Board logo

标题: 微点主动防御之不能完成的任务 [打印本页]
作者: maozi778631     时间: 2009-2-7 20:46    标题: 微点主动防御之不能完成的任务

微点主动防御软件对于常规病毒,可以达到99%的查杀率,可是最近的评测中却可以看到微点检测率最低仅仅85%左右,这是为什么?

本人用影子冒着危险测试了2天的微点,第一天是所有的病毒,一一打开了,把其中不能查杀的病毒提取了,行为测试,可以发现,这些病毒基本不加载什么驱动,也不在系统安装目录中复制文件,甚至不设置自动启动,可以说一运行就直取首级。最典型的就是盗QQ号的木马了,一旦微点的特征码没有查出来,运行后直接在QQ文件夹里驻扎,运行QQ后病毒运行,记录下账号信息。每每微点都是栽在这种木马手里。这种病毒对于特征码为主的杀毒软件,和其他木马几乎没什么2样,可是对于主动防御软件,就有苦说不出了。

这时有人说了,把这个行为也加入行为库里啊?加入行为库就完美无缺了吗?难道在QQ文件夹里生成、替换一个文件,你就说他是木马?这样QQ还怎么更新?网游还怎么更新?甚至登个新QQ都要被报QQ.exe是木马了。

电脑程序毕竟不是人,没有人这种判断能力,这也是微点、智能HIPS之弊端,可以说是不能完成的任务。如果仅仅使用特征码追踪,那他就违背了刘旭当初出微点主动防御软件的初衷了。

这时只有一个办法,就是——微点出高启发扫描引擎。微点主动防御软件和高启发式引擎,看似不是一条路线,可他们却有实质上的相同点,即都可以防御未知木马病毒,也都印证了刘旭的初衷——防御未知木马病毒。

微点没有扫描,仅仅是一只老虎,一旦出了高启发引擎,就是真正意义上的如虎添翼!让我们一起期待微点高启发扫描引擎的到来!

PS:本帖属原创,请于本区另外一帖《主动防御不可完成的任务(-)》 区别
作者: Legend     时间: 2009-2-7 21:04
请楼主将样本发送到:virus@micropoint.com.cn  我们会详细测试。
作者: mamsds     时间: 2009-2-7 21:16
如果一个病毒他不随机自启,貌似就没什么意思了.............
作者: wsmurderer     时间: 2009-2-7 21:41
确实是,现在很多病毒针对微点,不往系统盘写东西,不写入注册表,微点基本没有办法。现在微点越来越受人关注,微点真正的挑战来了。。。,看微点如何应对。。。
作者: hds_ss     时间: 2009-2-7 23:01
微点对扫描太慎重了,看来微点对扫描的要求相当高,不是精品也应该是一级品,但我觉得微点不应该总是闭门造车,还是需要在一定的范围内(小一点)进行测试,然后在大范围进行测试。
作者: 点饭的百度空间     时间: 2009-2-8 00:31
纯粹钓鱼微点目前不设防  其他杀软也防不了 黑客没有隐形没有替换qq登陆窗口 没有产生病毒行为  只能靠自己仔细判别
作者: maozi778631     时间: 2009-2-8 09:21


  Quote:
Originally posted by mamsds at 2009-2-7 21:16:
如果一个病毒他不随机自启,貌似就没什么意思了.............

是的,可是木马的目的如果仅仅是盗QQ号,他的自启动也会没什么意义,直接把QQ.exe替换成 假的那种,微点也没办法
作者: snhao     时间: 2009-2-8 12:22
正常的程序行为能让用户遭受损失是防还是不防呢?
作者: 化外愚民     时间: 2009-2-9 11:02
但它怎么盗呢?还不得往外发?针对这点行为做一系列综合判断也是可以的。如果它不往外发,尽管让它复制就是,它爱复制,谁管得着(当然,如果老是复制个不停地玩儿,另当别论)。
作者: micky     时间: 2009-2-11 18:13
这个需要有具体的样本来说话!
作者: 御剑临风     时间: 2009-2-11 20:20
请楼主提供样本 你说的那些样本 直取首级的那些

谢谢 没有样本不说明什么问题 谢谢楼主帮助微点
作者: 狙击virus     时间: 2009-2-11 22:54
楼主说的这种样本是存在的,我也遇到过,但是我遇到的情况和楼主的不一样,那样本也是什么都不动,直接在QQ目录下生成一个文件,隐藏,然后启动QQ的时候附带启动该病毒文件,待用户输入账号和密码,好随之传输出去,但是唯一不同的是这个东西,微点报警删除了,因为危害动作很明显的,微点不应该不报,,而且我在看了楼主的帖子后,试了几个版本,微点都能正常的报警。530版本测试过,580的169版本测试过,580的预升级版本也测试过,微点都能报警
作者: 御剑临风     时间: 2009-2-11 23:28
请楼主提供样本
作者: 化外愚民     时间: 2009-2-12 09:03


  Quote:
Originally posted by 狙击virus at 2009-2-11 22:54:
楼主说的这种样本是存在的,我也遇到过,但是我遇到的情况和楼主的不一样,那样本也是什么都不动,直接在QQ目录下生成一个文件,隐藏,然后启动QQ的时候附带启动该病毒文件,待用户输入账号和密码,好随之传输出去 ...

关键就在这儿,就是说,只要能防住它往外发就行了。至于它记录键盘,可记录这个行为而不禁止,但如果记录了又想发,就对不起,拦你没商量了。

至于它只是造个文件放着,则一点也不用管。
作者: 凡间幽灵     时间: 2009-2-12 09:25
貌似-----碟中谍 ^_^
作者: maozi778631     时间: 2009-2-19 18:09
QQ登陆总要联网的吧?就算防火墙报了,用户还以为登陆呢,结果账号信息被盗



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn