不报警。
即使设置了密码，微点对于卸载不用密码，可能是为了方便用户，但不安全

作者: 反黑先锋 时间: 2007-11-9 21:27
利用微点自带的御载程序:lol:

作者: qq2008444 时间: 2007-11-9 21:36

Quote:

Originally posted by 反黑先锋 at 2007-11-9 21:27:
利用微点自带的御载程序:lol:

:o那样调用会让用户察觉的

作者: 青豆 时间: 2007-11-9 21:45

Quote:

Originally posted by 反黑先锋 at 2007-11-9 21:27:
利用微点自带的御载程序:lol:

恩，就是直接调用微点自带的卸载程序

在本机上测试，顺利卸载，点击操作通过模拟鼠标运行。

后来传给群里的老K测试时，总出问题，他的是宽屏，而且微点的安装目录不是默认的，有点糗 :P

作者: mge 时间: 2007-11-10 17:44
感谢楼主测试，辛苦了，比较有说服力，鉴定完毕！

作者: lotei 时间: 2007-11-11 11:51

Quote:

Originally posted by 青豆 at 2007-11-9 09:38:
微点对于卸载程序的保护很弱，希望改进一下
当调用微点的卸载程序，并模拟鼠标单击时，微点不报警。
即使设置了密码，微点对于卸载不用密码，可能是为了方便用户，但不安全

呵呵！楼主的想法很好！但这个方法要做的话首先是如何保证如何不被用户发现，用户看到你在卸载就失去意义了，另外就如你提到的宽屏就出现问题的，是因为Autohotkey本身就是一个可扩展的类似于按键精灵的鼠标自动按键脚本，其按键的方法应该是通过提取和定位色素或坐标来定位微点的按键，在不同像素和尺寸的屏幕上就不好准确定位按键了，适应性差！另外以此作为一种手段，其他杀软你也可以调出来卸载吧！

[ Last edited by lotei on 2007-11-11 at 11:52 ]

作者: 青豆 时间: 2007-11-11 12:50

Quote:

Originally posted by lotei at 2007-11-11 11:51:

呵呵！楼主的想法很好！但这个方法要做的话首先是如何保证如何不被用户发现，用户看到你在卸载就失去意义了，另外就如你提到的宽屏就出现问题的，是因为Autohotkey本身就是一个可扩展的类似于按键精灵的鼠标自 ...

一旦调用卸载程序成功，鼠标点击速度非常快，而且只需要点一下，微点就自动开始卸载了。用户是没有时间反应的。

而且这时候微点的监控已经退出，如果再调用几个病毒程序，就可以彻底控制用户电脑。比如调用个AV终结者，然后破坏安全模式，使各种杀软无法安装等。

调用其它杀软的卸载程序一样是可以的，对于宽屏只需要把坐标弄清楚，添加几条命令就可以了。

作者: lotei 时间: 2007-11-11 13:24

Quote:

Originally posted by 青豆 at 2007-11-11 12:50:

一旦调用卸载程序成功，鼠标点击速度非常快，而且只需要点一下，微点就自动开始卸载了。用户是没有时间反应的。

反应不了，看还是看得到的吧！应该卸载的速度跟软件本身有关系！他卸载的慢用户不就知道了！
方法是可以的！而且对所有杀软通用，但人看到了比较好防范！另外请问青豆在鼠标控制的时候，如果用户也在晃动鼠标会不会引起你定位不准的问题。

作者: 青豆 时间: 2007-11-11 14:20

Quote:

Originally posted by lotei at 2007-11-11 13:24:

反应不了，看还是看得到的吧！应该卸载的速度跟软件本身有关系！他卸载的慢用户不就知道了！
方法是可以的！而且对所有杀软通用，但人看到了比较好防范！另外请问青豆在鼠标控制的时候，如果用户也在晃动鼠标 ...

恩，用户能看到卸载过程
等到看到时，杀软监控退出，其它病毒已经发作了

对于微点来说，只需要点击一下鼠标，微点就自动卸载了。
点击命令： Click 630,520
无论用户的鼠标在何处，这个命令都会使鼠标点击到那一点，非常快，毫秒级别。
点击完后用户即使晃动鼠标也无济于事了
即使是我自己，运行那个程序后，也无法避免微点不被卸载

[ Last edited by 青豆 on 2007-11-11 at 14:24 ]

作者: nasdaq 时间: 2007-11-11 17:00
青豆很好的探索，我已经转发给Legend了，加分鼓励。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn