标题:
微点最怕驱动级木马病毒(zt)
[打印本页]
作者:
qbnnq1000
时间:
2009-8-24 15:40
标题:
微点最怕驱动级木马病毒(zt)
微点允许未知程序加载驱动 然后再进行程序行为判断!
发现病毒行为 再逆转回来! 把病毒和其衍生物一起载掉..
这跟微点运行的机理有关
举个例子
木马有三个行为,分别abc
行为a对微点来说威胁性指数2分,b是3分,c是5分
而只要一个进程的威胁性超过6分的话微点就报警
木马展现行为a,调用系统正常进程,比如wscript.exe、cmd.exe,微点不理;
木马继续展现行为b,加载驱动,部分替换正常驱动,微点不理;
木马继续展现行为c,恶意行为,总分数=10>6,微点才拦截
病毒和衍生物可以被杀掉
但是正常的驱动程序有可能已经被替换了
作者:
qbnnq1000
时间:
2009-8-24 15:41
不知道大家怎么看?这个刚在卡饭看到的。
作者:
凡间幽灵
时间:
2009-8-24 15:47
当时也在卡饭看到了,貌似那里差点引起口水战。。。。。。
作者:
寻找飞鹰
时间:
2009-8-24 16:06
如果微点有还原技术或者能够预先获取处理指令应该就没事,不清楚
作者:
qbnnq1000
时间:
2009-8-24 16:15
记得微点是有回退技术的。如果可以回退,就算被修改了也不是什么问题。
作者:
lsj301
时间:
2009-8-24 16:28
我是菜鸟
作者:
dhl88888
时间:
2009-8-24 20:11
这个应该深入研究一下,很有必要呀
作者:
HONEY0806
时间:
2009-8-24 21:42
貌似还没想过这个问题 有兴趣的朋友可以深入测试研究哈
作者:
tjanie
时间:
2009-8-24 21:47
这个问题其实很早就有萌芽了,不过我相信官方会想到方法解决的。
作者:
mj0011_2
时间:
2009-8-24 22:15
微点的冻结驱动只针对notify routine , dev ctl,ssdt hook ,system thread等,比较没效用,驱动编写者很容易躲过
另外微点认为ssdt hook比ssdt restore的权级要低,这个有点搞笑
作者:
baijian_8d
时间:
2009-8-24 23:33
楼上给微点帮了不少忙啊·,补了好多洞,呵呵。
作者:
寂静的黎明
时间:
2009-8-25 07:34
我也是菜鸟,看不懂
作者:
mumaniu
时间:
2009-8-25 08:18
别的杀毒软件防不住的许多病毒都被微点打败了,有这个足够了
作者:
qbnnq1000
时间:
2009-8-25 08:32
Quote:
Originally posted by
mumaniu
at 12:18 AM:
别的杀毒软件防不住的许多病毒都被微点打败了,有这个足够了
:mad::mad::mad:什么理论啊,那么WINDOWS也占有了很多其它系统的所没占有的用户,那么WINDOWS再多漏洞也不用补了。
作者:
chinadyj
时间:
2009-8-26 16:16
微点对于这类病毒的确防范不够,这是微点要改进的地方
作者:
晴朗
时间:
2009-8-26 21:14
希望微点尽快找到解决办法!知道了漏洞比不知道强,这样才能弥补缺陷,越来越强大!
作者:
isshine
时间:
2009-8-28 16:47
驱动回滚
作者:
isshine
时间:
2009-8-28 16:48
看数字签名
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
