微点交流论坛

标题: 一个疑惑 [打印本页]

作者: canius 时间: 2008-2-4 18:42 标题: 一个疑惑

刚装好微点，偶然打开了EncryptPE，因为在system32下生成了V22005312.EPE文件，微点弹出如下发现木马的提示:

用过EncryptPE V2.2005.3.12的都知道这个是它加密所生成的一个文件，引用某人对这个文件说的:
V22005312.EPE是EncryptPE V2.2005.3.12加密的程序运行时生成并使用的一个文件，本身是不含毒的，但因为有人利用它加密病毒或木马（这个版本有漏洞，不必付费也能注册），杀毒软件公司没有脱壳就直接从壳中提取特征码，结果所有由它加密的程序都会被错误地查杀
如果真是这样，微点作为行为特征的查杀方式，为什么会从壳中提取特征码 ? 况且提取此特征码并没有提高任何安全系数。
希望给予答复。

[ Last edited by canius on 2008-2-4 at 18:44 ]

作者: Legend 时间: 2008-2-4 18:47
请楼主把“EncryptPE V2.2005.3.12”的安装程序或其下载链接、微点所报文件(V22005312.EPE) 及微点的技术支持信息文件，压缩后一起发送到 support@micropoint.com.cn 邮箱，并简要说明情况，我们具体进行测试分析，谢谢您对微点的支持。

注：1)技术支持信息的生成操作: 微点主界面-->辅助功能-->生成技术支持信息。
2)按微点提示删除的文件会保存于[安全防护与策略|有害程序隔离]中，右键点击后选择“另存”，若报警提示删除，请先选择不删除，压缩后再处理。
3)发送时请在邮件中注明本帖链接，并在发送后请将您的邮箱地址通过论坛短消息发给我，便于我们及时跟踪处理。

作者: 东成西就 时间: 2008-2-8 11:41
我装了之后,也查到一个木马

作者: qq2008444 时间: 2008-2-8 16:36
“微点作为行为特征的查杀方式，为什么会从壳中提取特征码 ? 况且提取此特征码并没有提高任何安全系数。”
请去阅读微点工作原理
在微点产品中，为了增加效率和减少误报，微点先对目标程序进行特征比对，再进行行为分析。也就是说，微点有使用特征码

作者: canius 时间: 2008-2-10 13:09
楼上的你误会我说的了。我知道微点也用特征码。我说为什么会从壳的特征里提取特征码，这样这个壳加的任何程序都是被查杀对象了，我的潜台词你没看出来么。
"为了增加效率和减少误报"，恰恰没有减少误报，反而增加了。

[ Last edited by canius on 2008-2-10 at 13:11 ]

作者: 8383745687 时间: 2008-2-12 15:33
太高深了，看不懂？

作者: Legend 时间: 2008-2-17 17:32
由于没有收到楼主的进一步反馈，此主题暂做关闭主题处理，如有其他问题，请另开新帖讨论！

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn