微点交流论坛

标题: [80695073] 微点主防给力不给力 [打印本页]

作者: 点饭的百度空间 时间: 2010-12-7 17:19 标题: [80695073] 微点主防给力不给力

80695073：
之前一直在小圈子内流传。微点主防的洞-0365已修复原理分析见：
http://hi.baidu.com/80695073/blo ... a6a939acafd582.html

看雪三十五秒：
智者千虑必有一失
微点判断命令的时候应该把"/"与上就行了，当时应该只考虑了“-”这一种情况
这都被你发现了，免杀都做到主防头上了牛

skypismire：
这类没有异常行为的程序，微点还是用的特征码查杀吧。
ghost1源码我看过，创建了一个服务，用这个服务完成远程控制。从程序行为上来说，和你用远程控制软件管理自己的服务器一样，没有什么区别。在微点看来，ghost1和正常的远程控制软件是一样的。
ghost1会释放一个驱动，而微点是直接放过了驱动加载，好像它对把exe文件放在资源里的做法也是不杀的吧。

可能每个公司考虑不一样吧，像360这类，就是宁可错杀一千，也不会漏杀一个，规则比较好写，每个可能的地方都拦都提示就是了（举个例子，自己通过ie选项设置主页，360不管那么多，还是照样报提示，很烦，加个判断会清净很多）

微点，我感觉，更多考虑的是准确率，少误报，尽量少干扰用户，要做到这点，规则反而复杂难度更高

Aiscanf：
现在我的论文写的已经差不多了，研究微点的过程中发现了微点的一个bug，ring3下可以随意注入任何恶意代码而不会被报，等毕业了后把它丢出来

[ Last edited by 点饭的百度空间 on 2010-12-7 at 19:37 ]

作者: 化外愚民 时间: 2010-12-7 17:49
不懂什么叫“给力”。

作者: simonfour 时间: 2010-12-7 17:51
不知道找不漏洞微点有没有奖励~~~哈哈

作者: HONEY0806 时间: 2010-12-7 17:53
一个字“给力”:lol:

作者: childjian 时间: 2010-12-10 19:22
真给力，主防真得再主动点啊~

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn