Board logo

标题: 强烈建议微点增加"关键进程保护功能"加强"对隐藏文件监视" [打印本页]
作者: wantcm     时间: 2007-5-18 10:38    标题: 强烈建议微点增加"关键进程保护功能"加强"对隐藏文件监视"

现在很多病毒/木马都会把程序插入系统关键进程里,杀毒需要重新启动才能杀掉,还可能因此造成系统崩溃.

为什么不直接把系统的关键进程保护起来,不让程序随便更改这些文件呢,SVCHOST,RUNDLL等关键进程文件就那么几个,想保护它们应该很简单吧.

另外,我昨天无聊把文件夹选项的设置改为:显示隐藏文件,显示系统保护的文件,结果C:盘根目录下几个隐藏文件显示出来就被微点报毒了,可为什么微点安装了2个月一直对这几个文件没反应?

朋友的U盘里有病毒,让我帮他杀掉,我把U盘连到电脑上就挨个文件点开,报了3个病毒/木马我就以为没事了,结果把U盘接到另外一台电脑拷贝文件到一半那台电脑就死机了,最后发现那U盘里还有一个病毒是隐藏文件,拷贝它,病毒就自动运行.

微点对隐藏文件的监视力度不够啊!需要加强!!

另外这也体现出来扫描功能还是有用的,主动防御功能再强大也不可能做到100%安全.

[ Last edited by wantcm on 2007-5-18 at 10:55 ]
作者: Legend     时间: 2007-5-18 10:44
谢谢您的建议,我们会认真考虑的,扫描功能正在内部测试中,通过测试后,会尽快进行公测,请您随时关注微点官方网站和论坛,欢迎您做深入的测试使用

[ Last edited by Legend on 2007-5-19 at 13:41 ]
作者: wantcm     时间: 2007-5-18 11:11
超版一直都是这么勤劳,辛苦了!

另外自我庆祝一下收到了预升级序列号~~~~~

可是我有2台电脑,一个序列号不够用怎么办.........
作者: linovo     时间: 2007-5-18 20:19
楼主的发现挺不错啊,微点居然对隐藏文件不扫描?微点现在有简单的已知特征扫描,但扫描的深度不够,例如打开一个文件夹,微点会抢先对里面的文件进行大概的扫描,但不会扫描压缩包,一些加壳病毒估计微点也不会扫,然而微点不扫描隐藏文件还是第一次知道,有时间测试一下。

[ Last edited by linovo on 2007-5-18 at 20:56 ]
作者: Linwin     时间: 2007-5-18 20:20
哦~~原来危险在于隐藏文件..知道了~~谢谢哦
作者: linovo     时间: 2007-5-18 20:34
刚才我在虚拟机中测试,发现如果把微点报已知的病毒属性设置成隐藏,微点确实不扫描,建议微点尽快改进。还有,如果病毒加了壳(已知),微点也不扫描。

第一张图片,运行病毒,风云报壳。
第二张,由于加了壳,微点简单的已知特征扫描不会脱壳,故打开存有病毒文件夹时微点没报,如果病毒没加壳,是已知微点肯定报(测试病毒是已知)

  微点版主回复有时真的超音速的快:P:D,我的帖子没修改完就回了:D

[ Last edited by linovo on 2007-5-18 at 20:54 ]
附件 1: 369.jpg (2007-5-18 20:44, 87.94 K,下载次数: 67)


附件 2: 12.jpg (2007-5-18 20:48, 50.93 K,下载次数: 38)


作者: Legend     时间: 2007-5-18 20:36


  Quote:
Originally posted by linovo at 2007-5-18 20:34:
刚才我在虚拟机中测试,发现如果把微点报已知的病毒属性设置成隐藏,微点确实不扫描,建议微点尽快改进

微点主动防御软件目前暂不支持手动扫描功能,但在微点软件正常运行的情况下,会对系统中文件进行正常的监控,微点主动防御软件对有害程序的判断是通过已知特征判断、未知特征判断、行为判断的,这点您可以参考下微点的帮助文件;
当系统以执行权限打开文件(正常文件和隐藏文件)才有可能被调入内存,对系统造成危害,这时微点就会在Windows去加载文件时,抢先于Windows进行监控并报警处理

[ Last edited by Legend on 2007-5-19 at 14:11 ]
作者: yoda66     时间: 2007-5-19 12:57


  Quote:
Originally posted by Legend at 2007-5-18 10:44:
谢谢您的建议,我门会认真考虑的,扫描功能正在内部测试中,通过测试后,会尽快进行公测,请您随时关注微点官方网站和论坛,欢迎您做深入的测试使用

扫描功能是争取企业级用户的关键。
作者: yoda66     时间: 2007-5-19 13:06


  Quote:
Originally posted by linovo at 2007-5-18 20:19:
楼主的发现挺不错啊,微点居然对隐藏文件不扫描?微点现在有简单的已知特征扫描,但扫描的深度不够,例如打开一个文件夹,微点会抢先对里面的文件进行大概的扫描,但不会扫描压缩包,一些加壳病毒估计微点也不会扫 ...

昨天我也发现对隐藏文件不扫描。并邮件通知了微点病毒处理人员。
作者: nasdaq     时间: 2007-5-19 13:32
-_-! 不会大家都不明白实时监控优化策略吧?我来简单解释一下吧:

一、什么是文件实时监控?
文件实时监控系统的目的就是为了改善扫描的滞后性问题(先中毒后杀毒) ,在Windows试图读取或运行加载文件时,抢先于Windows进行监控处理,起到一种实时扫描的效果。

二、文件实时监控优化策略
大家都知道扫描其实是很消耗系统资源的,为了保证用户运行流畅,所以文件实时监控系统优化的策略主要有两个方面:提高扫描引擎程序效率、在保证系统安全的前提下,减少被扫描文件数量。

所谓“在保证系统安全的前提下,减少被扫描文件数量”,最常见到的一种优化策略,就是大家在实时监控设置中所看到的:“扫描全部文件”,“只扫描程序文件这类设置”。

计算机软件运行的时候需要加载很多文件,除了程序文件(exe、dll等),更有很多图片、文档、配置文件、数据库等非程序文件。显然同一套实时监控系统只扫描程序文件会比扫描所有文件要节省大量的系统资源。同时,这种优化策略也不会影响到系统运行的安全性。

三、回到主题
同理,打开含有隐藏文件的文件夹,不显示隐藏文件时,是因为隐藏的文件没有任何被Windows读取的行为,相当于不存在,所以很可能不被监控扫描,也就不报警。要注意这种实时监控优化策略也是没有任何安全隐患的,因为不被读取,只是放在硬盘上的文件对系统是没有任何危害作用的,所以这种优化策略也被很多杀毒软件采用。

而显示隐藏文件的时候,对于Windows的含义就是要从文件中读取程序图标,有一个明显的Windows试图要读取文件内容操作,所以杀毒软件肯定都会报警。

有兴趣的可以这么实验:
1.创建一个文件数量较多的文件夹。(数量在一个屏幕以上,需要翻页才能显示完)
2.把一个有害文件放在文件夹的最后面。
3.打开文件夹,如果只浏览第一屏(没有有害文件),此时应该是不报警的。因为有害文件在最后面,Windows和它没有任何接触,也就不会激活实时监控系统去报警。
4.翻到第最后一页,Windows试图读取并显示有害文件的图标,此时Windows会去读取该有害文件的图标信息,实时监控系统会预先对Windows所要读取的文件进行监控,于是就报警了。

逻辑上就是这么简单。试问如果不这么处理,打开windows\system32\这种有海量程序的文件夹,系统要卡成什么样?如果不做实时监控策略优化,扫描system32目录花多长时间,开启实时监控打开system32的时候就要花更多的时间~!呵呵,我是懒得花时间测试了,哪位朋友帮着扫描一下system32目录要花多长时间?
作者: 天道酬勤     时间: 2007-5-19 14:08
楼上高手啊,又学了一个知识,希望楼上能多写一些关于安全软件知识的帖子发表。
作者: 干虾米哟     时间: 2007-5-20 09:52
LZ说的很对啊!!!!!!最好简单明快!直接点一下"保护关键进程"就行!不用一个进程一个进程地打勾勾!!
作者: lianggeng123     时间: 2007-5-20 10:47
o 哦,这样的啊,微点对加壳的病毒及隐藏的文件不会扫描的啊,那微点要努力了啊!这样会让用户不放心的啊



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn