标题:
研究微点主防规则一例(附行为分析)微点秘密原来在此?
[打印本页]
作者:
一键还缘
时间:
2010-4-2 01:38
标题:
研究微点主防规则一例(附行为分析)微点秘密原来在此?
首先用EQ跑一跑,看看有什么行为
2010-01-27 11:33:09 运行应用程序 操作:允许
进程路径:C:\WINDOWS\EXPLORER.EXE
文件路径:E:\msn\msn.exe
触发规则:应用程序规则->系统进程保护规则->%windir%\explorer.exe->*.*
2010-01-27 11:33:09 创建文件 操作:允许
进程路径:E:\msn\msn.exe
文件路径:C:\Documents and Settings\xu\Local Settings\Temp\nst9.tmp\System.dll
触发规则:所有程序规则->文件类型记录规则->*.dll
2010-01-27 11:33:10 创建文件 操作:允许
进程路径:E:\msn\msn.exe
文件路径:C:\Documents and Settings\xu\Local Settings\Temp\143.exe
触发规则:所有程序规则->文件类型记录规则->*.exe
2010-01-27 11:33:10 运行应用程序 操作:允许
进程路径:E:\msn\msn.exe
文件路径:C:\Documents and Settings\XU\Local Settings\Temp\143.exe
命令行:8228
触发规则:所有程序规则->程序进程记录规则->*.exe
2010-01-27 11:33:10 创建文件 操作:允许
进程路径:C:\Documents and Settings\XU\Local Settings\Temp\143.exe
文件路径:C:\Documents and Settings\xu\Local Settings\Temp\nszC.tmp\System.dll
触发规则:所有程序规则->文件类型记录规则->*.dll
2010-01-27 11:33:10 创建文件 操作:允许
进程路径:C:\Documents and Settings\XU\Local Settings\Temp\143.exe
文件路径:C:\WINDOWS\Windows7\Print32.dll
触发规则:所有程序规则->文件类型记录规则->*.dll
2010-01-27 11:34:10 创建注册表值 操作:允许
进程路径:C:\Documents and Settings\XU\Local Settings\Temp\143.exe
注册表路径:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{296AB1C7-FB22-4D17-8834-064E2BA0A6F0}
注册表名称:[Key]
触发规则:所有程序规则->恶意程序防护规则->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\*
2010-01-27 11:34:36 运行应用程序 操作:允许
进程路径:C:\Documents and Settings\XU\Local Settings\Temp\143.exe
文件路径:C:\WINDOWS\System32\regsvr32.exe
命令行:"C:\WINDOWS\Windows7\Print32.dll" /s
触发规则:所有程序规则->可疑进程阻止规则->%windir%\system32\regsvr32.exe
再看看微点的记录日志
下载
(28.5 KB)
2010-1-27 11:41
键 HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{296AB1C7-FB22-4D17-8834-064E2BA0A6F0}
名称 (Default)
原数据
新数据
创建者C:\WINDOWS\WINDOWS7\PRINT32.DLL
下载
(57.56 KB)
2010-1-27 11:41
分析:
1、EQ记录中是143.exe创建了注册表;微点记录中是PRINT32.DLL创建了注册表;
2、推想微点规则:C:\WINDOWS\*.dll创建注册表BROWSER HELPER OBJECTS为未知木马程序,EQ是不可能实现微点的这点功能,所以说微点不是HIPS,至于微点是如何实现的,我就不知道了。
3、微点进程运行记录中记录了PRINT32.DLL文件的执行情况,看来微点的一些秘密就在于此。
作者:
王子的天下
时间:
2010-4-2 14:38
微点的原理如果这么容易就被你知道了,那么可以说人人都可以制作出微点了?
超越微点?那么为什么微点依然继续领跑主动防御领域?是那些杀毒软件厂商人的技术问题还是别的?
看看这个:
http://bbs.micropoint.com.cn/sho ... &highlight=HIPS
作者:
方丹得而达
时间:
2010-4-4 17:16
积分 12
没见过的病毒,怕怕····
作者:
mamsds
时间:
2010-4-5 10:26
微点 的判断方法 有点像 反病毒领域里的图灵测试~
作者:
市公司
时间:
2010-4-6 17:29
没见过的病毒,怕怕····
作者:
市公司
时间:
2010-4-6 18:59
恶意程序防护规则->
作者:
tcjgdw@163.com
时间:
2010-4-6 23:56
看来你还有前途,慢慢研究,后面还有许多不为人知的东西.
作者:
美丽明天
时间:
2010-4-7 21:02
怎么又是自问自答,直接说不就得了。。:lol:
[
Last edited by 美丽明天 on 2010-4-21 at 22:07
]
作者:
f8312519
时间:
2010-4-9 00:01
这样如果能测出来微点早就不用份了
作者:
046569
时间:
2010-4-11 13:34
微点的实现比这复杂的多,如果楼主有新发现,不妨发出来看看,也许大家讨论下会有收获呢
作者:
美丽明天
时间:
2010-4-21 22:06
又自问自答
作者:
tcjgdw@163.com
时间:
2010-4-22 07:29
别人知道秘密也不会说出来的,技术封锁.
作者:
一键还缘
时间:
2010-4-22 09:03
Quote:
Originally posted by
tcjgdw@163.com
at 2010-4-22 07:29:
别人知道秘密也不会说出来的,技术封锁.
既然这么微点原理这么简单
那他们制造发布超越微点的软件不就OK了。
:D 目前没见到。
作者:
Triones
时间:
2010-4-23 16:31
刚来
学习中
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
下载 (28.5 KB) 
下载 (57.56 KB)