标题:
微点雷人的系统文件防修改
[打印本页]
作者:
太挫了
时间:
2009-2-7 13:30
标题:
微点雷人的系统文件防修改
看到微点可以拦截RING3 常规的disk level文件删除和修改,并报警为 试图篡改系统文件,还以为有什么高招,例如FS解析等
分析了一下,原来是Hook了NtWriteFile,然后判断如果FileObject的FileName为空,然后驱动对象是disk或ftdisk(这个判断做得很啰嗦很山寨),就认为是篡改系统文件 ,这么不负责的判断,太雷人了~随便什么程序写写磁盘就是试图篡改系统文件的未知木马~ 这么乱判,还做什么主动防御~
另外RING3程序还会获得一下Explorer.exe和Userinit.exe的磁盘簇位置,发现如果是在写这两个文件的簇就认为是机器狗,做一些特殊处理
这里也做得很雷人,微点认为Explorer.exe和Userinit.exe的磁盘簇分布一定是连续的,所以就设定了一个范围。。。
另外NtWriteFile的HOOK判断中还有一处也相当雷人的本地拒绝访问漏洞,稍候放出,话说微点的驱动,真是看哪个函数,哪个函数就有漏洞啊~
其实绕过这个也很简单,不过要注意微点在atapi的internal dispatch上还有一处很挫的钩子~
作者:
mamsds
时间:
2009-2-7 15:42
看你的语气,很像是当年“瑞星2008主动防御技术分析”那人
我说的对不对?
看来微点技术还是很好的,当年瑞星的问题你说了整整几大页,微点的问题才区区几行................
呵呵!
[
Last edited by mamsds on 2009-2-7 at 15:48
]
作者:
wsmurderer
时间:
2009-2-7 16:48
mj重出江湖:D
作者:
dok2009
时间:
2009-2-7 19:43
嗯,问题确实存在,我们需要给微点时间成熟起来。
作者:
mamsds
时间:
2009-2-7 20:04
这人就是mj????
太震惊了.............
作者:
405016
时间:
2009-2-7 20:11
我想到装《飘雨系统修复》时,微点提示有木马,原来如此
作者:
Legend
时间:
2009-2-7 21:08
Quote:
Originally posted by
405016
at 2009-2-7 20:11:
我想到装《飘雨系统修复》时,微点提示有木马,原来如此
请将该程序和微点的技术支持信息发送到:
support@micropoint.com.cn
作者:
wewe205
时间:
2009-2-8 23:55
呵呵,果然厉害,微点还真牛
作者:
hu1987
时间:
2009-2-9 16:09
Quote:
Originally posted by
mamsds
at 2009-2-7 15:42:
看你的语气,很像是当年“瑞星2008主动防御技术分析”那人
我说的对不对?
看来微点技术还是很好的,当年瑞星的问题你说了整整几大页,微点的问题才区区几行................
呵呵!
[
Last edited by mam ...
支持。。!哪个软件没有漏洞啊??
作者:
lao055902
时间:
2009-2-11 00:13
没漏洞的软件不是真正的软件吧
作者:
lao055902
时间:
2009-2-11 00:13
平常心对待所谓的“漏洞”吧
作者:
sgsrun
时间:
2009-2-11 23:28
期待完善
作者:
御剑临风
时间:
2009-2-12 08:25
楼主真要是高手还在这里 发贴
我今天刺激你了 快点攻击微点吧。。尽显自己高超技术和挫败微点
提高自我价值 也高手朋友们 微点不是神
当然也是帮助微点 找出自身问题 查摆问题 制定措施。
作者:
化外愚民
时间:
2009-2-12 08:59
我技术不行,感觉如此——mj他说话挺冲的,但如果不是恶意造谣(就是说出完全没有的事来)而只是恶意找漏的话(虽然说话口气不友好,而且是故意专找漏的,但只要事是真的),就不必封了。
作者:
koo
时间:
2009-2-12 09:14
麻烦你给个不搓的,整天这个不行那个不行,我都不稀罕说你了,你能不能给个不搓的安全软件? 难道就360不搓?
360是不搓,关键是360能干嘛?
作者:
jackybaby
时间:
2009-2-12 10:14
LZ整这么专业的术语给我们看,的确有点晕,我们反正看不懂,不知该不该支持你,简单点说吧,会带来什么后果不就得了。你的意思是微点你是随便过的,哪天欢迎你来我电脑玩玩。
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
