微点交流论坛

标题: [syscoder]杀软行为分析5：微点主动防御对网络通信的拦截 [打印本页]

作者: 点饭的百度空间 时间: 2010-1-14 18:51 标题: [syscoder]杀软行为分析5：微点主动防御对网络通信的拦截

2009-12-28 19:45

最近发现微点对网络拦截的一些行为，很多木马为了突破防火墙的拦截都会去选择注入IE浏览器，然后在IE中进行网络通信这样杀毒软件就不会拦截了，呵呵，这个方法好啊！，不过不要高兴地太早，碰到了微点这个方法就不一定行了，你可能会有疑问，怎么？微点竟敢拦截IE通信么？答案是：YES,YES。。。。

   当然拦截IE通信是有条件的，不可能造成你无法上网的，微点拦截侧重下面的两点：

   【1】 IE进程的父进程。

   【2】 IE进程界面是否隐藏。

   经过我的测试发现，当IE进程由非信任进程启动时，若IE启动时界面隐藏了，那么会受到微点的拦截，这时启动的IE无法进行网络通信，若IE启动时界面没有隐藏，那么用户可以看到，微点认为没有危险，不会拦截IE通信，那么是不是只要IE进程的界面隐藏了就会受到微点的拦截呢？呵呵，微点也不敢这个唐突的拦截，当IE的父进程是可信任的时候，那么即使IE界面隐藏了，微点照样会允许IE通信，不会拦截，至于到底什么才是可信任的程序，经过我的测试发现只有微软数字签名的貌似才可以算是信任进程，其它外来的有数字签名的不一定可以哦！即使是有微软数字签名的，当它不再它原来目录时，那么来启动一个有隐藏界面的IE时，照样会受到微点的拦截通信，看来这个确实很变态，有兴趣的同学可以去研究一下。。。。

【syscoder] 杀软行为分析1-4
http://bbs.micropoint.com.cn/showthread.asp?tid=64560&fpage=1

作者: 镜湖YES 时间: 2010-1-14 19:15
有意思，要是有图就更好了

作者: safeage 时间: 2010-1-15 11:21
那要是用其它浏览器怎么办呢？微点又是如何识别的？

作者: 王者天下 时间: 2010-1-15 11:56

Quote:

Originally posted by safeage at 2010-1-15 11:21:
那要是用其它浏览器怎么办呢？微点又是如何识别的？

这都是懂编程人员讨论的东西。一两句话和你说不清楚。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn