Board logo

标题: 【转帖】 [讨论]微点的软肋-让你一朝死不瞑目!! [打印本页]
作者: 江浸月     时间: 2009-6-5 03:56    标题: 【转帖】 [讨论]微点的软肋-让你一朝死不瞑目!!

[讨论] 微点的软肋-让你一朝死不瞑目!!

总结下微点的几个不足的地方,纯技术交流,误做它用~

     1.感染性病毒拦截问题。 上面我说过了,微点用的是“触发机制”一旦满足这个机制它才会报警,这就是为什么有些测试样本运行时,一开始没什么反应,过一会就会报毒了。。。不是微点反应慢,而是只有病毒满足其规则的若干个条件时,才会触发“报警”机制,而微点恰恰就是在这方面存在漏洞,尤其是面对“感染型病毒”的时候,一般感染型病毒会通过修改文件和插入代码的方式来感染文件,这期间除了某些不慎的作者触动了敏感选项的注册表外,几乎不会碰到微点的“禁忌事项~”,没有服务创建,不会加载驱动,也不插入某些程序,只需些感染代码的批处理和自启动文件autorun就足够了,并且在感染后删除自身,微点根本就找不到病毒本体,其他程序虽然被感染,但因为其原本是正规程序,所以根本没有触发条件,微点自然就不会报警,所以说微点在这方面需要改进,目前微点对付感染型的病毒还是很弱的,基本上特征码能扫描出来的很多,都对付不了。

     2.结束进程问题。微点不同于国产杀软的“疯狂挂钩子”的方法,(尤其是江民,挂钩子的技巧简直能以变态来形容~)恢复SSDT表的话都差不多(江某除外~)也不采用国外的底层驱动保护和服务0秒重启的方式~(卡巴、麦咖啡和NOD32~)微点用的插入进程。。。(病毒的手法,多少有点猥琐~)插入每一个进程,这样即使自己的主要进程被结束,其他程序中插入的模块也会起到自动恢复的作用~杀是杀不觉得(。。。你总不能把所有进程都“结束”吧?~)因此大多木马都研究的是“过微点”。。。却没有打算强杀的,我本身不这么认为,1.强杀比免杀简单的多~效率也高 2.强杀的生存时间比免杀长 但是强杀就要有个强杀的方法,方法1很简单就是利用关闭关键字窗口的方法,关掉微点的界面使其出错~ 2.利用重启计算机的方式,重启后删除微点在系统盘下的sys序列号文件,一旦删除这个文件,微点再重启后会提示“获取序列号,失败”这样微点就完全启动不起来了,同样达到强杀的目的。

     3.批处理问题,微点因为没有扫描系统,而批处理恰恰又不容易触发微点报警,所以批处理方面完全是微点的软肋,像之前过微点的“著名”病毒,Trojan.Win32.IAgent 就是利用大量的VBS脚本和批处理文件来达到的,(启动方面还是我上面提到的autorun和系统的那个百年BUG,计划任务~)完全不会触发当时的微点报警机制~。。。所以今后如果微点一旦发达起来,没有配合扫描的微点,批处理将成为其劲敌!~

此贴摘自点饭:http://www.mpfans.org/thread-34811-1-1.html
作者: 师傅的徒弟     时间: 2009-6-5 17:24
无语,哪里是“点饭”的帖子,点饭转载别人的帖子也不说明下,分明是大侠“黑暗的浪漫”在百度博客里写的,见http://hi.baidu.com/%BA%DA%B0%B5 ... 6c05cc51da4b7b.html 转载别人的帖子就好好说明下!
作者: mamsds     时间: 2009-6-5 18:05
没有序列号,微点貌似还是可以工作,只是托盘不动吧?
作者: qq8752088     时间: 2009-6-5 20:15
如果真的是3楼所得那样   微点不用经营了
作者: zd025ma     时间: 2009-6-5 20:20    标题: 真的是这样么?

我好怕怕啊
作者: bzhxz     时间: 2009-6-5 20:57
确实有道理,自己碰到过
作者: 江浸月     时间: 2009-6-6 08:57
我的微点过期了,但是托盘还在转动呀
作者: 师傅的徒弟     时间: 2009-6-6 15:04


  Quote:
Originally posted by 江浸月 at 2009-6-6 08:57:
我的微点过期了,但是托盘还在转动呀

你们自己去师傅“黑暗的浪漫”的百度博客看原文,并不是序列号过期就不能用,原文的意思是删除C盘下的一个微点记录序列号的SYS文件,如果这个文件被删除,重启计算机后微点会提示“获取序列号信息”失败,从而就无法正常启动了。(我觉得出于安全着想没把那个SYS文件名字写出来)转载的东西就是不行
作者: fausto     时间: 2009-6-6 16:33
所以现在微点开始开发特征码了
作者: tcjgdw@163.com     时间: 2009-6-6 16:39
我相信微点今年会推出超前主防,克服智能主防的一些缺点。
作者: 江浸月     时间: 2009-6-6 16:52


  Quote:
Originally posted by 师傅的徒弟 at 2009-6-5 17:24:
无语,哪里是“点饭”的帖子,点饭转载别人的帖子也不说明下,分明是大侠“黑暗的浪漫”在百度博客里写的,见[url]http://hi.baidu.com/%BA%DA%B0%B5%B5%C4%C0%CB%C2%FE/blog/item/33e753d42e6c05cc51da4b7b.html ...

这个  本人就做到了,点饭没说,但我转过来就说了,还给了个连接!!怎样?不错吧我!
作者: han     时间: 2009-6-7 16:54
如楼主1所言,
前日不知下载了个什么软件带的毒(或者是在卡饭弄的,记不得了),中了之后,系统老是弹出核心文件被替换了,要求插入XP的安装光盘恢复,由于手头没有,只好取消,以后每打开一个程序都如此这般提示,微点伺机报告并删除.TEM格式的病毒,有的要求重启系统,一切照办,但10/3一样的无限循环。日志记载病毒由一些系统程序创建(比如记事本、浏览器等)。
本来准备不管,但老是弹那个对话,烦,就下一个绿卡,进PE系统(PS:任何一个电脑员都最好DIY个PE,要基本实现无盘办公并集成强化DOS工具)全盘查毒,发现病毒,全部的EXE共计1300+多个文件被感染,绿卡余两个不能清除,手动删除再进PE全扫,无毒。进XP系统,恢复正常。

一个疑问:病毒感染程序时微点防护怎么被绕过了?
一个想法:微点出扫描有必要,病毒清除功能更必须。
作者: rain86     时间: 2009-6-16 16:29
一步步完善,问题会解决的
作者: micropp8866     时间: 2009-6-16 17:42
学习了!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn