Board logo

标题: 微点的一个致命缺陷 [打印本页]
作者: wsheng82     时间: 2007-1-15 15:48    标题: 微点的一个致命缺陷

今天时间比较多,好好研究了一下微点。
微点在运行的时候,相关进程不受到保护,也就是可以随意终止,假如病毒先终止微点,再进行破坏,那就一点办法都没有了。

还有更严重的问题,微点在运行的时候(相关进程没有被终止的时候),安装目录受到保护,你无法复制或者删除文件(但是鼠标右键菜单可以新建),一旦病毒终止进程后,安装目录失去保护,便可以在里面创建病毒文件。我做了个试验,关闭进程后,把病毒文件放入微点安装目录,然后开启微点,运行病毒程序,这时候微点没有办法了,不要说查杀阻拦,甚至根本不报告病毒,似乎是把安装程序内的所有文件添加为可信任文件。这个问题严重严重~请微点一定要改进!
作者: Legend     时间: 2007-1-15 15:53
微点主动防御软件自身有很好的保护不会被其他程序所关闭,除非系统自身,即使其他程序调用系统命令也不可以。
微点软件运行的时候会对自身安装目录作保护,您可以新建空的文件或文件夹,但没有写的权限。欢迎您继续做深入的测试使用
作者: Legend     时间: 2007-1-15 16:10
关于您所说的“把病毒文件放入微点安装目录,然后开启微点,运行病毒程序,这时候微点没有办法了,不要说查杀阻拦,甚至根本不报告病毒,似乎是把安装程序内的所有文件添加为可信任文件。”经我们测试没有您的现象,微点同样可以查杀并处理成功;
请问您测试时的具体环境?微点的版本?具体的操作步骤?您也可以把您的样本发到virus@micropoint我们按照您的环境具体测试下
作者: SUNG     时间: 2007-1-15 16:28
楼主说的的确有点意思
看来还需要做更细致的测试

楼主是个细心人

不过微点这种你不动,我不打的状态有时还是让人不放心
而且微点对手工进行毒文件拷贝好象也不报
似乎只控制运行中文件和对系统的控制

最好是主动防御+主动扫描
作者: wsheng82     时间: 2007-1-15 16:39


  Quote:
Originally posted by Legend at 2007-1-15 16:10:
关于您所说的“把病毒文件放入微点安装目录,然后开启微点,运行病毒程序,这时候微点没有办法了,不要说查杀阻拦,甚至根本不报告病毒,似乎是把安装程序内的所有文件添加为可信任文件。”经我们测试没有您的现象 ...

邮件已发,请版主查收
作者: Legend     时间: 2007-1-15 16:44
请把您发送时的邮箱地址用论坛短消息发给我
作者: 天道酬勤     时间: 2007-1-15 17:54
中天上面已经有人在试验楼主的说法了,但是没有发现楼主所说的情况,还有楼主的样本在正常情况下微点有没有报?这个样本运行后有什么动作否?如果是一个什么事也不作的死货,不报也罢。
作者: 清荼     时间: 2007-1-15 19:16
这些贴子在中天也看到过.
作者: 八闽汀江子     时间: 2007-1-15 19:58
看来贴主不太了解东方微点,但是勤于思考,可嘉。

我回来就去试下。
作者: 笑傲独孤     时间: 2007-1-15 20:02
可能是你的运行环境不对吧
楼主的精神支持
作者: 八闽汀江子     时间: 2007-1-15 21:50


  Quote:
Originally posted by 八闽汀江子 at 2007-1-15 19:58:
看来贴主不太了解东方微点,但是勤于思考,可嘉。

我回来就去试下。

卡卡和金山系统清理的进程清理项里看不到东方微点进程,windows优化大师和恶意软件清理助手可以看到东方微点的进程,但是无法结束东方微点的进程,显示“获取权限失败”。

只有从服务里停止才成功(我这边是这样)。

然后从卡饭找了个木马放在东方微点安装夹,然后从服务项里开启东方微点,然后结果就出来了---大胆狂马,哪里跑,杀!:lol:

[ Last edited by 八闽汀江子 on 2007-1-15 at 21:52 ]
附件 1: 1.jpg (2007-1-15 21:50, 109.7 K,下载次数: 59)


作者: wsheng82     时间: 2007-1-16 00:35
我测试的病毒样本正好是属于子母程序病毒,母程序生成子程序 本来在中天发了病毒样本的 版主不允许 我已经发给Legend版主了 希望他能测试一下
作者: 反黑先锋     时间: 2007-1-16 01:23
;)这个想法我也想过做过 不能写入的。。
附件 1: sshot-30.png (2007-1-16 01:23, 23.27 K,下载次数: 31)


作者: 反黑先锋     时间: 2007-1-17 10:41


  Quote:
Originally posted by 八闽汀江子 at 2007-1-15 21:50:


  http://bbs.micropoint.com.cn/sho ... ;page=2&fpage=2

我的情况和你不一样啊。可写,可删,包括东方微点的部分程序和文件夹也是。

上回是不可以的,现在可以删了,也不知怎么鼓捣出来的?

不知测试部门有没结果出来?

;) 原来你是手动停止了微点的服务 那样当然可写入~ 

我把微点的服务停止掉 复制一个病毒在C:\Program Files\Micropoint

双击启动微点。
附件 1: sshot-29.png (2007-1-17 10:41, 16.96 K,下载次数: 30)


附件 2: sshot-30.png (2007-1-17 10:41, 47.18 K,下载次数: 55)


附件 3: sshot-31.png (2007-1-17 10:41, 21.95 K,下载次数: 26)


附件 4: sshot-32.png (2007-1-17 10:41, 21.03 K,下载次数: 27)


附件 5: sshot-33.png (2007-1-17 10:41, 21.94 K,下载次数: 59)


作者: 八闽汀江子     时间: 2007-1-17 13:37
把我的机快递给先锋官看下哈!
作者: Legend     时间: 2007-1-17 14:17
楼主的邮件已经收到,且经过官方测试是可以正常拦截并查杀的,已经给您回复了邮件,请到您的邮箱查看。
作者: 正魔刃     时间: 2007-1-20 15:27
没有一个杀毒软件软件或防火墙是万能的,就算卡巴斯基那些,杀毒能力有多强的不能完全检测出所有病毒文件。 既然楼主不放心,可以多安装一个杀毒软件辅助一下,微点作最后防线。 微点能与大部分杀毒软件共存,其实也是它的优点和卖点之一。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn