微点交流论坛

标题: 微点讨论一例主动防御和hips [打印本页]

作者: 御剑临风. 时间: 2009-4-13 19:49 标题: 微点讨论一例主动防御和hips

昨天看到http://bbs.kafan.cn/thread-452929-1-1.html介绍的全盘感染样本，就下载到自己电脑上，就在沙盘中运行，结果微点没报，程序生成病毒体svchost.com在沙盘中，下面是日志
2009-04-04 21:26:48 D:\SANDBOX\DEFAULTBOX\DRIVE\C\WINDOWS\SVCHOST.COM D:\SANDBOX\DEFAULTBOX\USER\CURRENT\桌面\090329238\6.EXE
然后我就上报说微点没反应，结果官方的L版主实机测试能拦截，我也实机测试能拦截病毒生成C:\WINDOWS\SVCHOST.COM，看来是因为微点认为沙盘里面的C:\WINDOWS\不是真正的C:\WINDOWS\所以置之不理，

依据以上事实，推断微点的一条规则是：阻止陌生程序向系统目录创建exe sys，它不能杀沙盘里面的就是因为没有关于沙盘的规则，所以病毒能运行且能生成病毒体，它是不管的，一般意义上的特征码杀毒软件是能杀沙盘里面的，我以前用麦咖啡就能清理在沙盘里面的毒，所以也可以推断微点就是一个规则完善的hips，为啥一直有人说微点不同于hips？邪性！看来微点出一个带特征码的监控会更安全。

作者: 御剑临风. 时间: 2009-4-13 19:50
微点关键是引入了对行为的判断，一般HIPS都要靠用户，一个智能一个手动，当然不同啦

微点是智能型的选手哦！

作者: lsj301 时间: 2009-4-13 20:37
还是要发展完善啊

作者: mamsds 时间: 2009-4-13 21:26
微点在防御方面已经很好了！主要要降低误杀！

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn