微点交流论坛

标题: 微点如何防此类恶意程序？ [打印本页]

作者: david1126103 时间: 2007-2-2 21:42 标题: 微点如何防此类恶意程序？

一个加入恶意命令批处理文件，或者注册表文本文件，可以使系统数据遭到破坏，甚至一个自解压的文件加几句脚本也能达到破坏的效果，微点如何防？
批处理文件调用CMD.EXE，微点认为是正常动作，但是被恶意脚本命令利用了，微点如何防，目前只有通过网友上报，提取特征值来灭杀，而无法做到微点说的主动防御，因为一个批处理文件调用CMD.EXE这个动作本身是正常的，但是脚本命令是不正常的。。。
微点被这样的恶意程序过了不是一两次了。。
所以微点是否该想想如何通过一种更合理的机制来预防这种恶意程序，真正作到主动防御，而不是事后提取特征值来灭杀呢？
这也不是微点单一出现的问题，很多HIPS软件也存在这样的问题，CMD.EXE总是被信任，而被恶意脚本利用。。

[ Last edited by david1126103 on 2007-2-2 at 21:43 ]

作者: Legend 时间: 2007-2-2 21:57
谢谢楼主提供的信息，我们会认真考虑的。

作者: Paxson 时间: 2007-2-3 00:29
嗯比如某些恶意行文还是应该有个提示

如果有个高级用户选项的话就应该让能够自己分辨的人来选择

作者: 天涯海客 时间: 2007-2-3 10:56
嗯比如某些恶意行文还是应该有个提示

作者: fzp070 时间: 2007-2-7 15:40
我觉得现在微点的问题,不是能不能查报出病毒和恶意行为(你说的那种调用cmd的行为其实是正常行为,但调用后在cmd运行病毒后的行为就是病毒行为了,应该是可以查出的),而是查出后无法删除掉病毒(一些驱动级等比微点权限更高的系统底层的病毒)

作者: Legend 时间: 2007-2-7 15:54
依据微点软件的工作机理可以有效防御您所说的驱动级病毒，如果您发现这种类型的样本可以发到virus@micropoint.com.cn我们具体测试分析。

作者: ballpointpen 时间: 2007-2-7 21:53
　　同意LZ的看法。卡饭论坛上有一个捣乱程序CMD程序样本，这个CMD程序反复调用cmd.exe，在内存中出现无数个cmd.exe线程，造成系统资源耗尽。我试过了，微点没有反应，最后造成系统资源耗尽，只能Reset重启。
　　出于安全的考虑，对于调用某些正常的系统程序（如cmd.exe、自动批处理程序、format.com、del和erase等）的行为（不论发出者是谁），微点能否进行监控，给出提示，并要求用户进行允许或禁止的选择？

[ Last edited by ballpointpen on 2007-2-7 at 22:11 ]

作者: gggwly 时间: 2007-2-9 03:44
大家都很有一手，羡慕死了

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn