微点交流论坛

标题: 转帖一篇对微点的质疑，请大家讨论。 [打印本页]

作者: bobgod2000 时间: 2007-6-4 23:13 标题: 转帖一篇对微点的质疑，请大家讨论。

这些话不得不说，前一段时间网上抨击了用易语言写的木马杀客那个软件，说这个软件只会判断文件名、文件MD5码等等来定义一个文件是否是病毒，今天我就想来说一说北京微点主动防御软件的一些看法
在网上看到说微点软件是如何的厉害，今天有兴也下了一个，安装完成后升级，呵呵，可以免费用3个月，看到这里心里还是比较喜欢的，安装完成后，马上对该软件做了测试，因为电脑上还安装了卡巴，但是这两个软件并不冲突，这点很好，我在网上找了几个最新最流行的病毒样本，然后依次在电脑上做了测试，首先测试的是一个MYPLAYER.COM的一个最新变种蠕虫病毒，用卡巴扫描了一下，晕，居然没报病毒，难免有点失望，卡巴暂停保护，试试微点，然后自己动手运行了一下，拦截了
微点提示：
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\测试\MYPLAYER.COM
木马程序生成以下文件:
1) C:\WINDOWS\SYSTEM32\ALXRES070530.EXE
2) C:\WINDOWS\SYSTEM32\SCRSYS070530.SCR
3) C:\WINDOWS\SYSTEM32\WINSYS32_070530.DLL
4) C:\WINDOWS\SYSTEM32\SCRSYS16_070530.SCRUR
5) C:\WINDOWS\SYSTEM32\WINSYS16_070530.DLL
是否删除木马程序及其衍生物?
这个提示是未知木马，当然我是点了删除，不然就亏大了。
在此有点佩服它，居然能识破它是木马？厉害，好了继续测试，暂停微点，在该木马程序的尾部加了1个字节，启动微点，居然没反应了，怎么回事，难道是MD5判断文件是否是病毒？这次没暂停微点软件，直接把追加的那1个字节删掉，保存，结果又报病毒，在此我可以下一个定义了，微点是利用一个文件的MD5码来判断一个文件是否是木马的，如果你运行了一个程序，微点在病毒库里没有搜到该文件的MD5值，他是不会提示的，但是只要这个程序要在硬盘上建立一些文件，微点会提示的，不过只是一些不太熟悉的软件才会提示！想证明我的这一点是否正确，我自己写了一个程序来对他进行了测试，开始的时候只是在硬盘里随机生产了几个10几字节的文件，微点没有提示，接着再修改程序，把生成文件大小改成了30几K，当然有可执行的文件头，然后再在注册表里写入该生成文件的启动项目，好了，过了大约一分钟，微点终于提示了，说我生成的文件是未知木马，我终于恍然大悟，原来微点判断能自动生成文件的程序都是提示未知木马。为什么卡巴没识别到呢？因为这个病毒加了壳，这个壳还没有脱壳软件，况且手动脱壳都要花时间的。
我对他的主动防御进行了测试，自己写的测试程序运行后都生成完几个文件，注册表里也添加了项目，微点在大约1分钟后才报了木马，想想看，这一分钟我可能都把这些程序分解改名隐藏等等操作了。总之，这个软件跟木马杀客没有什么本质区别，只是不会以文件名来判断病毒就是了，我觉得还是需要有一套独立的杀毒引擎是最好的，不要再欺骗我们中国人了，软件是好就是好，不好就不好，不是我不支持本国的软件，而是本国的软件要让我们信任才行啊，至少你要诚实的告诉我们，说说你的软件具体是什么功能，以什么来判断他是木马的，这些又不是商业机密，大家测试一下就知道了的，但是这些东西都要隐藏，然后大吹自己是如何厉害，这就是我们的国产杀毒软件的软肋
最后在说两句，这种监视文件创建和目录监视的源代码到处都是，写出来还要卖我们的钱，简直把我们当猴耍，我希望广大的朋友在选择一款杀毒和防毒的软件时，一定要对该软件进行测试，免得上当受骗。
我说的这些，大家下去都可以测试的，图我就不贴了，如果你们测试后不是我说的这样你们可以打我耳光！!

[ Last edited by bobgod2000 on 2007-6-4 at 23:15 ]

作者: a393310872 时间: 2007-6-4 23:29
我对他的主动防御进行了测试，自己写的测试程序运行后都生成完几个文件，注册表里也添加了项目，微点在大约1分钟后才报了木马，想想看，这一分钟我可能都把这些程序分解改名隐藏等等操作了。

如果你是这么认为的....那你就错了.你最好再用下去.然后再看看你的结论对不对.暂不发表任何意见.

另外说一句.你说微点是靠MD5来判断.那么请你为灰鸽子做个免杀.简单的即可(能过一个杀软就行).那样MD5肯定变了然后你再运行下试试.微点能杀不?

同志.下次发贴记住把资料说的更详细些.

[ Last edited by a393310872 on 2007-6-4 at 23:31 ]

作者: jaber 时间: 2007-6-4 23:31
嘿嘿好像这个是转贴！

作者: a393310872 时间: 2007-6-4 23:32
恩...一开始没注意....只是觉得光靠这个来判断是不是有点武断了....

作者: WndProc 时间: 2007-6-4 23:34
任何如果一个文件被修改过,它的MD5码也将随之改变。

这个人连这基本的知识都不知道。

作者: bobgod2000 时间: 2007-6-4 23:45
是转的，呵呵。
作者的意思就是改变下病毒文件的MD5，微点就杀不出来了！
希望大家在技术上多多讨论。

作者: wkwx 时间: 2007-6-5 00:04
这篇文章胡编烂造的可能性是100%！！

具体情形大家有能力可以自己试试！你会发现微点的强大的！

作者: a393310872 时间: 2007-6-5 00:12

Quote:

Originally posted by bobgod2000 at 2007-6-4 23:45:
是转的，呵呵。
作者的意思就是改变下病毒文件的MD5，微点就杀不出来了！
希望大家在技术上多多讨论。

他的这篇文章本身就不够详细.且判断方式太过武断了

作者: a393310872 时间: 2007-6-5 00:12

Quote:

Originally posted by bobgod2000 at 2007-6-4 23:45:
是转的，呵呵。
作者的意思就是改变下病毒文件的MD5，微点就杀不出来了！
希望大家在技术上多多讨论。

他的这篇文章本身就不够详细.且判断方式太过武断了

作者: bobgod2000 时间: 2007-6-5 00:15
希望在理论上能有个强有力的说法。

作者: Linwin 时间: 2007-6-5 00:20
MP一直有在改进的

如果要让大家来因为你的文章判断软件的好坏，那就要更相信才对
希望分析得更彻底了，再来说

作者: 稻草人791 时间: 2007-6-5 04:03
呵呵，希望版主有个说法呀！毕竟很多的微点FANS对这种纯技术的话题还是看不明白的，还是容易被误导的吧？

作者: Legend 时间: 2007-6-5 07:29
微点主动防御软件是依据程序行为判断病毒的，微点通过对各种程序动作的自动监视，自动分析程序动作之间的逻辑关系，自动分析程序一系列动作的行为，综合应用病毒识别规则知识库，实现自动判定新病毒，达到主动防御的目的。
请问楼主您能告诉我此传帖的来源。我们与此帖主人联系索要用户的测试程序进行分析。

作者: 笑傲独孤 时间: 2007-6-5 08:12
希望楼主转贴的时候能加点自己的见解进去
不要在这里忽悠人

作者: WndProc 时间: 2007-6-5 09:15
作者说他的程序未修改，微点会报告。而增加一个字节后，微点没有报告，之后再把这个增加的字节去掉，微点又报告了。

由此得出结论，文件MD5的匹配方式是微点判断病毒的一种方式，可是他犯了个基本的错误。他的这个程序在增加一个字节又减去一个字节后，MD5已经变化了，如果微点是基于MD5的判断的话，那么微点应该不会提示！而在实验中，微点作出了提示。

至于作者讲的程序，空口无凭，多说无益，在没有样本之前，一切可以当然故事一笑而过。

作者: bobgod2000 时间: 2007-6-5 09:46
此贴发布在飞跃论坛的安全相关版块里。网址：bbs.fysoft.net
14楼：说别人忽悠，请拿出自己的理论啊，光喊有什么用。

作者: kangbingzhen 时间: 2007-6-5 10:29
微点是靠行为判断，行为跟MD5值有什么关系

作者: jaber 时间: 2007-6-5 10:40
我去看了下，那个所谓的遗落部落管理，发的帖子和转的帖子都是漏洞百出的！
不过还是有几个不错。。。

作者: bobgod2000 时间: 2007-6-5 16:02
很遗憾，还是没有一个比较有说服力的说法啊！

作者: jaber 时间: 2007-6-5 16:18
你可以自己动手检验呀人家做的不代表你自己，实践才是真理！

作者: david1126103 时间: 2007-6-5 16:33

Quote:

Originally posted by jaber at 2007-6-5 10:40:
我去看了下，那个所谓的遗落部落管理，发的帖子和转的帖子都是漏洞百出的！
不过还是有几个不错。。。

前段时间有人质疑MMSK的时候,人家可是花了大功夫,图文并茂的解释了什么是文件名查杀,而且证据确凿,所以人才让人信服
有人喜欢跟风,所以也写了这篇所谓的质疑微点的文章,貌似写的头头是道,还信誓旦旦如假请抽耳光,就好比我对你说.
你媳妇偷人了,而且时间地点,对方是谁我都一清二楚,当时我还带着相机呢.
那你一定问我,你带着相机怎么不拍下来呢,拍了不是证据就有了吗?
我回答你,我嫌麻烦,所以没拍,但是是真的,如果假的你可以抽我耳光..
  你说,你会信吗?
  以上是我从逻辑层面做的分析
  还是从技术层面再分析下好了,作者的这篇文章其实正好印证了微点的强大,为什么?
:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\测试\MYPLAYER.COM
木马程序生成以下文件:
1) C:\WINDOWS\SYSTEM32\ALXRES070530.EXE
2) C:\WINDOWS\SYSTEM32\SCRSYS070530.SCR
3) C:\WINDOWS\SYSTEM32\WINSYS32_070530.DLL
4) C:\WINDOWS\SYSTEM32\SCRSYS16_070530.SCRUR
5) C:\WINDOWS\SYSTEM32\WINSYS16_070530.DLL
作者说微点是用廉价的MD5值来杀毒的,那么请问以上分析行为,通过MD5值判断是如何得来的?
此人会说这种监视文件创建和目录监视的源代码到处都是，HIPS软件何尝不是这样呢?先不说源码有没有,HIPS软件本身就和杀毒软件有着本质的区别,作者可以去写文章质疑SSM了,因为"监视文件创建和目录监视的源代码到处都是"SSM是骗人的...可是人家没说是杀毒软件啊!微点也不叫XX杀毒软件,而是叫微点主动防御软件...
"我觉得还是需要有一套独立的杀毒引擎是最好的，不要再欺骗我们中国人了"
不要把微点和X星X巴X山比,因为他们不是同样的原理,有杀毒引擎的叫杀毒软件,微点不是杀毒软件..是主动防御软件..
有头脑的人自己去想一想吧..

[ Last edited by david1126103 on 2007-6-5 at 16:45 ]

作者: 尐爷囝 时间: 2007-6-5 17:48
建议楼主下次试的时候在虚拟机上试吧

作者: zn3300680 时间: 2007-6-5 17:59
建议楼主亲自试一下，不要什莫都还没搞清就到处忽悠人

作者: segourigh 时间: 2007-6-5 18:01
楼上的意见非常精彩。看了这转帖非常气愤，怀疑此文作者连MD5是什么都没搞清楚，还写什么程序测试微点，荒唐，睁着眼睛说瞎话，不说别的，微点的几项专利还在那摆着，自己看看去，难道专利局的工作人员都是白痴？"我觉得还是需要有一套独立的杀毒引擎是最好的，不要再欺骗我们中国人了"，好大的口气，你就能代表广大中国人？你就能代表广大微点用户？想打耳光都不知从哪下手.....

作者: 反黑先锋 时间: 2007-6-5 18:04
真正的行为判断建议作者应该详细深入测试微点

保存，结果又报病毒微点的未知特征提取功能?

[ Last edited by 反黑先锋 on 2007-6-5 at 18:56 ]

作者: darkfire 时间: 2007-6-5 18:25
对此帖作者忽悠人的本领表示鄙视，什么都没搞懂就来误导别人

作者: jaber 时间: 2007-6-5 21:09
有人向作者质疑了但作者不出来说话了心虚还是？？？

作者: bobgod2000 时间: 2007-6-5 21:25
晕倒，我是转帖的，怎么答复啊。我把大家的说法给作者贴过去，看他怎么说！

作者: 408983504 时间: 2007-6-5 21:33
看过了
支持了

作者: bobgod2000 时间: 2007-6-5 21:52
原作者已经回复了，大家快去看看啊！

作者: zj163168 时间: 2007-6-5 21:53 标题: 呵，不动程序，不过可以从另一个角度来分析。

如果微点确实如主贴说的那么简单，只是监视文件生成等，那么他就不可能公开的被试用将近二年。

我不懂程序，难道懂程序的中国人还少吗？

作者: nasdaq 时间: 2007-6-5 22:10
:D:D:D，看了原作者的回帖，才知道这个帖子真的很没意思，一场误会而已。呵呵，只能说原作者没有想到微点和传统杀毒软件太不一样了，微点行为查杀之后还会在本地自动提取特征码。

哪位朋友帮着给原作者科普一下微点的本地提取特征功能啊~！还有从原文来看，原作者对主动防御的行为分析技术和传统的特征码扫描技术有一些混淆，谁帮着把论坛的置顶帖给他转过去，帮他理解一下微点架构就ok了。

着重说一个问题，原作者对MD5算法的精神理解基本正确，但是对MD5算法的应用范围很有误解。简单谈一下我对MD5算法的学习体会：

MD5算法是MD4算法的改进版本，属于一种摘要算法（又称HASH函数或杂凑函数等），对于任意长度的字符串均生成128位摘要字符串，且对于文件的微小改动十分敏感。因此，在信息安全领域多将MD5算法用于文件签名。但由于MD5算法需要对字符串全部内容（或文件的全部内容）进行演算才能生成最后的128位摘要结果，因此其并不适用于对于运行效率要求非常高的安全软件实时监控系统。有兴趣的朋友，可以自行测试使用常见的WinMD5程序连续对几M大小的文件进行MD5演算，看其是否可以满足实时监控每秒监控数十个文件，且将CPU占用控制在较低水平，以满足用户流畅使用系统的需求？结论当然是MD5算法不适用于实时监控场合。

:P:P:P，特征码识别和MD5对比精神上是一致的，但是具体技术实现上却是两种完全不同的技术，因为他们的应用场和和应用要求不同。呵呵，原作者同志精神可嘉，敢想敢干，且有能力自己动手做实验，这些都是难得的优点，但是理论上尚需继续学习呢~！

[ Last edited by nasdaq on 2007-6-5 at 22:15 ]

作者: sunya 时间: 2007-6-5 22:25
哎，俺进来是想看看，还有那些白痴被“原文作者”忽悠的，万幸，这种人还是比较少的

作者: 100000 时间: 2007-6-8 16:01
结果
1.原作者的陈述
http://bbs.micropoint.com.cn/showthread.asp?tid=11580&fpage=1

2.微点的回复
首先感谢原帖作者对微点主动防御软件的测试。
微点主动防御软件以创建动态仿真反病毒专家系统主动防御新病毒为主，辅以特征值扫描技术快速查杀已知病毒，实现对系统的多重防护。
微点的病毒库分为已知病毒库和本地未知特征库，已知病毒库跟目前杀毒软件的提取方式相同。
本地未知特征库：微点通过动态仿真反病毒专家系统，自动对程序行为进行分析判断，当微点监测到程序行为符合病毒行为时，微点就会报警，用户在微点报警处理此病毒的同时，会自动将此病毒的特征值提取到用户本地未知特征库。
如果用户下次遇到相同病毒试图再次感染系统，微点首先通过本地未知特征库阻止此病毒的再次感染，从而实现了“捕获、分析、升级”的自动化
原帖作者只是对自动提取到未知特征的病毒进行了修改，此病毒修改后的特征恰恰不同于本地未知特征中的特征，所以微点的未知特征库没有报警拦截，微点判断病毒的原理主要是依据程序行为，而此病毒如果修改其部分特征后能够正常运行，微点依然会根据其行为判定其为病毒并提示用户处理。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

[ Last edited by 100000 on 2007-6-8 at 16:08 ]

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn