微点交流论坛

标题: (转)看雪论坛牛人干掉微点方法 [打印本页]

作者: ranzhong 时间: 2008-3-25 00:00 标题: (转)看雪论坛牛人干掉微点方法

http://bbs.pediy.com/showthread.php?t=61762

作者: yzldll 时间: 2008-3-25 00:46
仔细看了看。应该说对微点没有完全的干掉。因为它有一个假设条件：
“利用驱动结束掉大部分的安全软件(eg. KV 2008, 瑞星,微点, 360),禁止一些ARK(反rootkits安全工具)的运行.(当然,不考虑主动防御如何禁止驱动的加载,现在前提是驱动已经加载.所以只讨论一个层面) ”

作者: IC 时间: 2008-3-25 08:23
结束微点很容易，直接用任务管理器就可以了，何必那么麻烦，给自己的电脑装上驱动再靠驱动去结束微点。
微点防毒不防人，这点我比较喜欢

作者: 046569 时间: 2008-3-25 10:52

Quote:

Originally posted by yzldll at 2008-3-25 00:46:
仔细看了看。应该说对微点没有完全的干掉。因为它有一个假设条件：
“利用驱动结束掉大部分的安全软件(eg. KV 2008, 瑞星,微点, 360),禁止一些ARK(反rootkits安全工具)的运行.(当然,不考虑主动防御如何禁止驱动的 ...

同意，即使不用微点，一般的Hips都会直接禁止驱动的加载，所以这只是思路上的讨论。

作者: dsl5 时间: 2008-3-25 16:40

Quote:

Originally posted by 046569 at 2008-3-25 10:52:

同意，即使不用微点，一般的Hips都会直接禁止驱动的加载，所以这只是思路上的讨论。

微点不是HIPS,不可能每一下都拦截驱动加载,关键是要提高驱动级别的对抗能力,当然前提是要保证程序的稳定。

作者: 点饭的百度空间 时间: 2008-3-25 17:51
作者是微点的测试者支持者

http://hi.baidu.com/micropoint/b ... 6183f4f53b14aedbc15

作者: 046569 时间: 2008-3-25 20:12

Quote:

Originally posted by dsl5 at 2008-3-25 16:40:

微点不是HIPS,不可能每一下都拦截驱动加载,关键是要提高驱动级别的对抗能力,当然前提是要保证程序的稳定。

我的意思是说，一般Hips的规则模型，除了白名单内的程序，一律拒绝加载驱动。至于提高驱动级别的对抗能力，恐怕无从谈起。都已经是ring0了，对抗的结果很可能是蓝屏。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn