Board logo

标题: 微点改进建议 [打印本页]
作者: linovo     时间: 2007-5-21 16:04    标题: 微点改进建议

最近用挂毒网页测试微点的杀毒能力,发现几个问题:
      一、微点虽然能清除绝大多数我所测试的网页病毒,但对病毒修改系统时间并不敏感,病毒还是成功改掉系统时间。微点发现系统时间不对,会提示用户过期,点击续费——查询可以修复,但总觉得不爽,微点对病毒修改时间的行为强化拦截不是就更好吗?!
      二、微点有注册表修改监控,注册表的变化微点大多都有记录,微点不会像主动防御软件(如ssm)那样每个动作都询问是否允许,这样能减少出现提示框的数量,但缺点是一旦微点遇到无法识别的未知病毒,微点对此病毒修改注册表启动项的动作也会无动于衷,建议微点增加一个功能选项,就是注册表修改强制询问是否允许修改,此功能由用户决定是否开启。
      三、再次强烈建议微点增加日志、隔离文件一键清理功能。此建议很早就提过了。微点如果用得久,而用户又不手动清理的话,微点目录会越来越大。
       四、病毒隔离一步到位。发现有可疑程序访问网络,微点会提示用户是否允许。建议在此提示框中增加隔离选项,假如是微点不可识别的病毒,用户就能直接隔离,而无须结束进程再删除。在注册表修改提示框中也可以增加隔离选项,让用户马上对病毒进行隔离。
      五、我在测试中发现,若中毒很多,微点陆续弹出提示框,询问用户是否删除,如果这时中途设置自动处理是无效的,微点仍会继续弹出提示框,建议在提示框中增加立即切换到自动处理模式,由微点全自动清除病毒,改用气泡提示框提示用户病毒已清除,而无须用户点确定。有一个挂毒网页挂了20多个病毒,微点的提示框居然有差不多30多个,点确定、点删除点到手软^_^,有一键切换到自动处理就好了。我认为微点的提示框种类要增加,假如病毒成功清除,用气泡提示就行了,无须用户再点确定按钮。
       六、现在挂毒网页愈来愈多,建议增加网页黑名单功能,并且定期更新黑名单。卡巴如果发现网页有毒,会把网址也记录下来,而微点没有记录,建议微点不仅杀毒,也把病毒所在的网址也一并记录下来,便于用户分析。
       七、建议微点继续改建进程保护功能,我之前的帖子已经给微点提过一些有关进程保护的建议,这里补充一下,道高一尺,魔高一丈,无论你的进程保护怎样严密,黑客总有杀掉的一天,昨天就发现有病毒一下子居然能把微点所有进程杀光——打开任务管理器,微点进程一个不留,该病毒似乎找到微点的漏洞。我使用风云防火墙1.25beta4最新版的时候发现,如果用非正常的手段杀掉风云的进程,网络会马上发生故障,无法访问,但点击网络连接的修复菜单再打开风云,网络就恢复正常。个人认为风云此功能不错,可以防止病毒恶意杀掉防火墙进程。我认为微点也可以借鉴风云此做法,如果病毒杀掉微点进程,特别是网络防火墙进程模块时,自动断网,或者干扰网络,让木马病毒的企图无功而返。
        八、微点现在有密码保护功能,如果退出微点要求输入密码。可是如果用任务管理器杀掉微点进程就无须输入密码了。建议微点像费尔7.05版那样,在设置中增加是否允许任务管理器结束微点进程,这样进程保护就更加严密了。
作者: segourigh     时间: 2007-5-21 16:28
很好的建议,支持!!!
作者: Legend     时间: 2007-5-21 16:44
谢谢您对微点的支持 1.您是在访问什么网页的时候机器被修改了时间?请您将这个网页或者病毒样本发送到virus@micropoint.com.cn中,并说明一下您的情况,我们具体分析一下
2.当微点监测到程序行为符合病毒行为时,微点就会进行相应处理,关于注册表的监控,微点会在程序生成日志中记录这个程序的生成者,在处理的时,可以准确判断到病毒的源文件
3.谢谢您的建议,我们会认真考虑的。
您可以方便地在微点有害程序隔离中自行设置隔离区大小,并清理被隔离的文件。
4.网络访问并不一定全部都是有害程序,微点不是根据单一的行为动作进行判断的,而是经过反病毒专家系统的综合判断后,程序符合病毒的行为后,微点就会进行报警
5.请您将这个网页发送到virus@micropoint.com.cn中,并说明一下您的情况,我们具体模拟测试一下
6.谢谢您的建议
7.请您将这个样本发送到virus@micropoint.com.cn中,并将您的发送邮箱通过论坛短消息发给我,我们具体测试分析一下
8.谢谢您的建议,我们会认真考虑的,为了便于用户自行管理兼顾安全性考虑,微点进程只允许用户手工使用任务管理器结束微点进程。

[ Last edited by Legend on 2007-5-22 at 17:20 ]
作者: linovo     时间: 2007-5-21 17:05


  Quote:
1.您是在访问什么网页的时候机器被修改了时间?请您将这个网页或者病毒样本发送到virus@micropoint.com.cn中,并说明一下您的情况,我们具体分析一下

生成物我测试时有20多个,1M多,我只发网址了。我的系统是xp sp2  IE6 2900

微点主动防御软件  测试版
程序版本: 1.2.10569.0098
特征版本: 1.4.274.070521
更新时间: 2007-05-21 15:13:17

  Quote:
5.请您将这个网页发送到virus@micropoint.com.cn中,并说明一下您的情况,我们具体模拟测试一下

跟第一点提到的网页是同一个,我稍后发送。

  Quote:
7.请您将这个样本发送到virus@micropoint.com.cn中,并将您的发送邮箱通过论坛短消息发给我,我们具体测试分析一下

能杀微点进程的样本我昨天已经发给微点了,我是在家里用虚拟机测试的,
操作系统:深度简化版,微点是预升级最新版(昨天)
作者: Legend     时间: 2007-5-21 17:05
请您将您的发送邮箱通过论坛短消息发给我,我们具体模拟您的环境测试分析一下
作者: linovo     时间: 2007-5-21 17:19


  Quote:
Originally posted by Legend at 2007-5-21 17:05:
请您将您的发送邮箱通过论坛短消息发给我,我们具体模拟您的环境测试分析一下

你们测试时如果发现微点进程没有被干掉,叫我重发一次,我再仔细找找^_^:D:P因为我在虚拟机中喜欢养毒,中的病毒太多了,不知道有没有漏发,我测试了几次,微点进程确实给杀得干干净净:D。
作者: Legend     时间: 2007-5-21 17:24
好的,谢谢,我们先具体测试分析一下!
作者: kangbingzhen     时间: 2007-5-21 19:48
linovo最近一直在潜水吧,好久没见到你发帖子了
作者: linovo     时间: 2007-5-21 19:57


  Quote:
Originally posted by kangbingzhen at 2007-5-21 19:48:
linovo最近一直在潜水吧,好久没见到你发帖子了

:D:D哈哈,看来知我者,kangbingzhen也^_^。最近确实在潜水,发帖很少,主要是现在忙于生计^_^,没有以前那么多闲情逸致来微点论坛发帖了。不过微点论坛有空我会来看看。
作者: linovo     时间: 2007-5-21 20:13


  Quote:
二、微点有注册表修改监控,注册表的变化微点大多都有记录,微点不会像主动防御软件(如ssm)那样每个动作都询问是否允许,这样能减少出现提示框的数量,但缺点是一旦微点遇到无法识别的未知病毒,微点对此病毒修改注册表启动项的动作也会无动于衷,建议微点增加一个功能选项,就是注册表修改强制询问是否允许修改,此功能由用户决定是否开启。



  Quote:
2.当微点监测到程序行为符合病毒行为时,微点就会进行相应处理,关于注册表的监控,微点会在程序生成日志中记录这个程序的生成者,在处理的时,可以准确判断到病毒的源文件

从版主的答复来看,legend把我的此条建议枪毙掉了^_^。版主也太狠心了吧^_^:P。我还是用事实说话吧:【如图】
我刚才打开虚拟机,继续养毒:D。运行样本,无意中发现病毒在后台下载病毒,微点毫无反应。正如我1楼第二条建议所提到的那样,如果微点无法识别未知病毒,病毒修改注册表,微点会没有任何反应,所以再次建议微点增加注册表修改强制询问的功能。

[ Last edited by linovo on 2007-5-22 at 10:59 ]
附件 1: 46.jpg (2007-5-21 20:14, 167.02 K,下载次数: 33)


附件 2: 36k.jpg (2007-5-21 20:22, 147.32 K,下载次数: 49)


作者: linovo     时间: 2007-5-21 20:37
从第二张截图上看,病毒生成这么多启动项,叫我一个个删掉非常折磨人,我之前就建议微点系统启动项查看窗口增加鼠标拖拉一次选定多个项目然后一次删掉功能,可惜至今没有。

  Quote:
Originally posted by Legend at 2007-5-21 20:51:
请您查看 微点主界面-系统日志-程序生成日志中是否记录上述日志

有记录,但微点没有发现可疑,样本我发过去了。

[ Last edited by linovo on 2007-5-21 at 20:54 ]
作者: Legend     时间: 2007-5-21 20:51
请您查看 微点主界面-系统日志-程序生成日志中是否记录上述日志
谢谢您的建议  我们会认真考虑 欢迎您继续做深入的测试使用
作者: Legend     时间: 2007-5-22 10:36
非常感谢楼主提供的信息,楼主提供的样本微点新版本已经可以处理,请楼主等待升级。
作者: Linwin     时间: 2007-5-22 11:41
还有一个....我想微点能给个设置,让用户选择是否使用动画提示,我喜欢干净快捷的,这样速度上也能快点,希望能给微点采纳
作者: Legend     时间: 2007-5-22 11:52


  Quote:
Originally posted by Linwin at 2007-5-22 11:41:
还有一个....我想微点能给个设置,让用户选择是否使用动画提示,我喜欢干净快捷的,这样速度上也能快点,希望能给微点采纳

谢谢您的建议,我们会认真考虑的。
作者: safeage     时间: 2007-6-2 21:45
楼主这个贴真是精啊
你是个专家吧
好佩服啊
作者: ahuan     时间: 2007-6-8 21:32
在这里见识不少。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn