标题:
大家讨论一下微点的缺点怎么突破它?
[打印本页]
作者:
四大
时间:
2010-1-17 03:23
标题:
大家讨论一下微点的缺点怎么突破它?
传统的加壳 定位 加话 保护壳 改特征码等方法对微点来说基本无效
但内核加线程... 或者批处理以及脚本这是微点的弱点吧?
或者
1.不隐藏进程
2.不插入进程外连网络
3.不修改注册表
4.不创建服务来实现启动
做的好像和正常程序一样,微点就不好使了。。。
而且微点对驱动以及部分行为太过于放松,这样容易引发突破
以及微点白名单就比较容易被微点利用或者说突破。
大家发现微点对什么病毒或者行为不敏感?或者说没反应 反应迟钝?
有什么好的方法突破它? 交流一下!
[
Last edited by 四大 on 2010-1-17 at 03:24
]
作者:
GodFather
时间:
2010-1-17 08:56
楼主看看这个帖子
http://bbs.micropoint.com.cn/showthread.asp?tid=64637
作者:
HomeSGerMine
时间:
2010-1-17 10:07
可以病毒文件分成若干块,每一块负责一个动作,而仅仅一个动作是不会触发微点主动防御的,然后把所有的动作合起来,就是一个病毒了
作者:
王者天下
时间:
2010-1-17 21:55
我上报过几个过微点的病毒就是做的和正常程序一样
不隐藏进程,不插入进程外连网络,不修改注册表,不创建服务来实现启动。
也上报过一个突破微点白名单的病毒,微点识别时winra程序进程,结果造成全盘感染。。。
作者:
理想未来
时间:
2010-1-18 01:25
微点最大的缺点好像就是误报多点,防批处理和脚本程序效果不是太好。
作者:
王者天下
时间:
2010-1-19 02:36
目前白名单应该是一个大的漏洞,容易被突破。
作者:
zjfhxan
时间:
2010-1-20 09:14
软件是慢慢做好的
作者:
流浪者
时间:
2010-1-22 19:48
新来的,先看看
作者:
四大
时间:
2010-8-11 00:01
不好说啊~
作者:
可牛一号
时间:
2010-8-11 00:32
微点现在很多人都不知道微点是什么东东,等到和卡巴那样的出名程度,自然过的毒就多起来了,不是没有毒,而是没人注意。
作者:
zh3695153
时间:
2010-8-11 07:55
标题:
关于免杀过微点主防:
关于免杀过微点主防:
我在网络上看到大量的关于病毒木马过微点主防的文章来评击微点,经过我本人仔细分析,文章的作者不外乎分为三种:
一.纯理论型的
只是写出来微点软件可能存在的漏洞,利用漏洞可能让病毒木马过微点,但自己并没有去实验或真正做出来过微点的木马病毒,这和没说有什么区别呢?也许你能想到的微点公司早就想到了,还是先做出来能过微点的木马病毒再说吧,否则一切都是白说。
二.不提供样本地址型的
这种说白了大部分都是其他杀毒公司的枪手写的,光在卡饭论坛就有很多,只是说发现有能过微点的木马病毒却不给样本地址,你让别人怎么相信你说的话。
三.对微点根本不了解型的
这种类型的人最常见,不外乎就是一些电脑小白,也有的是其他杀毒公司的枪手利用人们对微点的不了解来误导普通用户,所以在这里我有必要再次说明微点的防病毒原理,让人们都了解微点:
1.传统杀软都属于第二代反病毒产品,也就是靠特征码识别病毒为主要防御手段,虽然现在很多杀毒厂商都推出了主动防御技术,但毕竟还都是靠特征码识别为主,主动防御做的都不是很完善,很容易被黑客破解,对系统和用户的安全起不了多大作用。但微点主动防御软件属于第三代反病毒产品,是靠主动防御为主,特征码识别为辅助来保护系统安全的,微点的核心技术就是主动防御,微点的主动防御采用的是行为判断,绝对不是HIPS,很多人总拿它和HIPS技术联系起来,纯粹的HIPS只是对于程序的某个行为的提示,比如添加注册表项,对某个文件的修改等,这些行为病毒木马会产生,但正常程序也能产生这种行为,对于系统根本不了解的普通用户他怎么知道对于普通杀软的提示是拒绝执行还是放过?微点要比HIPS智能的多了,根本无需用户判断是拒绝还是放过,是病毒木马直接阻止运行并提示是否删除(无论选择是否删除,病毒木马都是运行不了的,除非加入白名单,但要在微点设置里添加,从根本上保护系统安全),否则直接放过不提示任何信息。对于没有运行的病毒木马微点是发现不了的,但在运行时都会被微点拦截,所以微点在不依赖病毒特征码和不升级的情况下从根本上免疫了病毒木马层出不穷的所有加壳技术,而传统杀软因为是特征码识别为主,所以要防御新的病毒木马就必须等待升级后才能预防,很多电脑小白计算机上还装了其他杀软,其他杀软报病毒或木马后微点主防没报就认为微点不能防御那些病毒木马,或认为那些病毒木马已经过了微点。
2.微点主防只针对病毒木马程序
网络上很多人说发现有病毒木马过了微点,其实那些根本就不是病毒木马程序,有的是一些IE恶评插件,或替换了一些桌面的IE图标等,甚至有的人故意写了一个死循环的程序运行后把系统资源都占完了,但这些对用户和计算机系统并没有造成任何危害当然不是病毒木马,一些电脑小白不了解就认为是中了病毒微点却没防住。对于一些IE插件等微点虽然不能防御,但如果对计算机系统比较了解的用户,可以通过微点记录的系统日志和显示的系统信息,如进程,模块,自启动等手动清除掉IE插件等,否则就再装个360安全卫士或金山卫士吧,清理插件等傻瓜式的无需对系统了解,点一下就OK乐。
关于微点误杀
我看到很多人提出来说微点的误杀率很高,经过我仔细分析,我有必要澄清一下,其实严格上来讲微点的误杀率是很低的。
首先你要弄清楚,那些所谓的微点误杀一定就是误杀吗?比如我在某网站上看到有人提出说装了微点后把他计算机上的可执行文件都报病毒,说微点误杀也太严重了吧,系统一直就没出过什么问题,装上微点后就直接都报毒了,我看到这篇文章的第一 反映就是他肯定是系统染毒后才装的微点(这些被病毒感染的可执行文件并不一定被病毒给完全覆盖掉了,文件本身还是可以打开的,但那是带毒运行,那根本不是误杀,那就是带毒的程序),病毒已经把计算机上 的几乎所有可执行文件都感染了他才装的微点,因为微点主动防御软件是以防为主,所以对于已经被感染的文件微点没有修复的功能,只能当做病毒木马来处理,但从技术上来讲,现在网络上还没有能真正过微点的病毒木马程序,所以如果染毒前装微点绝对不会发生被病毒感染的情况。
还有一点,有很多软件本身就带有对用户和计算机有潜在威胁的程序,普通用户并不知情。比如有些软件会每隔一段时间向软件作者发送你的系统信息等,而用户则根本不知道这种情况,微点遇到这种情况直接提示是间谍程序把那个程序删掉了,结果又导致那个软件不能运行,用户就会觉得是微点误杀了他的软件,但仔细想想在用户并不知情的情况下向软件作者发送系统信息等,难道不算是间谍程序吗?(这里只是举个例子让大家明白,类似的事情太多了,很多电脑小白不了解就认为是误杀,恐怕用其他杀软即便是中毒了也不知道吧)我想如果互联网上的软件都能做到真正的绿色,那微点也不会乱报警吧。
关于枪手
很多人说微点不是万能的,没有无懈可击的杀软,是的,我也从未说过微点是无敌的,而且我也相信总有一天病毒木马会过微点,但至少现在来讲网络上确实没有能真正过微点的木马病毒程序(对于所有病毒木马及所有变种的防御现在微点已经达到了%100)。我在卡饭论坛上见过太多诋毁微点的卡饭枪手,其实我想说的是,懂技术的都知道卡巴和微点根本不是一个技术层次的,没的比(请不要鄙视我的言论,我只是实话实说)。论对系统的主防能力,系统资源占用,智能化程度,仅凭这三点足以秒杀卡巴和其他所有杀软,而且现在网络上的病毒木马连2005年的微点都很难过(在完全不依赖病毒特征码的情况下),微点还有强大的反溢出能力(无需修补系统漏洞依然能保护系统安全),智能防火墙等。无论如何,微点的出现秒杀了网络上一大群所谓的“低级黑客”,让他们编写病毒木马程序的技术再提高几个层次,但真正技术高的人又有多少?技术高的人是不会去搞破坏的,他们是“红客”。s
大家听好了,这都是纯理论型的,光这样讨论有什么意义?你们以为过微点就像你们想象的那样就过了啊,我见过很多人讨论这个,今天我不得不说,你们真以为你们能过微点吗?还是先做出来吧,光说但做不出来和没说有什么区别,过微点可没你们想象的那么简单。
作者:
mamsds
时间:
2010-8-11 13:35
Quote:
Originally posted by
HomeSGerMine
at 2010-1-17 10:07:
可以病毒文件分成若干块,每一块负责一个动作,而仅仅一个动作是不会触发微点主动防御的,然后把所有的动作合起来,就是一个病毒了
会的~
专家系统是很像专家的,这种关联可以分析出来~
作者:
mamsds
时间:
2010-8-11 13:37
Quote:
Originally posted by
可牛一号
at 2010-8-11 00:32:
微点现在很多人都不知道微点是什么东东,等到和卡巴那样的出名程度,自然过的毒就多起来了,不是没有毒,而是没人注意。
微点的原理从理论上说是非常优秀的,现在最大的问题是避免大规模推广后的误杀,而不是免杀,木马之类的有明显行为的想要免杀微点非常困难,应该说不太可能(当然微点本身bug不算~)
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
