标题: 为什么杀毒软件的主动防御都可以被恢复？ [打印本页]

---

作者: mamsds     时间: 2009-4-28 17:17    标题: 为什么杀毒软件的主动防御都可以被恢复？

我看了这个贴
http://bbs.micropoint.com.cn/sho ... id=605968#pid334886
实际上，我很久以来就有一个疑问：
理论上，是杀毒软件的服务驱动进程先加载，那既然有自我保护，为什么不可以保护SSDT？为什么主动防御可以被恢复？微点能不能防御这种恢复？

---

作者: mj0011_2     时间: 2009-4-28 17:36
主要是这些杀毒软件太挫，没有使用例如MMU、虚拟化等方式保护自己的钩子~
微点用了一种非常挫的方式来保护SSDT：定时检查暴力恢复

这样不但非常挫，保护不住，还会占用用户机器的大量CPU资源

---

作者: 凡间幽灵     时间: 2009-4-28 17:56
楼上的两位老兄，微点早就不再修改SSDT表了，那些恢复SSDT一直以来对微点都无效，更不要说现在，郁闷。都过去很久了，还有人老生长谈，汗啊。。。。多的俺也不说了，自己看卡饭的帖子，连接如下
http://bbs.kafan.cn/thread-362181-1-1.html

---

作者: mj0011_2     时间: 2009-4-28 20:27
不用SSDT也照样是内核钩子，是内核钩子都可以被恢复
用DPC、TIMER、线程之类保护也是于事无补，徒增不稳定，占用无知用户的CPU

---

作者: cp0577     时间: 2009-4-28 20:31
杀毒软件再怎么垃圾。那不用杀毒也不怎么好把.

---

作者: mamsds     时间: 2009-4-28 21:18

Quote:

Originally posted by mj0011_2 at 2009-4-28 17:36: 主要是这些杀毒软件太挫，没有使用例如MMU、虚拟化等方式保护自己的钩子~ 微点用了一种非常挫的方式来保护SSDT：定时检查暴力恢复 这样不但非常挫，保护不住，还会占用用户机器的大量CPU资源

那他们为什么不用呢？

---

作者: mamsds     时间: 2009-4-28 21:23

Quote:

Originally posted by mj0011_2 at 2009-4-28 20:27: 不用SSDT也照样是内核钩子，是内核钩子都可以被恢复 用DPC、TIMER、线程之类保护也是于事无补，徒增不稳定，占用无知用户的CPU

你这么牛，那有没有办法，可以保护不被恢复？
要是有，为什么没人用？

---

作者: mj0011_2     时间: 2009-4-28 22:10
其实要过主动防御，真的没必要恢复
方法太多了

顺便说一句，微点的主动防御并不比瑞星强多少，可能有差距，但是不多

---

作者: HomeSGerMine     时间: 2009-4-28 22:12
微点其实有保护SSDT，只是检查SSDT的频率问题，大概是3~5秒一次，只要病毒在这段时间内恢复SSDT，微点的主动防御就失效了，如果检测的频率过于频繁的又会消耗太多的资源，所以保护SSDT不被恶意恢复对于杀软来说还是还是一个头痛的问题呢

---

作者: HomeSGerMine     时间: 2009-4-28 22:15

Quote:

Originally posted by mj0011_2 at 2009-4-28 22:10: 其实要过主动防御，真的没必要恢复 方法太多了 顺便说一句，微点的主动防御并不比瑞星强多少，可能有差距，但是不多

差远了.......一个是一个动作报告一次，只告诉你危险不危险，而微点是直接告诉你是病毒，不是病毒再多的动作也不会报告... 这个是什么差距啊.......天大的差距！

---

作者: snhao     时间: 2009-4-28 22:25
至少不会像360那样装任何软件都会不停的弹窗"XX软件正在修改注册表"(烦不烦那)

---

作者: mamsds     时间: 2009-4-30 17:22

Quote:

Originally posted by mj0011_2 at 2009-4-28 22:10: 其实要过主动防御，真的没必要恢复 方法太多了 顺便说一句，微点的主动防御并不比瑞星强多少，可能有差距，但是不多

你说的差距，是指使用的技术吧？
但是我觉得微点最好的地方不是主动防御技术，而是怎么把规则总结出来。

---

作者: mj0011_2     时间: 2009-4-30 19:35
说的是技术+规则

再说，微点的规则，就是没有规则，只要有一点恶意可疑，就拦，然后靠无比臃肿的白名单来防止误报。关于这一点我以前分析过。这种模式注定了微点永远做不大

---

作者: snhao     时间: 2009-4-30 19:42

Quote:

Originally posted by mj0011_2 at 2009-4-30 19:35: 说的是技术+规则 再说，微点的规则，就是没有规则，只要有一点恶意可疑，就拦，然后靠无比臃肿的白名单来防止误报。关于这一点我以前分析过。这种模式注定了微点永远做不大

怪不得误报如此之多呢.:cool:

---

作者: mamsds     时间: 2009-5-1 10:23

Quote:

Originally posted by mj0011_2 at 2009-4-30 19:35: 说的是技术+规则 再说，微点的规则，就是没有规则，只要有一点恶意可疑，就拦，然后靠无比臃肿的白名单来防止误报。关于这一点我以前分析过。这种模式注定了微点永远做不大

那你认为以后的防病毒趋势是怎样的呢？
我觉得微点对一般软件的误报还是很低的，但是对具有黑客性质的工具软件之类的误报就很高..................
但是这不是最重要的，关键是，行为不能很好滴反应思想——病毒有可疑行为但是，有可疑行为的，不一定就是病毒！主要是看程序编写者的思想，就跟警察杀人和劫匪杀人一样的道理，杀人这个行为，不能判定这个人是好是坏，所以我也觉得微点还是有比较大的缺陷.............
还有，既然你这么牛，为什么你自己不搞个杀毒软件？
就这样说说，我觉得没什么意思.............

[ Last edited by mamsds on 2009-5-1 at 10:26 ]

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn