微点交流论坛

标题: 老革命试用微点，发现…… [打印本页]

作者: eflyinghi 时间: 2007-8-17 22:24 标题: 老革命试用微点，发现……

这样的标题不会被封吧~~呵呵
我用电脑已有十多年了，各种杀软都用过，并且对操作系统也算是熟悉吧~
而且我对安全问题特别敏感~

早在瑞星，诺顿大行其道的时候，我就认定他们很烂~~
当时国内的杀软KV应该算是比较好的，我认为。
后来一直用趋势的OfficeScan，可能很多人都不知道这个杀软，不是PC-Cilling，是趋势网络版的客户端，感觉还行，在资源和效果上达到了一个平衡点。
再后来用DrWeb，用了一年多了，也感觉不错，就是开着DrWeb装软件会很卡，而且扫描太慢~
现在，我帮别人装杀软时，都是这两者中选一个。。。

以前也看到微点，总是没有在意，觉得不可能~~
因为我自己也是做软件的，任何软件都是相应的Code编译出来的，“智能”只是写Code的人定义的规则，“行为”很难判断的！

微点现在这么火，忍不住试用了一把~~~刚一用，就发现了问题个问题~
见下贴：

作者: 408983504 时间: 2007-8-17 22:30
微点正在处于公测中，避免不了会出现误杀。
欢迎楼主加入测试。
代超版说的。。。（不要拍砖！）

作者: 菜鸟想发飚 时间: 2007-8-17 22:37
小子学会打官腔了啊哈哈...

作者: eflyinghi 时间: 2007-8-17 22:40
珊瑚虫的QQ（可以算是绿色的）

一个Copy在Program Files里（记为1）
一个Copy在用户文件夹里，设置了权限和加密（NTFS格式，Windows用户加密）（记为2）
一个Copy也在用户文件夹的另一个位置（记为3）

运行1，没问题，没有任何提示！
运行3，可以运行，但会有安全性的提示，访问网络的警告！
运行2，提示有木马，选删除文件，但失败。退出后，会有QQ.exe驻留内存，但内存占用大小是不正常的！
如果允许运行，则一切正常。这时，如果在微点在“可信”程序中删除QQ，再运行，我的理解会再次Block，但实际却没有，正常运行。

个人认为“行为”真的很难判断……

作者: Legend 时间: 2007-8-17 22:44
谢谢楼主的反馈，请问楼主是只拷贝珊瑚虫的QQ的主程序吗？请楼主将您测试的这个程序发到support@micropoint.com.cn，我们模拟您的环境测试后给您回复，请您在邮件中注明本链接，便于跟踪解决您的问题。

作者: eflyinghi 时间: 2007-8-17 22:49
同一个程序，在不同的文件夹里，会有不同的处理……
如果这样判断“行为”，个人感觉，有点儿牵强~

加了密之后就被认为是木马，也说不过去~~

另外，好像微点的这种机制，是不是只有在运行了“带毒”的文件时，才会激发？
那应该还是要有别的可以扫描的杀软辅助的，
不然，要维护一个资料库，就比较危险，虽然系统不会染毒，但库里可能满是病毒了~

作者: eflyinghi 时间: 2007-8-17 22:55

Quote:

Originally posted by Legend at 2007-8-17 22:44:
谢谢楼主的反馈，请问楼主是只拷贝珊瑚虫的QQ的主程序吗？请楼主将您测试的这个程序发到support@micropoint.com.cn，我们模拟您的环境测试后给您回复，请您在邮件中注明本链接，便于跟踪解决您的问 ...

程序就不用发了吧，就是珊瑚虫的QQ2006版~
我都说了，正常的目录下运行没有问题的，全部文件夹，Copy到另一个地方运行，就有问题了~（是不是用户文件夹比较敏感？C:\Documents and Settings\Administrator\QQ下）
如果再加密，就报木马了~

因为QQ其实是绿色的，不用装的，整个目录Copy到另一个地方就能直接运行了
同时，我还试了迅雷，迅雷在不同的文件夹下，微点的处理也不一样~用户文件夹下会有好多警告。
不过加密迅雷，微点不会报木马。

作者: 追梦人 时间: 2007-8-18 00:00

Quote:

Originally posted by eflyinghi at 2007-8-17 22:55:

程序就不用发了吧，就是珊瑚虫的QQ2006版~
我都说了，正常的目录下运行没有问题的，全部文件夹，Copy到另一个地方运行，就有问题了~（是不是用户文件夹比较敏感？C:\Documents and Settings\Administrator\Q ...

觉得这个确实是对于行为的判断的一个挑战，不过，我觉得，在正常情况下，一般不会有人像LZ那样操作，所以很难说微点这样的设计是好的还是坏的！保护大多数，开放常用的部分就可以了！当然，如果能做到这方面更人性话的设置或更准确的判断就更好了！

作者: eflyinghi 时间: 2007-8-18 00:14

Quote:

Originally posted by 追梦人 at 2007-8-18 00:00:

觉得这个确实是对于行为的判断的一个挑战，不过，我觉得，在正常情况下，一般不会有人像LZ那样操作，所以很难说微点这样的设计是好的还是坏的！保护大多数，开放常用的部分就可以了！当然，如果能做到这方面更人 ...

其实我也不是专门要这样测的，呵呵，只是我确实经常这样用~~

Windows提供了很多功能，只是一般没有用到而已~
比如一台电脑可能有多个人用（大学宿舍），我都把一些会保存个人私人的软件装到个人文件夹中的，配合权限，加密等应用，会比较方便。
其实有很多软件都会在个人文件夹中的ApplicationData文件夹中写个人的配置信息的。

还有，如果微点定位于大众级用户的话，这样可能也没问题吧，但如果是企业级的呢？稍好一点儿的企业，都会用域来登录，这样就和我前面测试的环境一样了。加密，权限，多用户在企业中应用是非常非常多的！
如果一个软件只做个人市场的话，在中国，看来是比较难的~

作者: eflyinghi 时间: 2007-8-18 00:24
电脑上的Program files里有QQ，但在我的个人文件夹里也有QQ，我一般用我个人文件夹里的，我的聊天记录什么的在这里，如果电脑被别人重装什么的，也不会丢。
我的个人文件夹一直是加密的，呵呵，并且设了权限的~~

出现了这个问题，我才会去试个人文件夹中不加密的话，会不会有问题。
才会有上面的1，2，3……

作者: iaxxx 时间: 2007-8-18 01:12
哇哇这样也试出来

作者: eflyinghi 时间: 2007-8-18 09:01
又有问题了~~

还是那个QQ，报木马时，我选了删除，当时没删掉，提示延缓
重启后被“删除”了，这时我再Copy回来，会失败。
关了微点的所有进程，发现其实还是在的（其实是假删？），
再开微点，又不能运行了~，提示找不到。

我查了微点的所有设置，只找到了访问网络的设置……
那如果用户第一次操作错误了，不能修改的吗？这样不行啊，很有可能刚开始用时会操作错误的~

作者: zayss 时间: 2007-8-18 09:18
我的QQ放在D盘的网络软件软件-QQ2007里，怎么没有出问题。。。

作者: Legend 时间: 2007-8-18 09:20
微点主动防御软件对于确认删除的有害程序直接将其删除到微点主动防御软件的【有害程序隔离】区，您可以根据需要对已删除的隔离文件对隔离区的文件进行备份、恢复、删除等管理。
请楼主将微点报警的qq程序和qq安装包以及微点安装目录下的mp6目录复制到桌面后压缩发送到support@micropoint.com.cn，我们会有专业人员分析测试，发送邮件时请复制本帖链接，便于我们跟踪处理。
如果您确认是微点误报的程序，可从有害程序隔离恢复，并将其暂时加入可信程序（程序行为实时监控策略>可信程序设置）后运行。

作者: eflyinghi 时间: 2007-8-18 09:36

Quote:

Originally posted by Legend at 2007-8-18 09:20:
微点主动防御软件对于确认删除的有害程序直接将其删除到微点主动防御软件的【有害程序隔离】区，您可以根据需要对已删除的隔离文件对隔离区的文件进行备份、恢复、删除等管理。
请楼主将微点报警的qq程序和qq安装 ...

这个相关的设置是有的，我一开始没找到，抱歉！

不过还是有问题的！我重装了一下微点，在用户加密文件夹下运行QQ还是报木马，不过我允许了，并加为信任程序。
这时，QQ没有运行，但在进程中会有，占用内存明显不对！
关掉这个进程，再开QQ，才正常！

要出去了，晚上发给你们~~

作者: jobcreep 时间: 2007-8-18 10:42
需要这样的人才帮助微点！

作者: 干虾米哟 时间: 2007-8-18 16:07
LZ太能试了

作者: 九棒歪打 时间: 2007-8-18 20:13
好帖啊原来还能这样的学习了

作者: eflyinghi 时间: 2007-8-19 09:08
我在Deepin论坛同时发表了这个主题，有个网友试了，说没有这种情况，呵呵，我在此再说明一下，把给他的回复贴出来：

Quote:
引用第13楼bobgod2000于2007-08-18 10:58发表的 :
恩，我把QQ2007复制到其它位置，照常使用，微点也没有任何提示啊。建议楼主把你的QQ上报，便于官方更准确的分析。

我是Win2003，NTFS格式，“复制到其他位置”，你可以试试个人文件夹，c:\Documents and Settings\Administrator\QQ，如果你不是Administrator登录的话，就复制到当前用户的文件夹下。

我的个人文件夹是设置了加密的，呵呵，我也说得很清楚了，只有在加密的情况下，才会报木马，请你还是把情况看清楚了再试试吧~
另外，NTFS还提供“压缩”格式，你有兴趣的话，还可以试一样，压缩格式下会不会有问题~

最后，我不是质疑误报，我倒是认为误报还是比较正常的~
只是我觉得，一个正常的软件，换一个位置（当然这个位置比较敏感），换一种存储格式就会报木马，那反过来，如果一个木马换到一个不敏感的文件夹，是不是就会不报了呢？
微点说以行为判断病毒，如果行为很大的一部分因素是文件夹位置的话，个人认为不是很可靠。当然行为确实比较难判断的

作者: eflyinghi 时间: 2007-8-19 09:18
已经发现MP6和CoralQQ的两个主程序到微点了邮箱了~

只是安装程序找不到了，呵呵，很久以前装的，然后就一直Copy着用了~
反正是QQ2006的珊瑚虫版~

作者: akm007 时间: 2007-8-19 09:46
使用过微点的比较多，有技术又使用过微点的比较少，有技术又使用过微点又热心的更少，象楼主这样的有技术又使用过微点又热心又肯反映情况的更少，谢谢。

作者: eflyinghi 时间: 2007-8-19 09:47
再说明一点，如果大家要试的话，一定要珊瑚虫QQ，
因为CoralQQ是一个外挂，运行CoralQQ.exe后，会调用QQ.exe，呵呵，是有些“木马行为”的，哈哈

另外类似的工具，比如MSN Shell也可以试一下~

作者: neverlight 时间: 2007-8-19 09:59
趋势的OfficeScan网络版我们单位就是用正版的，虽然时时升级，但是查杀病毒能力可以说是三流，比瑞星还差，用了之后单位机子中毒事件层出不穷，怨声载道，后来大部分机子都自己另外装卡巴，麦咖啡，瑞星之类的了。

作者: neverlight 时间: 2007-8-19 10:03
我现在正在用的QQ就是2007 beta4的珊瑚虫绿色版，一点问题都没有

作者: 庄周梦蝶 时间: 2007-8-19 10:27
楼主这样的测试在用户中万中无一，能详细描述加密手段吗？

作者: eflyinghi 时间: 2007-8-19 21:18

Quote:

Originally posted by 庄周梦蝶 at 2007-8-19 10:27:
楼主这样的测试在用户中万中无一，能详细描述加密手段吗？

哪有什么加密手段啊，呵呵，都说了，Windows NTFS格式下的加密
右键，属性，高级，勾选加密~~（有兴趣，你还可以勾选压缩再试一下~）

作者: leelee 时间: 2007-8-19 23:00
楼主太无聊诺顿瑞星烂那里了？

作者: eflyinghi 时间: 2007-8-20 12:10

Quote:

Originally posted by leelee at 2007-8-19 23:00:
楼主太无聊诺顿瑞星烂那里了？

如果一个杀毒软件占用了10%以上的资源，那我还不如不用呢~
还不如有了毒Ghost呢~~

换个角度想想，一个开机就启动，并占用过高的资源的程序，与其说是杀毒软件，还不如说是一个被大家认可的病毒！
其实大家经常中的毒，大多都是小毒，没什么危害的，那不不如让它中着，也比诺顿占资源少~

作者: 独孤一梦 时间: 2007-8-20 12:23
我曾经有个问题就是迅雷
同一个安装包，同一个文件夹，刚装上的时候微点不报，过几天后微点报说迅雷是未知木马，卸掉迅雷再重新同一个包同一个文件夹安装，微点又不报，过几天又报，哈哈，有点奇怪
后来偶一气之下，重装了系统，现在就没出现过这种问题了

作者: Linwin 时间: 2007-8-20 13:20
= =||MP还是做个选项报告一下程序的行为报告，外加一个选项能开启，默认关闭提示，这样比较合适需要清楚该怎么做的用户使用

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn