微点交流论坛

标题: 主动防御的一些测试 [打印本页]

作者: 时刻 时间: 2005-11-10 21:35 标题: 主动防御的一些测试

// test.cpp : Defines the entry point for the console application.

#include "stdafx.h"
#include <windows.h>

LRESULT WINAPI GetMsgProc(int nCode, WPARAM wParam, LPARAM lParam)
{
return 0;
}

int main(int argc, char* argv[])
{

SetWindowsHookEx(WH_GETMESSAGE,(HOOKPROC)GetMsgProc,GetModuleHandle(NULL),0);

getchar();

return 0;
}

这段代码也报是不是不对啊!请技术人员回答一下,本人感觉不妥.

作者: 时刻 时间: 2005-11-10 21:48 标题: 回复: 主动防御的一些测试

// test.cpp : Defines the entry point for the console application.

#include "stdafx.h"
#include <windows.h>
#include "psapi.h"

int main(int argc, char* argv[])
{
DWORD aProcesses[1024],cbNeeded,cProcesses;
unsigned int i;
HANDLE hProcess;
LPVOID lpMemaddr;
DWORD lpNumberOfBytesWritten;
char aBuf[0x100];

if(!EnumProcesses(aProcesses,sizeof(aProcesses),&cbNeeded))
{
return 0;
}

cProcesses = cbNeeded/sizeof(DWORD);

for(i=0;i<cProcesses;i++)
{
hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,aProcesses);
if(NULL!= hProcess )
{
lpMemaddr = VirtualAllocEx(hProcess,NULL,0x100,MEM_COMMIT,PAGE_EXECUTE_READWRITE);

if(lpMemaddr)
{
WriteProcessMemory(hProcess,lpMemaddr,aBuf,0x100,&lpNumberOfBytesWritten);
VirtualFreeEx(hProcess,lpMemaddr,0,MEM_RELEASE);
}
}
CloseHandle( hProcess );
}

getchar();

return 0;
}

还有这段代码,请看看是病毒吗?你们的报毒原理是不是不对啊!
作者: pAnic 时间: 2005-11-10 22:13 标题: 回复: 主动防御的一些测试

呵呵，我也测试了，果然会报，不过还好微点没有直接把它卡查了，而是问你要不要删除:p
作者: Legend 时间: 2005-11-10 22:29 标题: 回复: 主动防御的一些测试

你的这两段代码写出来的是打算写个什么软件呢?如果仅仅是这两段代码恐怕是没人会付钱给你的.除非你把他们编进你的木马教程里.
作者: yingying 时间: 2005-11-10 22:35 标题: 回复: 主动防御的一些测试

楼主真是高手呀！！！我想拜你为师怎么样，向你学学如何编写木马，有了木马我就可以.......

先拜谢了
作者: 时刻 时间: 2005-11-10 23:39 标题: 回复: 主动防御的一些测试

pAnic,还有大家请将上面的两段代码复制生成的exe文件,分别命名为:a.exe,b.exe,你在C盘下建一个以temp
为名的目录,然后拷贝a.exe和b.exe到此目录,然后分别运行,微点一定会报的,你这是选择不删除,紧接着你将这两个可执行文件复制到,您安装的常用软件的目录,如:VC,winrar,winhex,FlashGet等等,这是你运行上面的a.exe和b.exe微点一定不会报毒的,请问这是为什么呢?难到微点认为的病毒,换个目录就不是病毒了吗?请技术人员回答我的提问.
作者: 时刻 时间: 2005-11-11 09:46 标题: 回复: 主动防御的一些测试

最新的测试结果和大家一起分享,希望支持:

1、当你在磁盘根下创建一个目录如：FinalData,winhex,Winhex 10.25 等等把a.exe,和b.exe放到这些目录微点肯定不会报毒的，大家可以自己测试，有时你还必须注意目录的大小写。
2、上面的目录做为子目录时，一定要在Program Files下才不报毒的，做为其他的目录的子目录一定会报毒。
3、试想如果很多涉及到其他内存读写的软件（现有的）在安装的时候自己胡乱定义安装目录，我推测微点一定会报病毒的，还有就是新生的内存读写软件刚开始微点也一定会报毒的。

4、当你自己写的软件有界面时，改变你的窗口名称为：winhex，FinalData等等，然后复制以上的代码到一个简单的按钮操作，这时微点一定也不会报的。

上面都是本人的测试，只是对新生事物的好奇，做点测试与大家共勉，没有其他的用意，也请微点的技术人员告诉我，我分析的对吗？
作者: diwa 时间: 2005-11-11 09:56 标题: 回复: 主动防御的一些测试

装了几天一直没反应，只有些日志，这下放心了，作为专业开发人员你当然知道这些程序干什么的，放过去就是，我等菜鸟宁可他报出来，有危险的都不能放过。
作者: 时刻 时间: 2005-11-11 09:59 标题: 回复: 主动防御的一些测试

最新的测试结果和大家一起分享,希望支持:

1、当你在磁盘根下创建一个目录如：FinalData,winhex,Winhex 10.25 等等把a.exe,和b.exe放到这些目录微点肯定不会报毒的，大家可以自己测试，有时你还必须注意目录的大小写。
2、上面的目录做为子目录时，一定要在Program Files下才不报毒的，做为其他的目录的子目录一定会报毒。
3、试想如果很多涉及到其他内存读写的软件（现有的）在安装的时候自己胡乱定义安装目录，我推测微点一定会报病毒的，还有就是新生的内存读写软件刚开始微点也一定会报毒的。

4、当你自己写的软件有界面时，改变你的窗口名称为：winhex，FinalData等等，然后复制以上的代码到一个简单的按钮操作，这时微点一定也不会报的。

上面都是本人的测试，只是对新生事物的好奇，做点测试与大家共勉，没有其他的用意，也请微点的技术人员告诉我，我分析的对吗？
作者: pAnic 时间: 2005-11-11 10:00 标题: 回复: 主动防御的一些测试

如果你选择“删除”，然后重新生成这两个文件那无论放在哪个目录，微点都会继续删除的，微点下一次的行为会受用户选择的影响。
作者: 时刻 时间: 2005-11-11 10:03 标题: 回复: 主动防御的一些测试

看了6楼的帖子,也许你早已是别人的盘中餐了!
作者: 时刻 时间: 2005-11-11 10:04 标题: 回复: 主动防御的一些测试

看到六楼的帖子,也许你早已是别人的盘中餐了!
作者: 时刻 时间: 2005-11-11 10:10 标题: 回复: 主动防御的一些测试

pAnic你测试不要选择删除,只选择不删除就可以了,你选择删除,它就把你当病毒加了特征了,当然你跑哪里都查你的,就像杀毒软件的实时监控了.
作者: 易拉罐 时间: 2005-11-11 10:13 标题: 回复: 主动防御的一些测试

楼主厉害，偶试了，佩服啊～～
作者: pAnic 时间: 2005-11-11 10:15 标题: 回复: 主动防御的一些测试

本来就应该是这样啊，难道一个文件，用户自己要求不要当作病毒处理，杀毒软件还硬要干掉它，那不是强人所难么？:P
作者: Legend 时间: 2005-11-11 10:19 标题: 回复: 主动防御的一些测试

多谢楼主对微点软件的细致测试
作者: 时刻 时间: 2005-11-11 14:16 标题: 回复: 主动防御的一些测试

谢谢斑竹的回复,不过我很想知道自己的测试是不是对的,更希望微点的技术人员能回答一下,我的测试的对吗?你们的报毒思想是不是和测试很相近,过滤大量的正常程序,是这样吗?
作者: 豆沙 时间: 2005-11-11 14:24 标题: 回复: 主动防御的一些测试

楼主真厉害，还能自己做木马。佩服，什么时候教教小弟！
作者: pAnic 时间: 2005-11-11 14:36 标题: 回复: 主动防御的一些测试

个人认为这种测试意义不是很大，就像传统杀毒软件，你用uedit构造一个文本，里面只要包含病毒的特征码，就同样会被当作病毒杀掉，而实际的软件一般而言都有自己的功能，一个没有自有功能而仅仅去试图访问其他进程，或者hook系统消息的进程，即使是合法的也是可疑的。
楼主说的过滤大量正常程序的事情，至少已经安装了微点的朋友还没有提出过，并没有什么拥有特权操作的正常程序被过滤了，包括其他的杀毒软件，防火墙，系统维护工具等等。
觉得楼主的结论有失公允。
作者: 时刻 时间: 2005-11-11 15:06 标题: 回复: 主动防御的一些测试

我所说的,懂行的一看就明白了,微点真是这样的防思想,就得改进了, 因为按目前的这种方式,只要木马稍稍改变策略,微点就会失效的!!!
作者: pAnic 时间: 2005-11-11 15:16 标题: 回复: 主动防御的一些测试

目前的事实是包括灰鸽子在内变种繁多的木马尚无漏网之鱼，木马通过隐藏特征码轻易骗过了诺顿一类的传统防火墙，而遇到微点就原形毕露了，不知道楼主的改进有什么更好的建议呢？
作者: 时刻 时间: 2005-11-11 15:57 标题: 回复: 主动防御的一些测试

你如果是微点的技术人员,我可以告诉你! :d
作者: pAnic 时间: 2005-11-11 16:07 标题: 回复: 主动防御的一些测试

哎，可惜偶不是～不过你如果真的有想法可以在这里讲：
http://www.micropoint.com.cn/bugreport/bugreport.html
偶只是对你的想法比较好奇，想知道还有什么查杀病毒木马的好办法～
作者: keyneszhang 时间: 2005-11-12 01:23 标题: 回复: 主动防御的一些测试

值得探讨，等到微点做大之时，也就是针对微点的病毒诞生之日。。
作者: 时刻 时间: 2005-11-12 12:34 标题: 回复: 主动防御的一些测试

经过我的测试,我发现,微点根本不是杀毒软件!,微点对感染性病毒无能为力,每次我的机器上的好多助手软件都会弹框,连咔吧也报,哈哈,哪天咔吧,把微点给咔嚓了就惨了,大家看看我的代码就知道微点的工作原理,他只能算一个简简单单的防火类的小软件,实用价值真的不大,大家看到的更多是微点的表面现象,其实他的防毒原理非常脆弱,不堪一击,这只是本人的看法.
作者: 小XX 时间: 2005-11-12 12:39 标题: 回复: 主动防御的一些测试

"微点对感染性病毒无能为力,"

你真的有试过吗?
作者: Administrater 时间: 2005-11-12 13:46 标题: 回复: 主动防御的一些测试

简简单单的防火类的小软件,呵呵，如果我也能拿到卡巴所有的病毒库的话，我也能写一个简简单单的小杀毒软件出来，不就是提特征值吗。。。。。。。。。。。。。
作者: 时刻 时间: 2005-11-12 14:29 标题: 回复: 主动防御的一些测试

微点对感染性病毒无能为力,这个无可非议,如果我能拿到卡巴所有病毒库样本的话,嘿嘿,我想很多人都可以写的,如果微点有的话,早做了,还等你我吗?
作者: pAnic 时间: 2005-11-12 14:51 标题: 回复: 主动防御的一些测试

说无可非议这个词的时候，最好举个例子说明一下，比如卡巴斯基报了某个病毒，病毒名字症状，微点没报，才有意义。
你说了半天一点实际的东西都没有，丝毫也不能说明问题啊～
作者: 请自爱 时间: 2005-11-12 15:35 标题: 回复: 主动防御的一些测试

难道２８楼的就是传说中卖病毒的？
怎么跟http://bbs.micropoint.com.cn/showthread.php?t=264有点像啊？？？？

哈哈．．．．．
作者: 时刻 时间: 2005-11-12 17:29 标题: 回复: 主动防御的一些测试

你们啊!,一个都不是微点搞技术的吗?
作者: no_pains 时间: 2005-11-12 21:19 标题: 回复: 主动防御的一些测试

挺热闹啊，看样子楼主要在微点门口摆地摊了，哈哈。。
作者: 时刻 时间: 2005-11-12 23:42 标题: 回复: 主动防御的一些测试

这样的思路,让木马客星之类的小破软件搞搞还行,做为一个公司,唉,无法说了!我只是提意见,我不是杀毒公司的员工也非木马的写作者,因为我不会去写病毒的,法律不允许的.
作者: 时刻 时间: 2005-11-14 20:22 标题: 回复: 主动防御的一些测试

能不能和你们的技术人员沟通沟通啊!,遇到实际的问题就回避不是事啊!请告诉核心技术人员的qq号?
作者: Legend 时间: 2005-11-14 20:57 标题: 回复: 主动防御的一些测试

欢迎加入我们的反病毒技术群16998902，一起来探讨技术问题．
作者: 反黑先锋 时间: 2006-6-21 14:07
热闹啊时刻是高手嘛下文呢？
作者: 反黑先锋 时间: 2006-6-22 17:35
顶
作者: wdxk 时间: 2006-7-9 14:39
希望看到下文

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn