微点交流论坛

标题: 【谈谈微点“神话”没有谁是救世主】 [打印本页]

作者: 御剑临风. 时间: 2009-5-31 11:37 标题: 【谈谈微点“神话”没有谁是救世主】

最近都比较忙，所以没时间上来写点东西，好不容易挨到端午放假了。。。累啊~争取放假这几天，一天一篇技术性的文章，也算是对这段时间没来的一点“补偿”吧~

      微点不用我说了，常玩杀软的应该都知道，以“主动防御”著称，口号是，无需升级防杀新型病毒，无需等待扫描，占用资源低（因为采用的监控是触发式。。。所以不用总在后台扫描文件~）。。。而且也总结了些经验，最近打算出扫描器（就是特征码扫描，据说还采用了虚拟机的方式。。学江民么？，看那个扫描版扫描时CPU狂飙我就不禁冷笑。。。。）以解决之前的微点的一个重大弱点，那就是没法解决没有发作病毒的隐患~这样的话，在配合其主动防御做为的“检控”出个安全套装的话，实力非同小可~无非又给骇客们带来了新的挑战，因此我总结下微点的几个不足的地方，纯技术交流，误做它用~

   1.感染性病毒拦截问题。上面我说过了，微点用的是“触发机制”一旦满足这个机制它才会报警，这就是为什么有些测试样本运行时，一开始没什么反应，过一会就会报毒了。。。不是微点反应慢，而是只有病毒满足其规则的若干个条件时，才会触发“报警”机制，而微点恰恰就是在这方面存在漏洞，尤其是面对“感染型病毒”的时候，一般感染型病毒会通过修改文件和插入代码的方式来感染文件，这期间除了某些不慎的作者触动了敏感选项的注册表外，几乎不会碰到微点的“禁忌事项~”，没有服务创建，不会加载驱动，也不插入某些程序，只需些感染代码的批处理和自启动文件autorun就足够了，并且在感染后删除自身，微点根本就找不到病毒本体，其他程序虽然被感染，但因为其原本是正规程序，所以根本没有触发条件，微点自然就不会报警，所以说微点在这方面需要改进，目前微点对付感染型的病毒还是很弱的，基本上特征码能扫描出来的很多，都对付不了。

   2.结束进程问题。微点不同于国产杀软的“疯狂挂钩子”的方法，（尤其是江民，挂钩子的技巧简直能以变态来形容~）恢复SSDT表的话都差不多（江某除外~）也不采用国外的底层驱动保护和服务0秒重启的方式~（卡巴、麦咖啡和NOD32~）微点用的插入进程。。。（病毒的手法，多少有点猥琐~）插入每一个进程，这样即使自己的主要进程被结束，其他程序中插入的模块也会起到自动恢复的作用~杀是杀不觉得（。。。你总不能把所有进程都“结束”吧？~）因此大多木马都研究的是“过微点”。。。却没有打算强杀的，我本身不这么认为，1.强杀比免杀简单的多~效率也高 2.强杀的生存时间比免杀长但是强杀就要有个强杀的方法，方法1很简单就是利用关闭关键字窗口的方法，关掉微点的界面使其出错~ 2.利用重启计算机的方式，重启后删除微点在系统盘下的sys序列号文件，一旦删除这个文件，微点再重启后会提示“获取序列号，失败”这样微点就完全启动不起来了，同样达到强杀的目的。

   3.批处理问题，微点因为没有扫描系统，而批处理恰恰又不容易触发微点报警，所以批处理方面完全是微点的软肋，像之前过微点的“著名”病毒，Trojan.Win32.IAgent 就是利用大量的VBS脚本和批处理文件来达到的，（启动方面还是我上面提到的autorun和系统的那个百年BUG，计划任务~）完全不会触发当时的微点报警机制~。。。所以今后如果微点一旦发达起来，没有配合扫描的微点，批处理将成为其劲敌！~

。。。。说道底，微点不是那么不容易过，也不是那么不容易杀，只是现在还没有“树大招风”起到一个“免疫”的作用，如果微点成为将来的卡巴或者瑞星，骇客们把眼光集中到微点上，很快就会出现一大堆意想不到的漏洞，（就像微点写病毒报告的时候总有某些病毒的行为是遍历安全软件进程然后杀之。。。然而这个遍历安全软件的进程中，却很少有微点的名字~说明很多病毒作者根本还没把微点纳入眼里~）微点的用户范围还不够广，市场也不够大，现实情况是，微点很缺钱，（没钱你连广告都打不起，打不起广告又怎么让人了解和知道你？~）在金融海啸的危机前，不禁让我怀疑这样下去微点能否“坚持”下去？，让我怀疑起了微点病毒的上报处理能力，（微点有多少反病毒工程师？瑞星有600+ ~微点呢？~）。。。自然会担心起微点的能力了。。。总之，没有谁是救世主。。。。。。不存在只有一面的硬币~

作者: 御剑临风. 时间: 2009-5-31 11:38
关于微点批处理的问题

微点的缺点
前几天被一个批处理弄死了系统了

删除系统盘下的所有exe

然后在其他盘建立无数个无法删除的文件夹

导致我全格了硬盘

要是有意的人利用了微点这个缺点,,,,,,后果不堪设想啊

我向微点反馈,得到的官方答复是

微点不对任何批处理文件做处理

大家注意了,只装微点的不要随便打开批处理文件!!

这个bat文件在瑞星,金山,nod32,卡巴等杀软均为木马

作者: 驾驭流星 时间: 2009-5-31 11:39
寒~ 我经常用bat文件~
不过印象中有次用bat文件被微点报毒，那个bat文件是个删除系统关键文件的批处理，被微点防住了！

[ Last edited by 驾驭流星 on 2009-5-31 at 11:42 ]

作者: 御剑临风. 时间: 2009-5-31 11:56

Quote:

Originally posted by 驾驭流星 at 2009-5-31 11:39:
寒~ 我经常用bat文件~
不过印象中有次用bat文件被微点报毒，那个bat文件是个删除系统关键文件的批处理，被微点防住了！

[ Last edited by 驾驭流星 on 2009-5-31 at 11:42 ]

http://bbs.micropoint.com.cn/showthread.asp?tid=53637&fpage=1

请看官方回答

感谢楼主反馈
微点暂时对批处理文件不处理

楼下的

过微点的很多，我已经提交多个全盘感染性病毒！

http://www.mpfans.org/thread-31201-1-1.html

【微点不是神】

[ Last edited by 御剑临风. on 2009-5-31 at 16:00 ]

作者: HomeSGerMine 时间: 2009-5-31 12:01
我不知道御剑你用意何在？

作者: 无量山 时间: 2009-5-31 12:07
虽然我才用微点，但是微点我也在不断测试，感染型的目前我没发现过了微点的。

利用关闭关键字窗口的方法，只能关闭界面顶多（是否能关闭另外再说），但是主程序依然运行，微点的防御肯定还存在。

批处理貌似还是防的

作者: 狙击virus 时间: 2009-5-31 12:09
楼主脑子有病吧，感人型的能过微点？那么大的动作能不防么，笑话。

你倒是给我找一个结束微点的东西出来，站着说话腰不疼。

作者: 狙击virus 时间: 2009-5-31 12:10
借用你以前的一句话，样本，给我样本，没有样本就别废话。

作者: 心随风落 时间: 2009-5-31 12:14
楼主原创的么？貌似是，楼主的最大本事就是把人家的当成自己的，然后自己就成牛A跟牛C中间的那个了。

作者: thinkzero 时间: 2009-5-31 12:43
LZ是支持微点的，但他是“先天下之忧而忧”
也算是黑客（和骇客有区别）吧，把微点的问题提前提出，防范于未然。
大家多看一下他的帖子就懂了！！

作者: 心随风落 时间: 2009-5-31 13:27
以前人家说微点不足了，楼主就出来骂人家，心胸特小，但是论坛有论坛的规矩，后来好像吵架被封号了，心里就觉得微点不爽，然后就来说微点这不行那不行，我只想说着肚量也太牛A牛C了。

感染型的测试到不想测试了，也没发现微点不能干掉的。

作者: 御剑临风. 时间: 2009-5-31 15:58

Quote:

Originally posted by 无量山 at 2009-5-31 12:07:
虽然我才用微点，但是微点我也在不断测试，感染型的目前我没发现过了微点的。

利用关闭关键字窗口的方法，只能关闭界面顶多（是否能关闭另外再说），但是主程序依然运行，微点的防御肯定还存在。

批处理貌似 ...

过微点的很多，我已经提交多个全盘感染性病毒！

http://www.mpfans.org/thread-31201-1-1.html

作者: 无量山 时间: 2009-5-31 16:17
提交了一个就说自己提交了多个，又见当年的浮夸风！

老婆，快出来看卫星。

作者: 御剑临风. 时间: 2009-5-31 16:28

Quote:

Originally posted by 无量山 at 2009-5-31 16:17:
提交了一个就说自己提交了多个，又见当年的浮夸风！

老婆，快出来看卫星。

http://www.mpfans.org/thread-31201-1-1.html

是不是过微点

大家深入测试吧

没时间陪未成年人玩了:D

:P

SORRY

失陪~~~~

作者: 无量山 时间: 2009-5-31 16:31
说你小气就小气居然还不信笑死我了

那个样本又不是没测试过

作者: mamsds 时间: 2009-5-31 17:25
有几个问题
1、样本！我上网搜过微点，都没什么结果。
http://www.baidu.com/s?wd=%B9%FD%CE%A2%B5%E3
上面是过微点的搜索结果。
再看看过瑞星的
http://www.baidu.com/s?ie=gb2312 ... 8%F0%D0%C7&ct=0
2、微点现在貌似用简单HIPS对付批处理之类的，这样效果应该很好。
3、楼主啊，不是我太支持微点，是你实在强词夺理！
我都没什么好说的..............

作者: 江浸月 时间: 2009-6-1 09:18
看热闹来了

作者: 菏泽巨野 时间: 2009-6-1 10:22
其他程序虽然被感染，但因为其原本是正规程序，所以根本没有触发条件，微点自然就不会报警，所以说微点在这方面需要改进

这点说的非常对这是个很不好的弊端

作者: 天璇诛仙 时间: 2009-6-1 13:48

Quote:

Originally posted by 心随风落 at 2009-5-31 13:27:
以前人家说微点不足了，楼主就出来骂人家，心胸特小，但是论坛有论坛的规矩，后来好像吵架被封号了，心里就觉得微点不爽，然后就来说微点这不行那不行，我只想说着肚量也太牛A牛C了。

感染型的测试到不想测试 ...

:D原来是这个原因啊:D我说好好的怎么多出来了个.么原来是那个号被封了啊:o

作者: 御剑临风. 时间: 2009-6-1 20:45

Quote:

Originally posted by 天璇诛仙 at 2009-6-1 13:48:

:D原来是这个原因啊:D我说好好的怎么多出来了个.么原来是那个号被封了啊:o

简直胡说八道

你是当事人吗？不知内情不要乱放。。。。:D

作者: 405016 时间: 2009-6-2 07:15
在我看来，有些方式会被利用，只是时间问题，有这样的提醒不错

作者: f8312519 时间: 2009-6-2 19:35
其实楼主的这些话说得还是很不错的.微点值得学习.有则改之.无则加冕吗!!
反正楼主的做法只是让微点越来越好.
论坛不能老是下面人士.出下反面的对微点更有利.
只说微点好.那微点自己也觉得自己好了.就骄傲了.
所以多找找微点的缺点.让他进步更快.用发展的眼光看微点!!

作者: mappletree 时间: 2009-6-2 22:17
支持御剑
这都是为了微点好
“哀其不幸
怒其不争”

作者: 龙啸天下 时间: 2009-6-3 15:04

Quote:

Originally posted by mappletree at 2009-6-2 22:17:
支持御剑
这都是为了微点好
“哀其不幸
怒其不争”

同意

有这样的人微点才会发展，天天歌功颂德有用吗？

作者: 20090218 时间: 2009-6-3 21:08
希望微点加强，继续支持

作者: storm01 时间: 2009-6-4 11:06
同意楼主，微点的路的还长着，许多问题都要研究。点饭这么多年来依然是咄咄逼人，这种态度很讨人嫌，对微点的发展没有好处

作者: ahyanglf 时间: 2009-6-4 16:38
批处理一直都是让人头痛的话题,因为这方面微点确实不太敏感!
继续关注一下!

作者: ahyanglf 时间: 2009-6-4 16:39

Quote:

Originally posted by f8312519 at 2009-6-2 19:35:
其实楼主的这些话说得还是很不错的.微点值得学习.有则改之.无则加冕吗!!
反正楼主的做法只是让微点越来越好.
论坛不能老是下面人士.出下反面的对微点更有利.
只说微点好.那微点自己也觉得自己好了.就骄傲了.
...

严重支持一下啊!

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn