Board logo

标题: 有关微点的几个测试问题 [打印本页]
作者: linovo     时间: 2006-12-12 10:06    标题: 有关微点的几个测试问题

最近两天用几种方法对微点主动防御软件进行初步的折磨,发现微点由于还处于测试阶段,存在不少问题:
    1、在打开微点实时保护的情况下,用瑞星2007的文件粉碎功能对微点进行强制粉碎,对微点丝毫没有影响,再用金山的系统清理专家的文件粉碎功能继续粉碎,微点进程被关闭了,我把操作系统注销重新进入,微点不能自动启动,文件被破坏了。(详见附件图片)
     2、在上网的时候,用网络快车(版本1.8beta2)下载文件,微点会提示发现可疑程序,问是阻止还是放行,为了测试微点的性能,我选择阻止,然后微点弹出删除衍生物的提示窗口,问是否删除,选择删除,但网络快车还是可以成功下载文件,快车的程序文件没有被破坏。我打开瑞星的卡卡上网安全助手(版本3.1),微点发现卡卡访问网络,弹出窗口,询问是否阻止,因为我设置了卡卡自动升级,一打开,卡卡就自动开始检测新版本,还没有点是否允许卡卡访问,卡卡已经升完级了。这些说明微点的网络防火墙模块存在一些漏洞,在询问的过程中,并没有暂时中止程序访问网络的执行。
      3、在任务栏虽然关闭了微点的实时保护,连任务图标都关闭,但打开windows任务管理器,发现微点的几个进程还驻留在内存不肯走,用任务管理器可以把它们一一关闭,瑞星2007可恶一点,即使关闭瑞星所有监控(瑞星的任务栏图标没有关闭)也无法用任务管理器关闭瑞星的进程。由于电脑没有killbox程序,无法测试能否强行关闭微点和瑞星进程。在这里我强烈建议微点增加内存优化功能,就是发现有程序,就算用户把它们关闭,进程还留在内存的自动把它们清理,并且当用户关闭微点时,微点所有进程能全部退出内存,自动释放内存空间。

[ Last edited by linovo on 2006-12-12 at 10:37 ]
附件 1: weq.jpg (2006-12-12 10:06, 176.19 K,下载次数: 46)


附件 2: er.JPG (2006-12-12 10:07, 114.68 K,下载次数: 37)


作者: jaber     时间: 2006-12-12 10:10
金山的系统清理专家的版本号是好多?

发现可疑程序的具体报警信息是什么?
作者: linovo     时间: 2006-12-12 10:13
系统专家版本:
程序版本:2006.11.21.132
是刚从金山的网站下载回来的,想给它升级,升不了,提示无法连接服务器。

[ Last edited by linovo on 2006-12-12 at 10:15 ]
附件 1: fdf.JPG (2006-12-12 10:13, 101.8 K,下载次数: 64)


作者: Legend     时间: 2006-12-12 10:15
请问楼主操作系统版本?微点的具体版本是多少?
您的金山的系统清理专家的版本是多少?具体操作步骤?
我们具体测试下;
作者: linovo     时间: 2006-12-12 10:25
微点有一个方便的系统检测功能,本来可以轻松把我的系统信息复制上去,因为刚刚测试时把微点破坏,要重启才能重新安装。
   操作系统xp sp2  rtm.040803-2158
    微点的版本是用今天早上刚升级到最新的版本
   在打开微点实时保护的状态下,我先用瑞星2007对微点的安装文件夹里的主程序文件进行文件粉碎,粉碎不了,接着用金山的系统专家又对微点的安装文件粉碎了两次,微点的文件还存在,但发现已经破坏了它们的完整性,微点实时保护也不知道什么时候关闭了,大家可以看到附件的第一张图片(文件名weq.jpg),我的操作系统任务栏已经没有微点实时监控图标了。

[ Last edited by linovo on 2006-12-12 at 10:43 ]
作者: linovo     时间: 2006-12-12 10:51
金山论坛-系统清理专家讨论区有这样一张帖子《惊天大发现]顽固文件删除终极武器(转)》详情请看http://bbs.kingsoft.com/viewthre ... &extra=page%3D2    我是看了这张帖子,想起用该方法来对微点进行折磨测试。
   另外,建议微点取消启动画面,微点启动时会有一个动画型的启动画面,我觉得启动画面毫无作用,还会拖慢系统的启动速度,电脑配置高的没有影响,但配置低的却有影响,金山、江民现在都没有启动画面了

[ Last edited by linovo on 2006-12-12 at 10:56 ]
作者: Legend     时间: 2006-12-12 11:26
关于微点的启动动画,您可以在微点的主界面程序行为实时监控策略里面设置是否启动
作者: linovo     时间: 2006-12-12 14:01
1、微点能否增加类似瑞星的安装包制作功能,刚才重装微点,选择覆盖安装,麻烦的是又要重新下载11M多的升级文件,升级还算非常快,大概现在用户还不多,服务器负担轻,假如用户一多,升级就非常容易出问题。就算没有瑞星安装包制作功能,也起码应该有金山的update文件夹备份或者江民的重装机备份功能,为用户减少重装的麻烦。
     对金山毒霸进行覆盖安装,如果存在的文件比安装包新,它是不替换的,建议微点借鉴,但我由于进行测试破坏了文件,替换比不替换好。
    2、建议微点增加瑞星的鼠标右键文件粉碎功能和江民的重启删除功能。文件粉碎对个人用户来说,用处可能不大,但对企业来说十分重要,除非微点不想要企业用户市场吧。翘尾巴,卖弄一下,上面提到的金山论坛那个主题《惊天大发现]顽固文件删除终极武器(转)》,4楼的-feilong 那个用户就是我了,如果我没记错的话,瑞星的鼠标右键文件粉碎功能和瑞星防火墙2006开始出现的非系统启动项高亮度显示、非系统进程高亮度显示(2006版一开始推出是没有高亮度显示功能的,后来的升级增加)是我在2005年底给瑞星提意见,建议增加的,类似的建议也给金山提过,现在金山有没有采纳大家用用毒霸就知道了。以后可能就再不会多管闲事给瑞星和金山提建议了。

[ Last edited by linovo on 2006-12-12 at 14:34 ]
作者: Legend     时间: 2006-12-12 15:45


  Quote:
Originally posted by linovo at 2006-12-12 14:01:
1、微点能否增加类似瑞星的安装包制作功能,刚才重装微点,选择覆盖安装,麻烦的是又要重新下载11M多的升级文件,升级还算非常快,大概现在用户还不多,服务器负担轻,假如用户一多,升级就非常容易出问题。就算没 ...

谢谢您的建议我们会认真考虑的;
欢迎您继续作深入的测试使用。
作者: Legend     时间: 2006-12-12 16:09
“2.在上网的时候,用网络快车(版本1.8beta2)下载文件,...这些说明微点的网络防火墙模块存在一些漏洞,在询问的过程中,并没有暂时中止程序访问网络的执行。”

微点在询问您是否放行程序访问网络时已经拦截程序的网络访问行为,在您选择具体操作后才会放行或者终止程序的网络访问,请问您的网络快车具体下载链接?您所说的成功下载具体是下载什么文件及下载链接?我们具体测试下。

“ 3、在任务栏虽然关闭了微点的实时保护......”
微点自身有很好的保护,不会被其他程序所关闭;您所说的微点的几个进程还驻留在内存是因为微点是以服务启动的,需要在服务里面关闭微点的服务;微点随系统启动很重要,请不要手动暂停微点的服务。
作者: aidi     时间: 2006-12-12 16:54
“新版本的文件粉碎器采用了基于磁盘物理扇区的粉碎机制,能够彻底清除文件内容、文件名以及分配表等所有文件信息,保证了被粉碎文件无法恢复。同时符合美国国防部标准中对机密文件的粉碎处理方式。”
看说明好像连系统的文件也可以删除,刚下载“金山毒霸系统清理专家”试了下,扫了下“隐蔽软件扫描”,发现一些浏览器插件,用它清除了,结果重启后发现我的antivirus小红伞的监控没有起来,网页也打不开了,ping 百度没有反应;大概是那些插件导致的,用winsock fix修复后重启恢复正常。红伞监控可以启动了。
看下文件粉碎功能,先备份了下antivirus的程序sched.exe,然后用粉碎功能选择彻底删除,完毕后重启Service to schedule AntiVir jobs and updates.服务器显示失败,看来真的有效,察看目录源文件还在,用原来的备份文件替换再起服务正常。
不过这个“系统清理专家”好像是自动启动的,我重启系统后发现它出现在任务栏上,用系统的msconfig看不到启动加载项,用它自己的启动管理倒是可以看到KASStart勾选掉就可以了。
作者: nasdaq     时间: 2006-12-12 21:45
嗯,看了一下介绍,正如楼上所说,金山那个文件粉碎器,相当于一个定向硬盘低格,对被粉碎文件占用的硬盘扇区用垃圾数据填充。这玩艺儿太混了,不过对处理机密文件比较有用。

那个所谓美国国防部标准,我个人认为纯属炒作,据说就是数据必须覆盖三次:第一次用一个8位的字符覆盖,第二次用该字符的补码覆盖,最后用一个随机字符覆盖。


其实对付真正的机密数据,最快捷有效的办法就是消磁,彻彻底底的解决问题。
作者: linovo     时间: 2006-12-13 09:36
补充说明一下:
“2.在上网的时候,用网络快车(版本1.8beta2)下载文件,...这些说明微点的网络防火墙模块存在一些漏洞,在询问的过程中,并没有暂时中止程序访问网络的执行。”
   我昨天点浏览器(版本IE7.0中文版)的鼠标右键“使用快车下载”在金山的网站下载金山的系统清理专家(昨天下载了几个文件,有些已记得不太清楚了),估计微点发现浏览器调用第三方的dll——jccatch.dll这个动态连接库,认为可疑,询问是否阻止,我点阻止,并且点删除衍生物,记得这两个步骤重复做了两次,快车还是可以下载,后来在微点主程序的有害程序隔离里把jccatch.dll彻底删去,快车的鼠标右键功能才失效,拖拉网址仍可以下载。
    今天安装了网络快车1.80正式版,再次用浏览器调用快车的鼠标右键下载文件,可以成功下载文件,微点已经没有任何反应了。

    之所以用金山的文件粉碎机对微点安装文件进行强制粉碎,主要是看了金山论坛的主题那一段话“Windows系统下的所有文件,无论是正在运行的程序,正在被使用的DLL,正在被打开的文件,还是采取自我保护的驱动,全部都可以被轻易地删除!从此删除文件,再也无难事!”,我就想用文件粉碎对微点的实时保护进程测试,看能否中止微点的进程。杀毒软件必须有很好的自我保护能力,只有保护好自己,才能保护用户的电脑。我在打开微点实时保护的情况下,对微点的安装文件夹进行3次强制粉碎,发现可以把微点的实时保护干掉。不知道版主的测试怎样,结果是否跟我相同

    我觉得微点应该增加一个功能:就是在打开微点实时保护的时候,如果发现有程序对微点安装文件夹进行强制删除、文件粉碎、假冒替换等操作,应该给予拦截,保护好自己。当然应该增加敌我识别,功能太厉害,连软件自身的升级都阻止就麻烦了,不知微点是否有类似微软的数字签名技术,以防程序被篡改。现在只怕微点不出名,只要微点出名,肯定有黑客专门去剖析微点的防护原理,专门编写强悍的代码去杀微点的进程,或者先把毒种到用户的电脑里,用类似江民的重启删除方式,通过批处理,等到重启再干掉微点程序。

[ Last edited by linovo on 2006-12-15 at 09:53 ]
作者: Legend     时间: 2006-12-13 16:15
关于您反映的网际快车与卡卡助手问题,请升级最新版本测试
作者: linovo     时间: 2006-12-14 14:47


  Quote:
今天安装了网络快车1.80正式版,再次用浏览器调用快车的鼠标右键下载文件,可以成功下载文件,微点已经没有任何反应了。

版主,我反映的问题,在微点最新版仍然存在。我刚才把微点升级到最新版,用快车鼠标右键下载文件,微点又有反应(昨天没任何反应),弹出删除窗口和删除衍生物窗口,重复出现2次,点阻止和删除,下载执行确实被拦截,但再次尝试下载,可以成功,并且没有任何提示,有害程序隔离那里没有看到删除的任何衍生物,虽然选择删除快车的jccatch.dll文件,但快车安装夹下该文件仍存在。

    我强烈建议微点增加传统防火墙的程序访问网络规则功能,任何程序访问网络,先拦截,询问用户是否允许。微点的网络防火墙确实有很多地方要完善。
我的微点版本:
微点主动防御软件
程序版本: 1.2.10513
特征版本: 1.4.176.061214
更新时间: 2006-12-14 14:03:28
快车版本:1.80正式版
   另外,微点有些提示窗口有倒计时关闭功能,如升级提示框,但拦截提示框却没有倒计时,我觉得全部提示框都应该有倒计时,默认不开启,由用户决定是否打开。

[ Last edited by linovo on 2006-12-14 at 14:54 ]
作者: aidi     时间: 2006-12-14 15:16
jccatch.dll是Flashget下载软件在IE浏览器中加载的BHO项目,在Hijackthis扫描报告中的项目为O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll。
这个大概是这个文件会被报警的原因吧,属于BHO插件,但不是下载的主程序所以并不影响你正常下载文件。
你的flashge是不是又自动升级过?

[ Last edited by aidi on 2006-12-14 at 15:19 ]
作者: Legend     时间: 2006-12-14 15:20
微点是否提示您重启后删除?您可以把您的木马日志、程序生成日志导出发到support@micropoint.com.cn
微点主动防御软件提供的“智能防火墙”是通过微点主动防御软件的动态仿真反病毒专家系统,自动对系统中进程的网络访问行为进行分析判断,对于正常进程访问网络的行为,直接放行,而只是对于可疑进程访问网络的行为,微点主动防御软件才会弹出异常网络访问报警窗口,询问用户是否允许该进程访问网络。大大减少用户参与,也减少用户的恐慌。
关于倒计时关闭提示窗口您可以在微点主界面程序行为实时监控策略里面设置询问等待时间,时间过后窗口会自动关闭。
作者: linovo     时间: 2006-12-14 15:32


  Quote:
Originally posted by Legend at 2006-12-14 15:20:
微点是否提示您重启后删除?

并没有提示重启删除。

  Quote:
这个大概是这个文件会被报警的原因吧,属于BHO插件,但不是下载的主程序所以并不影响你正常下载文件。你的flashge是不是又自动升级过?

快车1.80应该没有自动升级功能,我之所以说微点这个有问题,是因为我点了删除和删除衍生物,它其实却并没有删除任何文件。

  Quote:
对于正常进程访问网络的行为,直接放行,而只是对于可疑进程访问网络的行为,微点主动防御软件才会弹出异常网络访问报警窗口,询问用户是否允许该进程访问网络。大大减少用户参与,也减少用户的恐慌

真是有利就有弊,鱼和熊掌不可兼得啊,微点这样做,我觉得会出现“百密有一疏”的情况,所谓“智者千虑,必有一失”,我建议微点网络防火墙程序访问许可采用双模式,一种自动判断,有危险时才提示用户;一种全手工,由用户自己决定采用哪一种。

[ Last edited by linovo on 2006-12-15 at 09:57 ]
作者: Legend     时间: 2006-12-14 15:50
经测试在用flashget下载时并没有出现您说的报警情况。
请问您的flashget 1.8是在哪里下载的?方便的话请把您的安装程序压缩发到support@micropoint.com.cn
您可以在微点的程序行为实时监控策略里面设置询问后处理并取消智能识别选项。

[ Last edited by Legend on 2006-12-14 at 15:53 ]
作者: linovo     时间: 2006-12-14 16:03
程序生成日志等已经发邮件过去了,快车应该是在IT168软件频道下载的,版本是1.8.0.1002
作者: Legend     时间: 2006-12-14 16:35
请加入微点的技术交流群:16998902我们帮您远程协助下
作者: linovo     时间: 2006-12-15 07:38
刚才再用快车测试了一下,快车的浏览器鼠标右键的下载功能已经实效,我只好双击快车快捷方式,一打开快车,微点询问是否阻止jccatch.dll访问网络,我点阻止,并且点删除衍生物,微点已可以成功删除jccatch.dll文件,有害程序隔离那里已经有这个文件了。

[ Last edited by linovo on 2006-12-27 at 08:17 ]



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn