Board logo

标题: 对感染到COM、EXE文件如何处理? [打印本页]
作者: 阿多     时间: 2006-11-9 12:32    标题: 对感染到COM、EXE文件如何处理?

请问如果病毒感染了COM、EXE文件。微点也是连宿主文件一起删除吗。我测试时候看到的操作提示好像是只有删除没看到杀毒的。

PS:当然现在通过感染COM、EXE的病毒已经不多了。但我想知道微点如何处理。否则从装软件还得折腾。
作者: Legend     时间: 2006-11-9 12:37
微点会阻止病毒继续感染,在病毒试图感染可执行文件时,微点会拦截阻止病毒的感染;

[ Last edited by Legend on 2006-11-9 at 16:32 ]
作者: 阿多     时间: 2006-11-9 12:42
假设:

1。机器已经有EXE感染文件
2。安装微点
3。运行病毒文件 

请问微点会如何处理? 只是阻止运行吗?还是删除这个带毒文件?

那这个软件就无法用了。
作者: 我要一台笔记本     时间: 2006-11-9 13:16
呵呵,测试一下吧.
说实话, 如果系统可执行文件已被感染,没有哪个杀软能完全清除病毒程序,被清的程序多数也不能运行了.
作者: 阿多     时间: 2006-11-9 13:23
楼上的兄弟可否提供各病毒样本?

但先前的杀软很多都是对可执行文件杀毒而不是删除操作。
作者: 我要一台笔记本     时间: 2006-11-9 13:26
没有:(
作者: 逍遥kent     时间: 2006-11-10 01:39
大家说的一定是现在大名鼎鼎的 威金 病毒了,这病毒厉害啊,尤其在局域网里,病毒杀不尽,威金生又生啊
作者: 阿多     时间: 2006-11-10 10:49
hehe  我还没中过 我都是在测试完
作者: lotei     时间: 2006-11-11 09:13
事实上目前处理点.exe或.com感染的问题国际主流是倾向与隔离而不是修复(楼主所提到的杀毒应该属于修复)
现在的多数病毒感染PE文件的时候,病毒代码都采用多种或随机的插入方式感染原文件,有时候一个病毒文件感染.exe后原文件给病毒代码修改的面目全非,想完全从把病毒代码从PE文件中完全移除是基本不可能的,复原PE文件更是难上加难,因此大多数的杀软都采用先隔离病毒或者被感染的病毒文件再清除.据我所知道目前大多数杀软都采用隔离后删除的,如诺顿和国内的一些杀软.微点也是顺应潮流的,修复的难度是很大的,而且修复的正确率也相当低,大多受感染的文件大多都会提示无法修复而直接删除,显然隔离文件后删除是更合理的更实用的办法!
本人刚来报道才疏学浅说错之处请大家见谅!
作者: flo     时间: 2006-11-11 11:08


  Quote:
Originally posted by lotei at 2006-11-11 09:13:
事实上目前处理点.exe或.com感染的问题国际主流是倾向与隔离而不是修复(楼主所提到的杀毒应该属于修复)
现在的多数病毒感染PE文件的时候,病毒代码都采用多种或随机的插入方式感染原文件,有时候一个病毒文件感染 ...

隔离毕竟是缓兵之计吧。前段时间不是有个EPO+多态的文件型病毒。卡巴虽然一开始也是只能隔离,但是后来也加上了清除病毒的能力。而且其实真正地做到“不可逆”感染的病毒很少,真的做到了也肯定有许多问题,这无异于加一个反汇编引擎,必会使病毒臃肿不堪。大多数的还是少部分修改。
至于微点,单凭现在的行为分析是不太可能清除文件型病毒的(现在微点是如果发现一个程序尝试修改其他程序的PE Header等,就拦截下来,能够阻止许多病毒的成功传播,但是不能修复),但是将来微点应该会辅助扫毒引擎的吧。

[ Last edited by flo on 2006-11-11 at 15:44 ]
作者: lotei     时间: 2006-11-11 12:02

楼上说的也很有道理,微点出扫毒引擎也是情理之中.
现在的病毒不是象以前单纯的插头或者插尾部了,是随机一个入口或者分散插
把原来的文件搞得面目全非,修复的可能性低.
PE修复不是不可行而将不是主流,毕竟对特定的病毒需要特定的修复方式啊
作者: nasdaq     时间: 2006-11-11 18:40
解毒我了解不多,但我想脱壳和解毒应该比较相似。

根据我对脱壳的认识,全自动广谱脱壳机是不太可能的,后期手工反复修复试验是必须的。由此我推断,随着病毒技术的发展,通用型解毒引擎似乎越来越不现实。隔离是发展的趋势。
作者: lotei     时间: 2006-11-16 18:25
哈哈```英雄所见略同~~~!
作者: 阿多     时间: 2006-11-17 11:30
各位看法都不错,如果说通用型解毒引擎不太能解决问题,那是否可以说病毒的运行方式也越来越样化。 比如ARP病毒,微点是按什么行为来检测呢。

PS:我测试ARP病毒中。微点没有告警。
作者: Legend     时间: 2006-11-17 12:00
请把您的这个arp病毒样本发给我们具体测试分析下virus@micropoint.com.cn
作者: 阿多     时间: 2006-11-17 12:13
已经发送。
作者: 阿多     时间: 2006-11-17 12:16
PS:卡巴有报警
附件 1: arp.JPG (2006-11-17 12:16, 11.96 K,下载次数: 23)






欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn