Board logo

标题: 微点的软肋-让你一朝死不瞑目【转帖】 [打印本页]
作者: isidda     时间: 2009-11-16 13:36    标题: 微点的软肋-让你一朝死不瞑目【转帖】

微点的不足

1.感染性病毒拦截问题。 上面我说过了,微点用的是“触发机制”一旦满足这个机制它才会报警,这就是为什么有些测试样本运行时,一开始没什么反应,过一会就会报毒了。。。不是微点反应慢,而是只有病毒满足其规则的若干个条件时,才会触发“报警”机制,而微点恰恰就是在这方面存在漏洞,尤其是面对“感染型病毒”的时候,一般感染型病毒会通过修改文件和插入代码的方式来感染文件,这期间除了某些不慎的作者触动了敏感选项的注册表外,几乎不会碰到微点的“禁忌事项~”,没有服务创建,不会加载驱动,也不插入某些程序,只需些感染代码的批处理和自启动文件autorun就足够了,并且在感染后删除自身,微点根本就找不到病毒本体,其他程序虽然被感染,但因为其原本是正规程序,所以根本没有触发条件,微点自然就不会报警,所以说微点在这方面需要改进,目前微点对付感染型的病毒还是很弱的,基本上特征码能扫描出来的很多,都对付不了。

     2.结束进程问题。微点不同于国产杀软的“疯狂挂钩子”的方法,(尤其是江民,挂钩子的技巧简直能以变态来形容~)恢复SSDT表的话都差不多(江某除外~)也不采用国外的底层驱动保护和服务0秒重启的方式~(卡巴、麦咖啡和NOD32~)微点用的插入进程。。。(病毒的手法,多少有点猥琐~)插入每一个进程,这样即使自己的主要进程被结束,其他程序中插入的模块也会起到自动恢复的作用~杀是杀不觉得(。。。你总不能把所有进程都“结束”吧?~)因此大多木马都研究的是“过微点”。。。却没有打算强杀的,我本身不这么认为,1.强杀比免杀简单的多~效率也高 2.强杀的生存时间比免杀长 但是强杀就要有个强杀的方法,方法1很简单就是利用关闭关键字窗口的方法,关掉微点的界面使其出错~ 2.利用重启计算机的方式,重启后删除微点在系统盘下的sys序列号文件,一旦删除这个文件,微点再重启后会提示“获取序列号,失败”这样微点就完全启动不起来了,同样达到强杀的目的。

     3.批处理问题,微点因为没有扫描系统,而批处理恰恰又不容易触发微点报警,所以批处理方面完全是微点的软肋,像之前过微点的“著名”病毒,Trojan.Win32.IAgent 就是利用大量的VBS脚本和批处理文件来达到的,(启动方面还是我上面提到的autorun和系统的那个百年BUG,计划任务~)完全不会触发当时的微点报警机制~。。。所以今后如果微点一旦发达起来,没有配合扫描的微点,批处理将成为其劲敌!~
作者: 无量山     时间: 2009-11-16 15:10
测试样本运行,过一会儿微点才报警,难道你不知道程序设计的时候可以设计延时操作吗? 比如我做了第一个动作,延时20S后再做第二个动作,这种延时动作也在很多的正常程序使用,不知道你是不是自己测试过感染型的样本,我自己测试了很久的微点,也在揣摩微点的判断规则,感染型病毒微点还真能拦住。不创建服务、不加载驱动,很多感染性的病毒都没有这些的,微点为什么给拦住了?


关闭微点主界面,微点的功能都还在吧,我就不信,你不打开微点的主界面微点就不报毒了,难道微点报毒的时候,我们都打开主界面了?  笑话!

你用个程序来删除下微点的文件试试看!

VBS微点不处理么?拜托,测试下先!不想多说了。楼主一个人纯在YY

[ Last edited by 无量山 on 2009-11-16 at 15:38 ]
附件 1: 微点报警VBS.PNG (2009-11-16 15:37, 50.5 K,下载次数: 37)


作者: 化外愚民     时间: 2009-11-16 16:16
应该是凭想当然写的吧,没多大意思。
作者: T-Bag     时间: 2009-11-16 17:49
楼主说的几点,印象中在微点较早版本是处理得不好,

听说新版本有改进,支持对网马等的处理,本人没测试过,2楼对VBS报警也是第一次看到,

跟楼主一样,也希望微点不断地加强完善,让我们用得更放心
作者: 雄视王者     时间: 2009-11-16 18:57
这个是转帖。而且这篇文章好像是很久以前的了。不知有多少年了。今儿个怎么就给翻出来了。
作者: shambhala     时间: 2009-11-16 21:42


  Quote:
Originally posted by 雄视王者 at 2009-11-16 18:57:
这个是转帖。而且这篇文章好像是很久以前的了。不知有多少年了。今儿个怎么就给翻出来了。

呵呵,微点真要是那么差,恐怕早就完蛋了。
作者: littlefritz     时间: 2009-11-16 23:46
微点不是不防,只是不是完全通过API监控来防。
作者: lsj301     时间: 2009-11-17 15:29
你们对招,我路过.
作者: f8312519     时间: 2009-11-18 16:20
总的来说不能乱转.要有自己的见解.
二楼的解释很到位
自己测试了才知道强不强.不要一味的听风!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn