微点交流论坛

标题: 刚刚又安装了一下微点，来说说。 [打印本页]

作者: flo 时间: 2006-10-2 22:22 标题: 刚刚又安装了一下微点，来说说。

嘿嘿，刚刚又Down了个微点的最新版本，来说说。
首先值得表扬的是，我记得我上次在哪里提了一下Image File Execution Options，现在在这个版本里真的看到这个项了，可见微点还是很负责任的。
我估计了一下，微点大概已经能够应付大约70%的国产木马了。不过估计以后的路可能不太好走，虽然大多数木马有很多共性，但是去除同质化严重的部分外（再加上现在多的是加壳狂人），剩下的就不好弄了（像什么COM替换、文件替换等）。而且微点现在的分析模式还比较单一，有待于提高。
虽然暂时不指望微点能够完美对付驱动级的东西，但是至少在用户态下要无敌吧。

[ Last edited by flo on 2006-10-3 at 10:00 ]

作者: Legend 时间: 2006-10-3 10:57
微点是以“程序行为自主分析判定法”为理论基础，其关键是从反病毒领域普遍遵循的计算机病毒的定义出发，采用动态仿真技术，依据专家分析程序行为、判定程序性质的逻辑，模拟专家判定病毒的机理，实现对新病毒提前防御。

所以对加壳，COM替换，文件替换，微点也会查出的

作者: flo 时间: 2006-10-3 10:59

Quote:

Originally posted by Legend at 2006-10-3 10:57:
微点是以“程序行为自主分析判定法”为理论基础，其关键是从反病毒领域普遍遵循的计算机病毒的定义出发，采用动态仿真技术，依据专家分析程序行为、判定程序性质的逻辑，模拟专家判定病毒的机理，实现对新病毒提前 ...

好像COM替换可以PASS啊、文件替换似乎也能PASS（替换得诡异了一点...）。改天再看看，呵呵，再找找其它诡异的东西哈。

[ Last edited by flo on 2006-10-3 at 11:08 ]

作者: spacecraa 时间: 2006-10-3 15:45
http://www.syssafety.com/files.html

我看你们都是井底之蛙，看看别人的软件在发表观点不迟

作者: 青豆 时间: 2006-10-3 18:53
真正的高手没事做木马干啥,都是那些心术不正的人想弄点钱,才作木马的,他们也能发明或创造一些高级的木马?!

作者: LjhEARTH 时间: 2006-10-4 11:17

Quote:

Originally posted by flo at 2006-10-2 22:22:
嘿嘿，刚刚又Down了个微点的最新版本，来说说。
首先值得表扬的是，我记得我上次在哪里提了一下Image File Execution Options，现在在这个版本里真的看到这个项了，可见微点还是很负责任的。
我估计了一下，微点 ...

正常程序也会有com替换和文件替换，被病毒文件利用是很危险啊，虽然这个是老办法。
弱弱的问一句：Image File Execution Options项在哪里？？

作者: flo 时间: 2006-10-4 11:20

Quote:

Originally posted by LjhEARTH at 2006-10-4 11:17:

正常程序也会有com替换和文件替换，被病毒文件利用是很危险啊，虽然这个是老办法。
弱弱的问一句：Image File Execution Options项在哪里？？

躲避行为分析当然就得行为越正常越好了，把它弄糊涂即可。:D
看这里吧：http://www.xfocus.net/articles/200205/396.html，一个很好玩的东西。

[ Last edited by flo on 2006-10-4 at 11:21 ]

作者: 曙光 时间: 2006-10-4 11:22
微点是以“程序行为自主分析判定法”为理论基础，所以微点不只是监控单一的动作，同时如果楼主是用手工替换的微点是不会报警的！

作者: flo 时间: 2006-10-4 11:26

Quote:

Originally posted by 曙光 at 2006-10-4 11:22:
微点是以“程序行为自主分析判定法”为理论基础，所以微点不只是监控单一的动作，同时如果楼主是用手工替换的微点是不会报警的！

我是搞了一个小程序（为了突出本质，有点猥琐），如果微点确实考虑了这些，那可能它还不够危险？够不上阀值？

作者: LjhEARTH 时间: 2006-10-4 11:37

Quote:

如果“有害程序”这样的执行步骤：生成替换的批处理文件并执行。估计微点会报警吧。

作者: flo 时间: 2006-10-4 11:54

Quote:

Originally posted by LjhEARTH at 2006-10-4 11:37:

如果“有害程序”这样的执行步骤：生成替换的批处理文件并执行。估计微点会报警吧。

我的程序是基于一个我以前做的东西的。
1、释放DLL
2、修改注册表，将ThunderAgent.Agent.1（就是“用讯雷下载”）指向我们的DLL。
3、结束

用户在IE里单击“用讯雷下载”菜单，于是IE加载我们的DLL。我们的DLL把所有请求转交给讯雷的DLL。然后，通过SetThreadContext注入到Explorer.exe，借用Explorer.exe开端口等。

[ Last edited by flo on 2006-10-4 at 13:30 ]

作者: LjhEARTH 时间: 2006-10-4 12:26

Quote:

Originally posted by flo at 2006-10-4 11:54:

我的程序是基于一个我以前做的东西的。
1、释放DLL
2、修改注册表，将ThunderAgent.Agent.1（就是“用讯雷下载”）指向我们的DLL。
3、结束

DLL被加载时：把所有请求转交给讯雷的DLL。然后，通过SetThrea ...

SetThreadContext注入IE和开端口的时候微点没有报警？

作者: 曙光 时间: 2006-10-4 12:29
微点只一种智能型的行为判断，如果是正常程序的SetThreadContext注入IE和开端口微点是不会报的

作者: flo 时间: 2006-10-4 13:16

Quote:

Originally posted by LjhEARTH at 2006-10-4 12:26:

SetThreadContext注入IE和开端口的时候微点没有报警？

不需要注入IE的，因为当用户按“用讯雷下载”的时候，我们的DLL已经被IE加载了，接下来就好像是IE注入到Explorer.exe一样，然后就像一个普通的DLL注入木马一样工作。
所以这个模式下，微点只有在一开始替换COM时才可能防御。

[ Last edited by flo on 2006-10-4 at 13:20 ]

作者: 曙光 时间: 2006-10-4 13:19

Quote:

Originally posted by flo at 2006-10-4 01:16 PM:

不需要注入IE的，因为当用户按“用讯雷下载”的时候，我们的DLL已经被IE加载了，接下来就好像是IE注入到Explorer.exe一样。
所以这个模式下，微点只有在一开始替换COM时才可能防御。

微点使用的智能判断，因为他用的讯雷是一个正常的程序，所以微点才没有报的！

作者: flo 时间: 2006-10-4 13:28

Quote:

Originally posted by 曙光 at 2006-10-4 13:19:

微点使用的智能判断，因为他用的讯雷是一个正常的程序，所以微点才没有报的！

不是因为讯雷是正常程序，是因为IE是个正常程序。嘿嘿。可以写个通用性好的，平移到任何COM对象上。

[ Last edited by flo on 2006-10-4 at 13:33 ]

作者: flo 时间: 2006-10-4 19:26
我刚刚还试了一下通过修改PEB的方法伪装进程，似乎也可以过微点。不过算了，这招对于国内的许多防火墙都损了点，不苛求了。
补充一点：试了一下ADS过微点，也是可以的，不过这招好像更损了一点...

[ Last edited by flo on 2006-10-5 at 10:56 ]

作者: zqrsc 时间: 2006-10-5 10:58
欢迎深入测试。能否给个测试样本文件让官方也试试。？

作者: flo 时间: 2006-10-5 11:42

Quote:

Originally posted by zqrsc at 2006-10-5 10:58:
欢迎深入测试。能否给个测试样本文件让官方也试试。？

要我给样本总是令我比较晕，不知道有什么现成的东西可以发给官方...
不过这些技术网上应该都有介绍。比较旧了，虽然现在最泛滥的一部分木马不用这些。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn