微点交流论坛

标题: 转帖一篇对微点的理解，大家说是不是这样？ [打印本页]

作者: bobgod2000 时间: 2007-6-8 14:18 标题: 转帖一篇对微点的理解，大家说是不是这样？

暂停微点，在该木马程序的代码中修改了1个字节，启动微点，居然没反应了，怎么回事，难道是MD5判断文件是否是病毒？这次没暂停微点软件，直接把修改的那1个字节改回来，保存，结果又报病毒，在此我可以下一个定义了，微点是利用一个文件的MD5码来判断一个文件是否是木马的，如果你运行了一个程序，微点在病毒库里没有搜到该文件的MD5值，他是不会提示的，但是只要这个程序要在硬盘上建立一些文件，或者软件运行的行为动机不对(API判断行为)微点会提示的，不过只是一些不太熟悉的软件才会提示！想证明我的这一点是否正确，我自己写了一个程序来对他进行了测试，开始的时候只是在硬盘里随机生产了几个10几字节的文件，微点没有提示，接着再修改程序，把生成文件大小改成了30几K，然后用API函数来修改一些配置，当然生成的文件有可执行的文件头，然后再在注册表里写入该生成文件的启动项目，好了，过了大约一分钟，微点终于提示了，说我生成的文件是未知木马，我终于恍然大悟，原来微点判断能自动生成文件的程序只要程序里的API函数行为不对，都是提示未知木马
好了,微点的测试工作完成,在这里我还是要说说,先道歉,我这里的道歉是指:微点已经把如何查毒的方式讲了,我没注意看,实在不好意思,在此道歉,但是我说他是MD5码判断,这点确实没错,大家可以看看这句话: 4、自动提取特征值实现多重防护：在采用动态仿真技术的同时，有效克服特征值扫描技术滞后于病毒出现的缺陷，发现新病毒后自动提取病毒特征码并自动更新本地未知特征库，实现"捕获、分析、升级"自动化，更有效阻止同一个病毒的再次感染，使用户系统得到安全高效的多重防护。
特征值就是MD5码,如果你们还有疑问,可以去找微点的问问,这点我的确没判断失误!?
大家都可以测试一下,不过还是觉得能配上杀毒引擎就完美了,"行为判断"并不成熟,如果懂编程的朋友,可以写一个程序：程序流程是判断一些经常出现的杀毒软件,发现后停止这些杀毒软件，停止后才释放病毒体，这样就可以测试一下，教程正在制作中......待续

作者: sweetl 时间: 2007-6-8 14:52

这不是前两天发过了的吗？！

“API判断行为”----我不用API函数写结果会怎样？！

作者: aliu134 时间: 2007-6-8 15:12
那你就"强"了呵呵

作者: Legend 时间: 2007-6-8 16:01
首先感谢原帖作者对微点主动防御软件的测试。
微点主动防御软件以创建动态仿真反病毒专家系统主动防御新病毒为主，辅以特征值扫描技术快速查杀已知病毒，实现对系统的多重防护。
微点的病毒库分为已知病毒库和本地未知特征库，已知病毒库跟目前杀毒软件的提取方式相同。
本地未知特征库：微点通过动态仿真反病毒专家系统，自动对程序行为进行分析判断，当微点监测到程序行为符合病毒行为时，微点就会报警，用户在微点报警处理此病毒的同时，会自动将此病毒的特征值提取到用户本地未知特征库。
如果用户下次遇到相同病毒试图再次感染系统，微点首先通过本地未知特征库阻止此病毒的再次感染，从而实现了“捕获、分析、升级”的自动化
原帖作者只是对自动提取到未知特征的病毒进行了修改，此病毒修改后的特征恰恰不同于本地未知特征中的特征，所以微点的未知特征库没有报警拦截，微点判断病毒的原理主要是依据程序行为，而此病毒如果修改其部分特征后能够正常运行，微点依然会根据其行为判定其为病毒并提示用户处理。

作者: bobgod2000 时间: 2007-6-8 17:57
所谓特征值是MD5码？怎么不给个明确的说法啊？

作者: 100000 时间: 2007-6-8 19:14

Quote:

Originally posted by bobgod2000 at 2007-6-8 17:57:
所谓特征值是MD5码？怎么不给个明确的说法啊？

属于业内技术，不可能对外宣布吧。

作者: 天道酬勤 时间: 2007-6-8 20:36
楼主，你的第一步应该是微点报已知的病毒或者木马吧？你把那个病毒修改了，估计特征就变了，因为微点已经说了自己有病毒库，而且还能自动提取病毒特征，所以第一点应该没什么问题嘛，呵呵

至于第二点，就是微点的行为判定的核心机密（微点是怎么利用行为来查杀未知病毒滴），所以我就不是太清除了，哈哈

作者: jaber 时间: 2007-6-8 21:03
呵呵这个问题那个作者也回了自己去看吧！

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn