微点交流论坛

标题: 瑞星、微点……进程保护谁最强？ [打印本页]

作者: linovo 时间: 2007-1-17 16:08 标题: 瑞星、微点……进程保护谁最强？

最近看到有一些用户说，微点可以轻易给冰刃杀掉进程（《mp自我保护也不是那么的强啊！》http://bbs.micropoint.com.cn/showthread.asp?tid=5565&fpage=1），冰刃是何方神圣了，不敢相信，眼见为实，下载了冰刃，对费尔防火墙、瑞星、微点等做了一个进程保护测试。
测试环境：windows xp  sp2
冰刃  1.20
瑞星杀毒2007  19.06.20
瑞星防火墙2007  19.06.10
费尔防火墙V7  2007/01/01 日发布版本
微点主动防御软件【测试版  程序版本： 1.2.10564特征版本： 1.4.199.070116更新时间： 2007-01-17 08:46:53】
（瑞星、江民、金山2007正版的杀毒软件我都买了，江民2007有一段时间没装（漏洞多，不稳定，不想用了）、金山2007只在家里有装，所以暂时不对江民、金山的进程保护做测试，有兴趣的人可帮我补上）

   测试中发现用冰刃确实可以轻松把微点的几个进程逐一杀掉。瑞星防火墙的进程保护做得最好，我之前用微点对它进行过测试，跟用冰刃的测试结果一样：就是杀掉rfwmain.exe、.rfwsrv.exe进程，又会自动重新生成一个，无法把瑞星防火墙进程杀死（看来有金刚不败之身^_^，我暂时还找不到能彻底杀死瑞星防火墙的程序）。但不知道为什么，瑞星没把这个技术应用到瑞星杀毒的实时监控里，用冰刃能杀掉瑞星实时监控进程。
   费尔托斯特安全V7的进程保护做得很差，我用金山毒霸系统清理专家就可轻易杀掉它的进程，更不用说什么冰刃、火刃之类。
   微点是驱动级（系统核心层）的安全软件，以服务形式启动，所以权限大，但进程却给冰刃这个只有大约700KB的小程序干掉，让人有老猫烧须的感觉。看了冰刃的帮助文档，说“IceSword使用大量新颖的内核技术”，无须什么驱动编程、重新启动就可把微点这个巨无霸砍下。我觉得微点的研发人员应该把冰刃的工作原理剖析一下。既然冰刃可以杀掉微点的进程，其他一些病毒也可以应用冰刃的原理先把微点干掉，然后再破坏系统。
   通过这次简单的测试，我觉得微点的行为判断还是有不少漏洞，微点的帮助文档有这样的文字：“分布在操作系统的众多探针，动态监视所运行程序调用各种应用编程接口（API）的动作，自动分析程序动作之间的逻辑关系，自动判定程序行为的合法性”。用冰刃杀微点的进程，就相当于把微点的探针干掉，而杀微点其中任何一个进程，应该是属于危险行为了，可是微点程序均没有拦、没报警，任人宰割，似乎各大探针的互动性做得不太好了。我想，微点应该做些改进：
   借鉴瑞星防火墙的做法，发现有程序杀微点进程，允许它杀，但杀完之后，又马上自动重新加载；加强各大探针之间的联动，任何一个探针给杀掉，就应该试图修复，不能修复的向用户报警。杀掉微点一两个进程，微点在任务栏的图标是不会消失的(若杀了mpmon.exe进程，微点任务栏图标的小球会立即停止转动，监控图标随之消失。除了这个进程，逐一杀微点其他进程，那个小球都会一直在转，但已经如同虚设了。)，而这足可以影响微点的监控能力了，图标不退出，用户是不会发觉有异常的，病毒可能会为所欲为了。另外，微点要是全部进程给干掉，想重新打开微点是不可能的，必须重新启动，而瑞星就算你把它所有进程都杀光，还可以重新打开实时监控。

[ Last edited by linovo on 2007-4-9 at 07:56 ]

附件 1: 457.JPG (2007-1-17 16:09, 192.8 K,下载次数： 36)

作者: lfliuy 时间: 2007-1-17 16:43
记得以前的讨论说可以用icesword/任务管理器的界面来结束微点的进程，但不能通过命令行结束。。。

作者: Legend 时间: 2007-1-17 16:59
谢谢楼主的意见及支持，正是您的这些意见及支持使东方微点具有强大的前进动力。微点主动防御软件仍在不断发展与完善的，欢迎您继续做深入的测试使用，提供更多的意见建议，我们都会认真考虑并在后期版本中更新可行的建议的。

作者: yzxiaowu 时间: 2007-1-17 19:24
楼主厉害啊 !

作者: 浪花 时间: 2007-1-17 23:17
佩服！

作者: 国伟 时间: 2007-1-17 23:59
不错，较大的贡献啊……

作者: zqrsc 时间: 2007-1-18 08:57
微点的自我保护可以说极其严密....
楼主的测试走入了自我为中心的误区..
楼主不妨换个思维角度.模拟您在系统入侵..试试看怎么样杀掉微点....
你自己在本机手动杀掉进程的话.何必麻烦冰刃..用任务管理器足以....
试试看在入侵条件下.你怎样来完成系统控制和远程调用冰刃,再来杀试试.

作者: yehuagen 时间: 2007-1-18 11:03
呵呵.版主说对了.在自己机器上用得着这些吗???如果要用这些才能关掉那微点也可以算是病毒了.

作者: yehuagen 时间: 2007-1-18 11:07
瑞星我敢肯定是个大垃圾.随随便便一个病毒就能把它的监控给关了.有时装了之后只能看到鼠标进不了桌面.要用任务管理器结束了explorer.exe进程再开启这个进程才能进入桌面.刚装的系统啊.瑞星2005的弄得我火大了.2006也装过不少机子.总之一句话垃圾一个.

作者: linovo 时间: 2007-1-18 11:10

Quote:

Originally posted by zqrsc at 2007-1-18 08:57:
你自己在本机手动杀掉进程的话.何必麻烦冰刃..用任务管理器足以.. ...

我的测试确实有点极端和苛刻了，微点又不是神……^_^。然而，个人认为，软件特别是安全软件的测试又需要极端，这样可以粗略评估软件性能去到什么程度，便于发现软件的问题和不足。
我之前也早知道，任务管理器可以结束微点的进程，但不能通过命令行结束。微点进程的自我保护在众多杀毒软件当中确实做得十分好。为了增加灵活性，方便用户管理，微点的进程是允许系统任务管理器结束的，应该在软件设计的时候定义允许这样做，而瑞星杀毒、费尔等是不允许用户在任务管理器关闭它们的进程。但我想，微点的开发人员当初应没有想到冰刃居然也能像任务管理器那样，也可轻松结束微点的进程，显然冰刃因为使用了它所说的“新颖的内核技术”，骗过了微点，或者是通过系统底层的操作，微点想拦都拦不了，由此联想，假如一些厉害的病毒制造者也用冰刃的内核技术，并作进一步改良，杀掉微点的进程也不是什么难事了。我一楼的帖子已经说过，微点的进程杀灭能力亦强悍，但却是通过驱动编程，服务启动来使得权限大来实现的，而冰刃无须什么服务启动，就有这么强劲的能力干掉微点、瑞星等的进程。还有，我用微点杀风云防火墙进程（版本：个人版1.23），第一次杀不了，第二次杀掉，但造成微点程序有些故障了，而冰刃对风云防火墙照样轻易就拿下了，说明冰刃作者的编程水平有点道行^_^。
刚才又用冰刃对瑞星防火墙进行测试，发现如果只简单地结束rfwmain.exe、.rfwsrv.exe这两个进程，就算你来回杀好几遍，都是无法彻底杀掉瑞星防火墙的，但若把先把瑞星杀毒全部进程杀掉，再去拿瑞星防火墙开刀，可以彻底干掉瑞星防火墙。另外，发现一个较奇特的现象，就是杀掉全部瑞星的进程，重新开启瑞星的实时监控，打开系统任务管理器，不少进程的颜色变成蓝色,连微点的几个进程都给瑞星影响到，也变成蓝色了。

[ Last edited by linovo on 2007-1-18 at 14:06 ]

附件 1: fgfh.jpg (2007-1-18 11:14, 171.37 K,下载次数： 50)

作者: zqrsc 时间: 2007-1-18 12:28

Quote:

Originally posted by linovo at 2007-1-18 11:10 AM:

我的测试确实有点极端和苛刻了，微点又不是神……^_^。然而，个人认为，软件特别是安全软件的测试又需要极端，这样可以粗略评估软件性能去到什么程度，便于发现软件的问题和不足。
我之前也早知 ...

呵呵`~这里PJF 没有坦白`~`~你用GSS 或相似HIPS 监视就会发现冰刃在启动时先自我释放了两个驱动...不过关闭时又把它删除了..
当然 PJF 的确是把好手`~这点俺很佩服的`~

作者: linovo 时间: 2007-1-18 17:10

Quote:

你用GSS 或相似HIPS 监视就会发现冰刃在启动时先自我释放了两个驱动...不过关闭时又把它删除了

谢谢zqrsc的指点^_^，刚才用冰刃的内核模块查看功能，发现的确有一个Isdrv120.sys的文件，应该就是版主说的其中一个驱动了（如图）。
下午无聊，到网上搜索一下介绍冰刃的资料，看到有一篇文章《冰刃(icesword)VS驱动级隐藏木马(Rootkit)-PcShare》（http://hi.baidu.com/nlsbandw/blo ... f64e600d33faf9.html），摘取其中一段：“既然Rootkit是利用内核和Ring 0配合的欺骗，那么我们同样也能使用可以“越权”的检查程序，绕过API提供的数据，直接从内核领域里读取进程列表，因为所有进程在这里都不可能把自己隐藏，除非它已经不想运行了。也就是说，内核始终拥有最真实的进程列表和主宰权，只要能读取这个原始的进程列表，再和进程API枚举的进程列表对比，便能发现Rootkit进程，由于这类工具也“越权”了，因而对Rootkit进行查杀也就不再是难事，而Rootkit进程一旦被清除，它隐藏自身的措施也就不复存在，内核就能把它“供”出来了，用户会突然发现那个一直“找不到”的Rootkit程序文件已经老实的呆在文件管理器的视图里了。”
按照zqrsc版主所说，冰刃的技术也较厉害，它无须随机启动，只需运行冰刃程序时,临时释放两个驱动，就几乎可获得内核级的控制权，轻松杀别的进程。微点什么时候也可以增加这样的功能——就是无须随机启动，按需打开，便可剿灭内存可疑进程和病毒了，起码能像瑞星杀毒那样，就算全部进程给杀光，也能重新打开实时监控（不过这种情况下的杀毒性能还是否能如正常一样，我就无法测试了）。

[ Last edited by linovo on 2007-1-18 at 17:19 ]

附件 1: 111.jpg (2007-1-18 17:14, 139.35 K,下载次数： 55)

作者: 孤独伴随√ 时间: 2007-1-18 22:59
好长！慢慢看了：）

作者: 小文 时间: 2007-1-19 08:53
真是好呀,没有全看懂.不过明显不错.

作者: behemoth 时间: 2007-1-19 09:32
LZ真的很牛，仔细研究一下。今天拿到序列号，好好用用试试

作者: Legend 时间: 2007-1-19 09:36
非常感谢朋友们对微点的关心与支持，您的意见与支持一直不断鞭策着东方微点不断进步提高。微点主动防御软件目前尚处于测试阶段，仍在不断发展与完善的，欢迎大家继续做深入的测试使用，提供更多的意见建议，我们都会认真考虑并在后期版本中不断完善微点软件。

针对楼主描述的情况，从本意上讲，微点希望可以实现自我防护与用户可管理性的最佳结合，我们在这个方面做了大量的工作，我们力图实现既能保证用户轻松管理微点程序的运行，又可以防止病毒等恶意程序阻断微点的正常运行。我们正在进行相关调整，在后续版本会进一步增强微点主动防御软件的相关功能，请楼主等待版本升级后，继续进行深入测试。

作者: 天涯海客 时间: 2007-1-19 11:35
不错，较大的贡献啊……

作者: wjker 时间: 2007-1-19 11:46
其实这个问题我也发现了,也已经把冰刃发送到邮箱里了!但是一直都没有回复.

我建议微点可以向冰刃作者索取原代码和研究其内核技术,真正做到只有任务管理器可以结束微点进程,而不为其他程序所调用而结束微点.
如若其他特别的程序的确能关掉微点程序,也做到结束后能自动恢复!
微点真正变的超强厉害,可以结束自身及其他任何程序!

[ Last edited by wjker on 2007-1-19 at 12:17 ]

作者: ouster 时间: 2007-1-19 12:03
瑞星真的不行，昨天同事的机器（XP）中了熊猫烧香，瑞星2007（已升级到最新病毒库）就全部被破坏了，半个小时后系统就彻底崩溃了，瑞星几个系列的安全软件全部都无法启动，所有的GHO备份和联想一键还原数据都被破坏了，最后只有光盘克隆了事，重启用江民的专杀工具杀了个天昏地暗才算是搞定。
从去年下半年开始单位上已经有好几个同事都在使用瑞星的过程中发现瑞星实在太容易被破坏了（俺为这个为他们修复系统都烦死了），结果几个同事都换成金山、诺顿等其他防火墙了。
注：其它杀毒软件的粉丝就不用来砸砖了，瑞星给我工作上带来了很多麻烦，心中的怨气不吐不快。

作者: Legend 时间: 2007-1-19 14:50
“另外，微点要是全部进程给干掉，想重新打开微点是不可能的，必须重新启动，而瑞星就算你把它所有进程都杀光，还可以重新打开实时监控。”

——在微点被关闭的情况下，您可以通过双击桌面快捷方式、点击开始菜单、在服务管理器启动微点服务等多种方式方便快捷地启动微点软件，无需重新启动计算机。

“我用微点杀风云防火墙进程（版本：个人版1.23），第一次杀不了，第二次杀掉，但造成微点程序有些故障了”
——请楼主描述一下具体的故障现象，以及微点版本、windows版本，我们需要模拟您的环境具体测试一下。

“微点什么时候也可以增加这样的功能——就是无须随机启动，按需打开，便可剿灭内存可疑进程和病毒了”
——微点主动防御软件使用动态反病毒专家系统来分析鉴别病毒行为，微点开机自启动其目的主要是给动态反病毒专家系统进行提供足够的系统运行信息，微点开机自启动对于动态反病毒专家系统的准确判断非常重要。而不是楼主提到的获取权限的问题。在此，我们建议所有安装使用微点主动防御软件的朋友们都不要随意改动微点的启动方式。

[ Last edited by Legend on 2007-1-19 at 14:51 ]

作者: zhongxue 时间: 2007-1-19 14:51
希望微点更强大！

作者: y20051980 时间: 2007-1-19 14:59
搂住强人一个，呵呵。。。。。。。。

作者: huangqingke 时间: 2007-1-19 21:41
不错，较大的贡献啊……

作者: linovo 时间: 2007-1-20 08:09

Quote:

“我用微点杀风云防火墙进程（版本：个人版1.23），第一次杀不了，第二次杀掉，但造成微点程序有些故障了”
——请楼主描述一下具体的故障现象，以及微点版本、windows版本，我们需要模拟您的环境具体测试一下。

故障就是用微点关闭风云后，网络接不通了（必须重启才能恢复），我用的是ADSL宽带上网，点微点标题栏的关闭按钮会无响应，点击微点其他地方也没响应，但过一段时间会恢复，紧接着用任务管理器去杀微点进程，提示无法完成操作，拒绝访问（如图2），但过一段时间恢复正常，可以正常结束微点进程。我刚才又用微点结束风云的进程，可以成功结束风云的进程，但微点却提示无法结束该进程，而风云的进程确实被微点杀掉了，也出现了上述故障。奇怪的是，微点正常结束进程后，该进程会变成绿色的亮度条，并且显示已退出，但结束风云却没有出现(如图3)。我是同时打开风云防火墙、瑞星杀毒、瑞星防火墙、微点，然后进行测试的。微点的版本就是【测试版程序版本： 1.2.10564特征版本： 1.4.199.070116更新时间： 2007-01-17 08:46:53】，操作系统版本：windows xp sp2_rtm.040803-2158, IE 版本：7.0.5730.11 中文版
这张帖子，本来昨天下午己经写好了，正要粘贴，但在用微点结束风云防火墙后，不知道什么时候网络已接不通，还以为是路由器问题，今天早上再测试，尝试重启，发现是因为测试而引起了系统故障，导致上不了网。

[ Last edited by linovo on 2007-4-8 at 17:57 ]

附件 1: 图3.jpg (2007-1-20 08:09, 163.27 K,下载次数： 56)

作者: Legend 时间: 2007-1-20 09:41
我们测试您24楼所说的用任务管理器或冰刃结束所有微点进程，是可以通过双击桌面快捷方式、点击开始菜单、在服务管理器启动微点服务等多种方式方便快捷地启动微点软件的。

关于您那里出现的情况，请您具体描述一下您的软件环境，其他安全软件版本、是否安装比较特别的应用软件？方便的话，请您从微点官方网站http://www.micropoint.com.cn 下载微点最新安装包重新安装一下，看看是否可以解决？

风云防火墙的情况，我们会模拟环境进行测试。

非常感谢您对微点的支持，正是大家对微点的不断鞭策，敦促着微点不断提高，希望您继续对微点进行深入测试使用。

作者: weizg 时间: 2007-1-20 12:04
希望微点可以做好自我保护。不是正常结束下，该自己动重起

我支持楼主这个观点

作者: lin1437 时间: 2007-1-20 12:16
我正在一步一步通过看别人的文章学习安全知识
希望以后也能为这个软件的发展作出贡献

作者: 正魔刃 时间: 2007-1-20 15:10

Quote:

Originally posted by zqrsc at 2007-1-18 08:57:
微点的自我保护可以说极其严密....
楼主的测试走入了自我为中心的误区..
楼主不妨换个思维角度.模拟您在系统入侵..试试看怎么样杀掉微点....
你自己在本机手动杀掉进程的话.何必麻烦冰刃..用任务管理器足以.. ...

很有道理，确实是这回事。

谁专业我也不会说，说瑞星自己保护强，安全这方面，我可打个问号。瑞星之前我也用过，结果连瑞星自己的文件也感染了病毒。

作者: linovo 时间: 2007-1-20 16:23

Quote:

关于您那里出现的情况，请您具体描述一下您的软件环境，其他安全软件版本、是否安装比较特别的应用软件？方便的话，请您从微点官方网站http://www.micropoint.com.cn 下载微点最新安装包重新安装一下，看看是否可以解决？

这几天工作较忙，可能没时间试了，但有空我会抽时间进行进一步测试的。
把一些建议也在这里一起提：
1、在微点的主界面——系统进程综合信息那一栏，建议增加双击进程定位到文件夹的功能，类似于系统自启动信息那样，双击定位到注册表。虽然点鼠标右键菜单的查找目标可以定位到文件夹，但比不上双击定位方便、快捷。另外，建议在右键菜单增加调用google或百度搜索进程名的功能
2、直接恢复被微点隔离的病毒或可疑文件是有危险的，建议对隔离病毒还原时增加压缩打包导出功能（可考虑增加加密功能），便于用户上报病毒，而不是直接恢复到原来文件夹。有时候恢复，要么又给杀毒软件删掉，要么是感染系统。压缩打包隔离文件可避免此情况。
3、在微点主程序界面增加对蓝屏信息记录开启和一键打包功能，发现不少用户都不知道如何寻找蓝屏文件和如何开启（以前看过Legend版主的说明，但现在又忘光了:D:P），微点直接集成该功能可方便初级用户。
4、建议微点把病毒日志、木马日志、蠕虫日志全部合并为病毒日志。木马、蠕虫都是电脑病毒的一个子集，我觉得没必要分得这么细，分得太细，管理麻烦，让初级用户也搞糊涂了。
5、微点的日志记录功能可以方便技术人员进行分析，但必须要求用户一直打开微点的实时监控，关闭微点或者不让微点随机启动是不能记录日志的。建议微点增加System Repair Engineer 2.3的智能扫描功能，弥补这方面的不足.System Repair Engineer的智能扫描功能非常强大，有许多有优点值得借鉴，跟微点相比，似乎各有所长。另外，建议增加对导出日志中的可疑项目高亮度显示，便于更容易发现问题所在。
6、微点的注册表变更日志、程序生成日志有点像完美卸载（该软件我好久没用过了^_^）的安装监视功能，完美卸载在安装时会生成软件安装时对系统所作的更改，然后卸载时调用该记录，进行完美卸载。建议微点参考一下，增加个较简单的状态还原回滚功能（有用户已提过类似建议了），我觉得有此功能，对上网中毒、或者无意中了恶意软件，就可以通过还原彻底清除残余文件。微软的系统还原必须重启，自己觉得重启太麻烦。也就是说，在现在的日志记录基础上增加个逆向工程。
7、今天发现冰刃还有一个厉害功能——就是禁止进线程创建（如图）。打开该功能后，你想打开程序或者安装软件都是徒劳的，我觉得此功能十分实用。建议在此基础上增加进程黑名单，这样比冰刃直接禁止所有进线程创建灵活些。我发现有些厉害的病毒，就算杀掉，它还会重新加载，但有时不想把它的文件删掉（留一个作种^_^），把它加到进程黑名单可让抑制它的加载，不让发作了。
另外开启“禁止进线程创建”功能后，结束瑞星防火墙其中一个进程能抑制瑞星的进程修复，可是一旦取消禁止，瑞星进程居然又会“复活”——显然瑞星测试员做了极端测试，考虑这种复杂条件下的如何实行进程修复。

Quote:

Originally posted by ouster at 2007-1-19 12:03:
从去年下半年开始单位上已经有好几个同事都在使用瑞星的过程中发现瑞星实在太容易被破坏了（俺为这个为他们修复系统都烦死了），结果几个同事都换成金山、诺顿等其他防火墙了。

我暂时没中过熊猫烧香和其他能结束瑞星的病毒，那只熊猫之所以能杀瑞星防火墙的进程，根据我上面的测试和推断应该是先全部结束瑞星杀毒的进程，然后杀瑞星的防火墙，否则应该杀不了瑞星防火墙。

[ Last edited by linovo on 2007-1-20 at 16:32 ]

附件 1: 123a.jpg (2007-1-20 16:29, 131.17 K,下载次数： 38)

作者: linovo 时间: 2007-1-20 17:01

Quote:

说瑞星自己保护强，安全这方面，我可打个问号。瑞星之前我也用过，结果连瑞星自己的文件也感染了病毒。

有一句话说：“江山代有人才出，各领风骚只一时！”用在反病毒领域也挺贴切。病毒与反病毒永远是你追我赶的，没有谁是永远的胜利者，这里没有最后的赢家，道高一尺，魔高一丈。这一天你推出一项很厉害的反病毒技术，说不定过不了几天就会给人破掉了……保护技术给人破解只是时间长短而已。

[ Last edited by linovo on 2007-1-20 at 17:05 ]

作者: flo 时间: 2007-1-20 17:26
IceSword当然有驱动，核心部分都在内核工作。
能够把微点终止掉也是很正常的事情（IceSword用的是PspTerminateProcess，目前终止进程最好的方法）。虽然微点也有驱动，涂改了SDT因而可以对付用户态下所有的终止进程方法，但是IceSword在内核嘛，也是没办法的。
瑞星的话，我记得它好像是在Winlogon.exe里插入了一个线程，不断检查自己有没有被干掉，如果被干掉就重新启动。要把那个线程结束掉才算彻底关闭瑞星。
其实从可靠性上来讲还是微点的比较高，毕竟不管多么频繁地检查自己有没有被干掉，你总是有一个空当是完全没有防御的。
而且对于微点而言，在病毒没有进入内核之前微点理应在用户态阻止病毒（如果病毒进入了内核，根本不需要像IceSword那么麻烦）。

[ Last edited by flo on 2007-1-20 at 17:30 ]

作者: linovo 时间: 2007-1-20 17:37
反黑版主说得好，“这位flo是高手，不是一般的高手！”（http://bbs.micropoint.com.cn/sho ... ghlight=&page=2）flo的发言果然不同凡响^_^，相比而言，自己连小兵小卒都够不上啦。
我把反黑版主的话改一下：flo是高手，而且是一流高手！

作者: Legend 时间: 2007-1-20 18:32
1.您可以在进程综合信息中右键选择查找目标；目前在右侧程序说明窗口双击时会出现该进程的状态显示；关于右键搜索谢谢您的建议，我们会认真考虑的。
2.微点软件的有害程序隔离区是经过特殊格式加密的，不会再对系统构成危害，关于另存直接打包加密功能，谢谢您的建议，我们会认真考虑的。
3.关于蓝屏文件的设置，微点主动防御软件目前处于测试阶段，需要广大用户及网友反馈问题及信息，在大家的共同努力下，微点已经逐步走向成熟，这种冲突的现象在后期版本会逐渐减少，同样谢谢您的建议，我们会认真考虑的。
4.关于微点的日志分类问题，是依据有害程序本身的特点划分的，方便用户具体查看情况，共同属于安全日志分类。
5.关于日志扫描功能，请查看微点的系统自启动信息及进程综合信息，所有随系统启动的程序及系统正在运行进程及调用模块信息都可以查看到，所有在微点日志中程序说明为其他软件的信息都视为可疑文件，且是高亮显示的，您也可以点击程序说明排序查看。
6.注册表还原的建议，我们会认真考虑的。
7.禁止进/线程创建功能，如果是有害程序微点通过动态仿真反病毒专家系统会及时拦截并报警的。如果是正常程序的安装与卸载微点是随时监控的。您所说的“厉害的病毒”按照微点的工作机理也是可以正常防御并追踪源头的。如果您发现这种情况的程序微点没有拦截可以发到virus@micropoint.com.cn我们会具体测试分析。

谢谢您的建议与支持，欢迎您继续做深入的测试使用。有了广大用户与网友的支持与建议，微点主动防御软件会逐步的完善，主动防御技术会更好的得到发展的。

作者: beyuetao 时间: 2007-1-23 20:46
终于看完了整个帖子
楼主是牛人，flo也是牛人。佩服了

看来看去觉得楼主贡献真的很大，也觉得微点自身防护做的真的很不错了。
真的是佩服啊

作者: Paxson 时间: 2007-1-23 21:01
flo 和 linovo 都比较强哈哈

作者: 天堂2 时间: 2007-1-23 22:11
hehe 呵呵，我也来发表下我的看法，我对技术不懂，但我想说的是逻辑上的东西：瑞星不管怎么说他的进程还是被冰忍给关了吧，我认为一个杀毒软件的进程能被病毒关掉就是失败，真正强的杀毒软件不是用来被关的，即使关了他能自我重生，可以说这个是画蛇添足，因为它对病毒没有制约作用，这样开着也是多余，到不如被关掉的好，至少知道他是被关掉的，从而让用户知道有病毒。所以我觉得微点不是考虑被病毒关了再自我重生，而是考虑怎么样在被关掉前先把它给关了，这才是最最重要的。用户需要的不是一个只会重生的杀毒软件，而是一个能防的住毒的软件。

作者: jlbswjk 时间: 2007-1-24 10:13
再强的防御也会有漏洞。希望微点能做的更完美些吧！

作者: Legend 时间: 2007-1-30 13:29
对于linovo楼主提到的非正常方式关闭风云防火墙进程从而引起一系列的网络问题，经分析属于一种正常的故障。

因为防火墙程序属于特殊程序，用非正常手段结束防火墙进程，防火墙未来得及通知相关网络驱动进行网络方面的善后处理，有时就会出现网络方面的故障。对此建议大家退出防火墙时使用防火墙自带的退出功能，这样就可以彻底避免问题的产生。

作者: linovo 时间: 2007-1-30 14:57
在此对自己以前提的一个观点进行纠正：把微点所有进程全部杀光可以重新打开微点，我之前不行，自己下载最新版测试，发现是自己系统的问题，可能用超级兔子进行系统清理，把微点注册表项目或者文件破坏了。
不知大家有没有留意，微点已经对进程保护作了进一步的完善，改进速度超级快，今天早上刚刚想把微点升级到最新版，然后对进程进行测试，在重启前，我又多手多脚装了个OutpostPro（下载地址http://www.agnitum.com/download/OutpostProInstall.exe）忘记此软件跟微点有严重冲突的真理^_^，装完再重启，已经入不了系统，只好用ghost还原，微点跟outpost的冲突怎么至今还没解决？

[ Last edited by linovo on 2007-4-8 at 17:59 ]

作者: Legend 时间: 2007-1-30 15:10
由于Outpost防火墙与所有防火墙冲突，微点软件自身集成了防火墙模块所以与其冲突。欢迎您继续做深入的测试使用。

作者: 两可 时间: 2007-1-30 15:30

Quote:

Originally posted by zqrsc at 2007-1-18 08:57 AM:
微点的自我保护可以说极其严密....
楼主的测试走入了自我为中心的误区..
楼主不妨换个思维角度.模拟您在系统入侵..试试看怎么样杀掉微点....
你自己在本机手动杀掉进程的话.何必麻烦冰刃..用任务管理器足以.. ...

斑竹知道有类似灰鸽子这样的远程控制程序么,完全可以用管理器结束进程,楼主的发现是有道理的,没有走入自我为中心,是斑竹没有想到~~

作者: xiaoxiaomail 时间: 2007-1-30 15:31
问一下，为什么10楼的MPSVC2.exe要占用20M的内存呀，我的每次查看只要10M的呀，强烈不解中，，有懂这方面的帮忙解释下，先谢过了。。。

作者: Legend 时间: 2007-1-30 15:48

Quote:

Originally posted by 两可 at 2007-1-30 15:30:

斑竹知道有类似灰鸽子这样的远程控制程序么,完全可以用管理器结束进程,楼主的发现是有道理的,没有走入自我为中心,是斑竹没有想到~~

微点主动防御软件可以有效防御灰鸽子病毒程序，如果您发现此类样本可以发到virus@micropoint.com.cn我们会具体测试分析，欢迎您做深入的测试使用。

作者: 正魔刃 时间: 2007-1-30 15:56

Quote:

Originally posted by xiaoxiaomail at 2007-1-30 15:31:
问一下，为什么10楼的MPSVC2.exe要占用20M的内存呀，我的每次查看只要10M的呀，强烈不解中，，有懂这方面的帮忙解释下，先谢过了。。。

我每次查看MPSVC2.exe才占8.1～8.5左右，是不是运行的软件太多造成的。

作者: xiaoxiaomail 时间: 2007-1-30 16:08
不解呀，，我刚才看了一下，大约也是楼上的水平吧，为什么10楼的要占用那么多呢，晕，，

作者: xiaoxiaomail 时间: 2007-1-30 16:19
现在对内存占用比较感兴趣了，不知道诸位知道哪个电脑技术论比较好，想去逛逛呀

作者: xiaoxiaomail 时间: 2007-1-30 16:22
你是说，是微点的程序优化了呀，呵

作者: linovo 时间: 2007-1-30 17:29
我刚才又对微点进程保护做了一个测试。
微点版本：
微点主动防御软件测试版
程序版本： 1.2.10569.0019
特征版本： 1.4.207.070129
更新时间： 2007-01-26 9:48:43
1、如果用任务管理杀MPMON.exe，微点允许你杀，但若继续想杀MPSVC2.EXE,一杀，MPMON.exe这个进程会立即复活，而且MPSVC2.EXE也杀不了，也重生了:D。
2、如果一开始就想杀MPSVC2.EXE，杀了又会有——阴魂不散^_^——对病毒来说是一个恶梦^_^。
微点这次经过改善后，有了不少进步，但我发现还有一些问题：
一、微点它允许用户杀MPMON.exe，但就算微点其它进程能保留，可是微点的防毒体系已经崩溃，不能杀毒。我用病毒做了一个测试，激活病毒，微点留下来的进程没有丝毫反映。
二、假如一开始就杀MPSVC1.EXE或者MPSVC.EXE，可以杀掉，然后再杀微点其他进程，能把微点全部杀光，没有复活现象。
以上两点说明微点设计时留有一个后门（可能为了便于用户管理，留有余地？），虽然病毒作者要利用，水平必须非常高，但不排除这个可能。

微点进程保护重要性不同于传统的特征码杀毒软件，因为新病毒要过特征码防御很容易，可能无须杀实时防护进程就能达到破坏的目的，但微点是根据行为判断，通过把已知病毒的破坏行为进行进行列举，就算病毒加壳或者用其他欺骗手段改变特征码，然而只要行为不变，无论怎样变脸，微点一般都可以杀。病毒要过微点，难度较大，它需新的行为——擒贼先擒王，杀微点进程，可以为后面的破坏扫平了道路。

病毒要杀微点进程，有几种办法：
1、象冰刃这样，工作在内核，然后跑去杀微点，让微点防不胜防^_^。
2、找到一个微点的进程保护漏洞，通过漏洞轻易杀掉微点。
3、我测试发现，用类似金山文件粉碎的原理，对微点文件夹进行狂轰滥炸（粉碎一次或两次），可以破坏微点文件的完整性，不重启前，微点的实时保护还有效，因为文件已加载到内存，原文件就算已破坏，也不会影响，但重启后，微点就不能正常运行了——实时防护加载不了。
匆匆写了几句，还来不及认真检查，说错了，请大家多多指正^_^！！

[ Last edited by linovo on 2007-1-30 at 17:32 ]

作者: Legend 时间: 2007-1-30 17:48
您可以看下微点的安全日志中是否已经处理，如果没有处理请把您的样本发到virus@micropoint.com.cn我们具体测试分析下

作者: 时尚女孩 时间: 2007-1-30 23:49
是中什么病毒啊

作者: 八闽汀江子 时间: 2007-1-31 01:01
总觉得用手工杀进程与病毒程序杀进程好象是两回事？！

作者: olddxg 时间: 2007-2-1 08:34
刚刚用微点五个小时。
对于任务管理器杀掉微点进程有些不解。
还是希望关闭这项功能，总觉得有些不安全。

作者: Legend 时间: 2007-2-1 09:10
微点主动防御软件自身有很好的保护不会被其他程序所关闭，除非系统自身，即使其他程序调用系统命令也不可以。

作者: linovo 时间: 2007-2-1 10:12

Quote:

Originally posted by Legend at 2007-1-30 17:48:
您可以看下微点的安全日志中是否已经处理，如果没有处理请把您的样本发到virus@micropoint.com.cn我们具体测试分析下

我在打开微点关闭瑞星实时监控下作测试，在关闭MPMON.exe后，把病毒激活，微点并没有处理，日志没记录，病毒是接着打开瑞星监控才给瑞星杀掉的，过几天有空我再详细测试一下，并把图片补上。我测试的样本属于老病毒（微点肯定有，不用我发了），正常情况下微点绝对能杀，但在干掉MPMON.exe后，微点就杀不了，我不知道微点几大进程各自有什么用，但这个MPMON.exe应该跟杀毒功能关系不大。

作者: 八闽汀江子 时间: 2007-2-1 10:13
“微点主动防御软件自身有很好的保护不会被其他程序所关闭，除非系统自身，即使其他程序调用系统命令也不可以。”
俺觉得超版以上的说明很能说明微点的进程保护了。如果硬要以系统管理员的人的身份关闭微点的某些进程，那么谁也没有办法了，因为电脑是人的，不是微点的。建议加个微点管理密码，这个个人觉得有必要。

[ Last edited by 八闽汀江子 on 2007-2-1 at 10:25 ]

作者: 八闽汀江子 时间: 2007-2-1 10:30
用电脑的人可能很多，但是管理电脑的就那几个人，为了防止不熟悉微点的人修改微点的设置，加个管理员密码，这样就可以基本防止微点的防御被人为破坏。

作者: Legend 时间: 2007-2-1 10:41

Quote:

Originally posted by linovo at 2007-2-1 10:12:

我在打开微点关闭瑞星实时监控下作测试，在关闭MPMON.exe后，把病毒激活，微点并没有处理，日志没记录，病毒是接着打开瑞星监控才给瑞星杀掉的，过几天有空我再详细测试一下，并把图片补上。我测试的样本属于老 ...

方便的话请把您的样本发到virus@micropoint.com.cn我们具体测试下

作者: flykey 时间: 2007-2-1 10:59
哇
看高手谈这个增加不少知识

作者: minwei 时间: 2007-2-1 14:26
Winpooch可以结束Icesword。。。
Icesword也可以结束Winpooch。。。

两者可以确保相互摧毁。。。无语！

你去试试多一些HIPS的软件看看！

作者: faintzw 时间: 2007-2-2 03:33
我想请问楼上的各位朋友：
taskkill/ntsd -c q -p是否可以杀掉微点？在任意一种编程语言里调用某进程都不难吧？TerminateProcess、发送WM_CLOSE消息什么的是否可以？调API也很容易吧？

系统现在不太稳定，没有机会测试，请知道的解答一下，谢谢

作者: 66653202 时间: 2007-2-2 14:08
学习了，感谢楼主.

作者: ohmygod 时间: 2007-2-3 01:55 标题: 远程控制属于入侵行为

Quote:

....您在系统入侵..试试看怎么样杀掉微点....

这句话你不懂么???

远程控制属于入侵行为..已经被防御..

如何再打开任务管理器.消灭进程??

不知道你中文不好,还是我不好....

:P:P

作者: cnhakkas 时间: 2007-2-3 02:40

Quote:

Originally posted by Legend at 2007-1-19 09:36:
非常感谢朋友们对微点的关心与支持，您的意见与支持一直不断鞭策着东方微点不断进步提高。微点主动防御软件目前尚处于测试阶段，仍在不断发展与完善的，欢迎大家继续做深入的测试使用，提供更多的意见建议，我们都 ...

正是有了您这样的潜心者，才能让人看到成功的希望所在

作者: good4buddy 时间: 2007-2-3 09:24
看完了文章，也學習了一些，相信有這樣的互動，微點會更強大的！

作者: weiyi8183 时间: 2007-2-3 10:56
瑞星跟微点根本没法比的

作者: 天涯海客 时间: 2007-2-3 11:01
呵呵.版主说对了.在自己机器上用得着这些吗???如果要用这些才能关掉那微点也可以算是病毒了

作者: fourers 时间: 2007-2-3 13:27
楼主厉害!!!加油!!

作者: zxy06 时间: 2007-2-3 14:36
看见高手过招真是过隐

作者: linovo 时间: 2007-2-3 17:28
一直久闻卡巴的进程保护做得很到家^_^，但自己以前在家里一直轮流用国产三大杀毒软件，为了避免冲突、减少麻烦，加上电脑配置不高，没有试用卡巴。昨天为了便于验证自己一些想法，专门搭建了一个虚拟系统，装上卡巴（最新正式版kis6.0.2.614），用冰刃也对卡巴做了一下测试。发现卡巴进程早就有进程复活功能了，图片不再贴上来了，跟瑞星防火墙和现在最新版的微点差不多。

建议微点作如下改进：
   1.对几大进程做进一步整合，把4个进程合并成2－3个，因为可能的后门越多，越容易给病毒利用，要想强化微点几大进程的互动，做到互相监控，进程数量多，相互监控会疲于奔命，也占用更多系统资源。卡巴6.0的功能非常多，亦很强大，但进程只有2个，就算打开主界面也是2个，微点如果打开主界面会有5个——太多了。还有，我推断，要攻破微点构筑的防御体系，不一定非要杀微点的进程，微点几大进程要正常运转，需要进程间的通信，例如，网络防火墙设置不当，会使得微点不能正常工作。那么病毒它也可以像网络防火墙那样，使用驱动编程，在底层把微点部分甚至全部进程间的通信拦截或者干扰，是否就能击溃微点的防御？
   2.微点现在有进程启动日志，会把随机启动的程序何时启动退出作记录。我建议在此基础上增加对微点进程加载、退出记录——微点进程何时给哪个程序关闭都记录下来，便于用户、技术员分析问题所在。另外，微点任何一个进程退出均应该向用户提示，便于用户及时发现系统异常。除了任务管理器等系统进程结束微点外，其他程序杀微点均应该定义为可疑的风险程序，并向用户报警。
   卡巴的自我保护确实做得不错，有程序尝试访问它的进程，会马上报警，以防止自己被病毒关闭和注入。
例如：

Quote:

进程(PID 4560)尝试访问卡巴安全套装6.0进程(PID 3368), 已被自我保护功能阻止。

3.在我打开卡巴实时监控时，运行冰刃，卡巴有不少提示，例如释放驱动获取对系统完全访问、修改注册表等动作，可以说有病毒特征，卡巴在这方面记录得很仔细，但微点却没有任何反应。我个人认为，虽然提示多会让新手觉得恐慌，然而鱼和熊掌永远不可兼得，什么都报总比一点反应没有强些。

4.再次强烈建议微点增加进程黑名单功能。我之前有这样一个建议

Quote:

7.今天发现冰刃还有一个厉害功能——就是禁止进线程创建（如图）。打开该功能后，你想打开程序或者安装软件都是徒劳的，我觉得此功能十分实用。建议在此基础上增加进程黑名单，这样比冰刃直接禁止所有进线程创建灵活些。我发现有些厉害的病毒，就算杀掉，它还会重新加载，但有时不想把它的文件删掉（留一个作种^_^），把它加到进程黑名单可让抑制它的加载，不让发作了。

版主的答复是

Quote:

Originally posted by Legend at 2007-1-20 18:32:
7.禁止进/线程创建功能，如果是有害程序微点通过动态仿真反病毒专家系统会及时拦截并报警的。如果是正常程序的安装与卸载微点是随时监控的。您所说的“厉害的病毒”按照微点的工作机理也是可以正常防御并追踪源头的。如果您发现这种情况的程序微点没有拦截可以发到virus@micropoint.com.cn我们会具体测试分析。

动态仿真反病毒专家系统要有效，它的前提是可以识别的未知病毒，不排除（而且肯定有）一些未知病毒微点不能识别，而且感染了很多文件夹，用户把它的进程关了，没多久又加载，如果有手动添加进程黑名单功能就可以调动用户的主观能动性，尽可能禁止此类病毒发作。
昨天家里的电脑中了毒，病毒文件名是pif.exe（病毒样本已发给微点了），系统装了毒霸2007，升级到最新版，毒霸识别不了，微点可以识别为未知木马，卡巴能准确报出病毒名，费尔扫描不出来，但运行时发现它有危险并报警。简单得出一个小结论——有主动防御跟没有确实不一样^_^。
在正常情况下，双击pif.exe微点可以报未知木马如图，但在我用任务管理器把微点的MPMON.exe关闭后，再激活病毒，微点的日志记录继续有效，会把病毒生成的文件记录下来，但防御体系确实崩溃，不能杀毒了。

[ Last edited by linovo on 2007-2-7 at 15:46 ]

附件 1: bingren.jpg (2007-2-3 17:31, 46.22 K,下载次数： 61)

附件 2: bing.jpg (2007-2-3 17:32, 97.17 K,下载次数： 42)

附件 3: bin.jpg (2007-2-3 17:32, 27.54 K,下载次数： 29)

附件 4: rizhi.jpg (2007-2-3 17:32, 15.54 K,下载次数： 60)

附件 5: muma.jpg (2007-2-3 17:38, 35.07 K,下载次数： 56)

作者: Legend 时间: 2007-2-3 18:15
微点主动防御软件是一套复杂的逻辑判断，通过动态仿真反病毒专家系统依据程序行为识别规则知识库自动分析判断病毒程序，并不是依据单一的动作判断，所以不会每个动作都提示用户操作，东方微点研发微点主动防御软件的宗旨，是为计算机系统提供更安全的防护能力，同时尽可能地提高其易用性。
谢谢您的建议与支持，我们会收录您的建议并认真考虑的，关于那个病毒样本我们会具体测试分析，您所说的手动结束mpmon.exe进程正常情况下微点同样会对病毒处理成功的，我们也会按照您的描述具体测试的。

作者: FoxWoods 时间: 2007-2-3 20:03
在太平洋电脑网见到了关于微点的介绍，下载了试一试。

作者: sunqiao26 时间: 2007-2-3 22:05
看了一两页的帖子，有的看不明白，不过我感觉Micropoint有大家这样的支持一定会成功的！
我从今天开始也加入到MP的行列！

作者: 蓝色寒冰+ 时间: 2007-2-4 08:17
其实，在病毒面前，所有的软件全部都被干掉，这个就算要研究，我想不如研究一下如何被API函数干掉还更加有利啦，对不?

作者: 两可 时间: 2007-2-4 15:08
楼上的有点道理~~我一直觉得保护进程很重要,包括认为的关闭,至少通过一般工具不能关闭,除非通过正常途径关闭,比如,软件本身的退出选乡,当然这个退出选乡可以加上密码保护,这样免去了别人恶意操作退出~~

作者: huchi1 时间: 2007-2-6 14:01
眼睛好痛,终于看完了,

80%以上是第一次听说,真是长见识了

作者: newgnay 时间: 2007-2-7 14:19
呵呵,大名鼎鼎的冰刃（IceSword,简称IS)在业界是相当有名的反rootkit软件，即使在世界上，按照它的反rootkit能力，也可以进入前三（不信你可以搜索一下IceSword)，国外很多编写黑客程序的人都以自己的程序能绕过冰刃的检测，或者能够保护自己不被冰刃结束为目标. 冰刃的作者是ＵＳＴＣ的PJF，我也是前一阵子才发现这个软件，之后我仔细看过关于冰刃的网上资料，由于冰刃的反调试功能做得超好，基本没有人能完成对冰刃的调试，因此对冰刃的破解只能依靠猜测，尚未看到能够从原理上绕过冰刃的检测的软件.
冰刃依靠的是内核级编程，以及更底层的直接磁盘访问（甚至不必发ＩＲＰ），为了获得内核权限，冰刃的确是要加载驱动的（只是采用动态技术，自身先释放一个驱动，立即加载，然后删除这个驱动），所以有人说冰刃不加载驱动是不对的，而且，PJF也说过，由于冰刃没有抢先启动，因此病毒可以用阻止冰刃加载驱动的方法来阻止冰刃的运行．楼上有人的说的通过hook ntoskrnl.exe的方法来绕过冰刃，其实这种方法早就失效了（好像是对1.16以后的冰刃版本就失效）．
　　我觉得PJF对内核的了解的确相当深入，冰刃的确有值得微点，包括所有杀毒软件借鉴的地方，比如冰刃强大的反调试功能，自我保护能力（我看到前面有人说某某程序能够结束冰刃，我没有试过，但我想说一句：缺省状态下，冰刃的自我保护能力只是中等；如果你想测试冰刃的自我保护能力，应该使用 icesword.exe /c 这样的语法来启动冰刃，这时冰刃的自我保护才是最强的），以及底层的磁盘访问功能（能强制删除文件和文件夹，即使这个文件还在运行！，Windows的文件保护机制在冰刃面前无效），而好多杀毒软件（包括卡巴在内）经常报告"***文件无法删除，无法隔离,***"之类的话（常见的原因无非是两种，一是病毒程序正在运行，二是Windows的文件保护机制），不知它们是不想（还是不能）使用更底层的直接磁盘访问．
　　我刚装上微点，把金山毒霸卸了，现在用着一切正常，希望有机会试试微点的清除病毒的能力. 呵呵，反正对市面上的杀软比较失望，希望微点脱颖而出．

作者: linovo 时间: 2007-2-7 15:33
哇，newgnay看来也是位高手啊^_^……
首先感谢大家，特别是要感谢flo、newgnay几位高手帮我顶主题了^_^，有高手的发言，让这个主题蓬筚生辉啊^_^
个人觉得看flo、newgnay这些高手的发言，受益匪浅……呵呵^_^，

[ Last edited by linovo on 2007-3-7 at 11:13 ]

作者: newgnay 时间: 2007-2-7 16:44
楼上的过奖了,我是学物理的,基本上只了解大概原理,其中的细节都不清楚.

作者: hanly 时间: 2007-2-8 22:34
路过看看

作者: yuyong 时间: 2007-2-9 21:49
楼主厉害啊 !

作者: lailai1 时间: 2007-2-10 01:39
都是高手啊！学习了！

作者: linovo 时间: 2007-3-7 11:17
今天发现一个挂了病毒的网页，该病毒十分厉害，能一转眼便把微点的实时监控关闭，它是通过把MPMon.exe进程干掉而达到击溃微点防御体系的目的，并且此病毒不断尝试杀瑞星防火墙的进程，瑞星进程保护这次还能经得起考验，没被击破，杀瑞星进程，杀了又重生，从截图可以看到任务栏的托盘有三个瑞星防火墙图标，就是进程保护在起作用了。
这次中毒经历验证了我一个想法，就是无须把微点所有进程干掉，只需杀MPMon.exe，就算微点其余进程能活下来，微点的防御体系已经崩溃了。
此次还让我发现微点一个问题：第一次访问该挂毒网页，病毒会中在用户电脑里并运行，在微点进程查看窗口的其他进程里出现该病毒，微点识别不了，奇怪的是，我把该病毒进程杀掉，提取出来压缩上报给微点后，在压缩包里把病毒激活，微点能识别为未知间谍，这种情况下，微点应该已经即时提取了该病毒的特征码，并更新了本地特征库，但我在打开微点实时监控的情况下，再次访问挂毒网页，微点还是让病毒成功运行，当然，微点照例还是给关闭了，也就是说，微点虽然更新了本地未知病毒特征库了，仍未能杀此病毒，这应该是微点的一个漏洞。

[ Last edited by linovo on 2007-3-7 at 11:25 ]

附件 1: 22.jpg (2007-3-7 11:18, 81.38 K,下载次数： 31)

附件 2: 11.jpg (2007-3-7 11:17, 134.96 K,下载次数： 74)

作者: linovo 时间: 2007-3-7 11:18
把最近萌生的几条建议一起向微点提了：
1、许多用户都提到，微点发现病毒时，询问用户是否删除，其实微点是把病毒隔离了。微点“删除”这种说法确实不太严谨，瑞星、金山、江民划分比较细，好像有清除、删除、隔离。微点应该把处理病毒的方式定义得更严格、科学一些。
2、微点截获未知病毒有“自动传送和智能询问处理”功能，我一直怀疑微点这个功能不完善、有漏洞。理由就是我把截获未知病毒样本设置成智能询问后，进行病毒测试时，很多病毒微点都报未知（遇到这种情况大概有20次了），但只有两次询问我是否传送，数量似乎少了一点。我觉得费尔V7的病毒上报比微点设计得好一些，传送时会弹出传送界面，有进度条显示，而微点比较粗糙，传送是否成功、传送进度、上报者的联系方式等都没有，建议改进。还有，不知道微点自动传送是否支持断点续传功能，支持传送文件的大小有没有限制，能否超过2M？
3、微点有程序生成和注册表变更日志记录功能，建议在此基础上增加某个程序在同一时间修改的项目用同一颜色高亮度显示，不同程序所修改的项目用不同颜色区分，这样便于用户发现问题和对比。注册表变更日志窗口，双击项目能定位到注册表，建议双击程序生成项目时也能定位到程序文件夹，这样查找程序就更容易，或者增加一个路径复制功能，便于寻找生成的文件。
4、再次强烈建议微点增加System Repair Engineer的智能扫描功能，上次提过这个建议，但给Legend版主枪毙掉了^_^，微点虽然有日志记录功能，但有些项目没有System Repair Engineer详细，微点不想增加此功能也无所谓，反正smallfrogs这个小软件现在还免费，但假如微点有此功能就省去用户到处跑了^_^。
5、微点的“系统自启动信息查看”功能亦非常强大，其中一个功能设计得很好，就是对启动项目有校验功能，如果项目所指向的文件不存在会“提示不存在”。但这个启动信息查看功能有一个缺点：就是没有对启动项目进行分类排列，应该按启动方式如“服务、驱动、SPI”等相同项目放在一起，不存在项目也排在一起，这就更人性化。
6、“运行冰刃，卡巴有不少提示，例如释放驱动获取对系统完全访问、修改注册表等动作，可以说有病毒特征”，而微点对冰刃释放驱动这一动作并没有拦，这是对的，毕竟冰刃不是病毒，而且如果微点拦了，类似这种情况的会有不少，这样报警提示就非常多了。但微点不拦也不全对，倘若病毒像冰刃这样通过释放驱动，工作在内核，一成功就能轻易干掉微点了，那时候想拦就太晚啦。当然，病毒要达到冰刃的境界，编程有点难道，然而不排除没有。因此，我建议微点在目前的监控模式下增加一种“增强型的行为监控”，就是对程序行为监控更敏感、监控范围更广，肯定这种模式误报会更多。此增强模式由用户决定是否打开，它较适合有一定水平的高级用户。微点其中一个设计宗旨就是尽量减少报警提示，以免给用户带来恐慌和不便，但我认为想杀更多未知病毒，频繁报警、误报就在所难免，这是不可调和的矛盾。频频报警与什么都不报，我坚决选前者。
7、78楼的newgnay说得好，冰刃强大的反调试功能确实很值得微点借鉴，如果给黑客通过调试破解了微点工作原理和源代码，不仅微点公司危险，微点的用户也很危险。倘若微点也像冰刃那样一调试就重启，那黑客想破解的难度也大大增加了。

[ Last edited by linovo on 2007-3-7 at 16:38 ]

附件 1: sdf.jpg (2007-3-7 11:21, 81.17 K,下载次数： 42)

作者: 100000 时间: 2007-3-7 11:25
楼主好勤快！佩服！

是哪个网，告诉一下，可以么？:o

单独关闭mpman微点照样杀毒，可以解压一个微点报已知的试下，刚试过了！

[ Last edited by 100000 on 2007-3-7 at 11:30 ]

作者: mom09 时间: 2007-3-7 11:31
瑞星、江民、金山2007正版的杀毒软件都买了。楼主真是有钱人。

作者: Legend 时间: 2007-3-7 11:36
linovo
方便的话请提供您的具体网址请用论坛短消息发给我；
谢谢您的建议和支持，我们已经收录并会认真考虑。

作者: 100000 时间: 2007-3-7 12:26
linovo可否再登陆看下，我这边发现不了那个东西。
春节期间 flo 在绅博有发布过一个与您描述相似的东西“[砖头]一个穿墙能力不错的...”

附件 1: 2.jpg (2007-3-7 12:27, 169.63 K,下载次数： 25)

附件 2: 1.jpg (2007-3-7 12:26, 193.66 K,下载次数： 46)

作者: starfish 时间: 2007-3-7 13:07
莫说微点了，就是咖啡也逃不过这种命运……

作者: 100000 时间: 2007-3-7 13:10
绅搏的样本
http://bbs.hypost.cn/read.php?tid-124538-fpage-3.html

作者: Legend 时间: 2007-3-7 13:22
经我们测试，没有出现您反映关闭MPMON.exe的情况。
第一次运行微点报“发现未知间谍软件”并处理成功；
第二次再运行，微点直接拦截并处理成功。
方便的话请描述您的具体测试环境及相关信息。

作者: 100000 时间: 2007-3-7 13:35
斑竹，flo那个已经报已知！
估计linovo说的是另一个，连接已经发到您短消息中

作者: linovo 时间: 2007-3-7 13:47
我的测试环境是：
操作系统：windows xpsp2
浏览器:IE6.0 .2900.2180
系统打的补丁非常少，之所以不打主要是非常懒^_^，不愿意打:D

微点主动防御软件测试版
程序版本： 1.2.10569.0036
特征版本： 1.4.225.070306
更新时间： 2007-03-07 08:08:38
版主测试时居然这么好运:P^_^，没给病毒关闭MPMON.EXE,看来都是我太懒惹得祸了:D，不愿意打补丁，漏洞多给病毒利用了；或者自己系统有问题^_^

[ Last edited by linovo on 2007-6-30 at 16:53 ]

作者: lem586 时间: 2007-3-7 15:09
95楼~~~~~终于看完了,受益匪浅~~~~领教了

作者: linovo 时间: 2007-3-7 17:12
该挂毒网页并不是每个访问的用户都会中毒，都会退出微点进程，还跟系统环境有关，在卡饭论坛，有些用户有微点退出现象，但有些人就没有，详见http://bbs.kpfans.com/viewthread.php?tid=58797&extra=page%3D1
下午微点进行了升级，最新版已经能报出病毒名字，把病毒干掉了。
微点主动防御软件测试版
程序版本： 1.2.10569.0036
特征版本： 1.4.225.070307
更新时间： 2007-03-07 15:26:30

[ Last edited by linovo on 2007-6-30 at 16:55 ]

作者: 100000 时间: 2007-3-7 17:17
星星防火墙是可以用冰刃轻易结束的！

在比较短的时间内劈哩趴啦地将其两个互相保护的进程都选择结束的话，一会就关了！

楼主上面说的可以结束微点的病毒，结束的是微点的mpman.exe，在mpmon.exe被结束的情况下，微点同样可以防杀，但是没有主界面显示了。

这个病毒单独要结束星星的主程序，所以还会再生，这中间也有空挡。

作者: linovo 时间: 2007-3-7 17:44
现在费尔、江民等也开始加强进程保护了，费尔还推出V7进程保护测试版7.04beta,现在公测中，有兴趣的可下载玩玩...^_^
江民网站有“发布杀毒软件进程自我保护新技术”的新闻。见http://www.jiangmin.com/News/jia ... nt/200736103441.htm

Quote:

江民反病毒专家介绍，此类病毒主要是通过终止杀毒软件进程和发送关闭消息这两类方法来攻击杀毒软件。根据病毒的这种特性，江民科技也推出了全新的自我保护技术，采用了反终止进程和阻止发送关闭消息这两项技术，通过这项技术，可以很好地对抗“熊猫烧香”、“QQ大盗”和“QQ阿拉大盗”等恶意关闭杀毒软件的病毒，同时也可以正常地监测、防杀病毒，正常升级杀毒软件病毒库。

微点、瑞星、卡巴的进程保护虽然有重生功能，杀了会再加载，但毕竟是被动型的进程保护。我84楼所提到的病毒，运行时不断试图结束瑞星防火墙进程，而瑞星进程又不断复活，显示几个防火墙图标，这个现象对初级用户来说，只会觉得系统有异常，而不知道自己已经处于危险当中。目前微点瑞星的进程保护是没有反击功能的，只是被动的尝试修复。想把进程保护做得更好的话，我觉得应该一发现杀毒软件进程给可疑程序结束，马上向用户报警提示，除了任务管理器等系统进程结束微点外，其他程序杀微点均应该定义为可疑的风险程序，并把此程序拦截隔离，而不仅仅是一味被动的重新加载。

[ Last edited by linovo on 2007-3-8 at 14:48 ]

作者: wkwx 时间: 2007-3-8 00:32
终于看完了.

学习了不少东西.

作者: 金属记忆 时间: 2007-3-8 15:37
不错,我这两天忙着和前任交接工作,所以也没时间弄,等闲了好好折腾一下~呵呵`~
有这么多人关心,微点一定会成长的,看版主回复的频率和速度也比其他论坛上强多了!
支持!
不过微点公司据说现在情况不是特别好,在这么困难的情况下员工还能这样坚持工作,有这么高的积极性,值得鼓励,不关怎么样,希望你们能越来越好 !对自己要有信心!
^_^

作者: ffjjyy 时间: 2007-3-8 18:02
不错的帖子，学习了

作者: lem586 时间: 2007-3-8 19:36
顶微点，全力支持微点！！！

作者: simon1525 时间: 2007-3-8 21:12
我是新手,但我一直在努力学习

作者: leohare 时间: 2007-3-8 21:14
同意7楼的说法。

作者: zhangjifeng 时间: 2007-3-8 22:48 标题: 有道理

有道理，学习一下

作者: miao_ker 时间: 2007-3-9 17:22 标题: 呵呵！！都是高手啊！！！佩服佩服！！！

呵呵！！都是高手啊！！！佩服佩服！！！

作者: 微点放大是焦点 时间: 2007-3-9 18:08
楼主的测试好无谓...如果微点连用户手动停止都不行的话,也许都给别人说是流氓软件咯!

作者: superzmy 时间: 2007-4-7 23:36
我是做程序的，不过涉及底层的基本没有
我想我可以
通过隐藏（不显示窗体）方式启动任务管理器
然后选择微点的进程
再结束
这样，结束是由任务管理器发起的
但这个操作是程序（病毒）在用户不知情情况下做的
微点难道会反对吗？
如果这个程序，一运行，干掉杀毒软件防火墙，然后再连接网络下载病毒，岂不是无痕迹？
我可以对卡巴斯基的提示
用程序全部选择允许、跳过、信任之类的（程序还不存在但我知道可行）
通过mouse_event keybd_event方式，基本上不被报警，不是吗？
就是format相信卡巴都不会有反映（我没有空闲的分区来试）
所以被任务管理器干掉，真的会很危险！

另外，我想知道，“线程挂起”微点有没能力反对呢？
只要有一个小程序始终监视各个杀毒软件的提示窗口，那么警告就毫无用处
而这个小程序本身不会带任何可疑的特征吧！

作者: superzmy 时间: 2007-4-7 23:39
另外，微点最好能确定自己的各个进程都可用，而不是“无响应”状态，会减少很多漏洞

作者: superzmy 时间: 2007-4-7 23:45
对了，给任务管理器添加一个同路径的taskmgr.exe.manifest空文件，直接阻止它的下一次启动
希望微点不会有这么个漏洞吧
我不会下载微点测试，比较忙，不过我会支持国产

作者: linovo 时间: 2007-4-8 11:35
superzmy看来又是一位高手！可惜自己不懂得编程:P，说得对不对无法验证。
我这个帖子沉下去已经有颇长一段时间了，自己都不愿意顶了^_^，没想到给superzmy顶了出来^_^，我很想知道superzmy是怎样发现我的帖子的:D^_^？

[ Last edited by linovo on 2007-4-8 at 11:38 ]

作者: hds_ss 时间: 2007-4-8 14:02
都是高手,好好学习!这些高手的关心是微点的福气,微点,你要珍惜啊!!!

作者: 228879547 时间: 2007-4-8 18:40
···全部高手虽然看的有点头晕还是学习到很多东西····

作者: hds_ss 时间: 2007-4-9 07:40
好文件,应置顶!大家把此贴支持住!!!

作者: laolang 时间: 2007-4-15 20:05
楼主厉害啊 !

作者: aabbcc13165557 时间: 2007-4-15 22:07
关注微点的高手越多越好，这样才能集思广议，不断完善！！！

作者: segourigh 时间: 2007-4-16 00:34
.....还好，我没用系统的任务管理器：）

作者: wantcm 时间: 2007-4-17 17:05
另外还有一种可能，是我最近碰到的。

病毒程序在开机时获得优先加载的权限，估计也是系统底层，BANK0级的。然后就不断复制自身，抢占系统资源，拖垮系统，让防毒软件即使发现病毒也没有系统资源杀毒，因为所有操作都已经没有相应了。

这个微点能防住么？

作者: Legend 时间: 2007-4-17 17:12
您可以把您的病毒样本压缩加密发到virus@micropoint.com.cn我们具体测试分析下

作者: mnbvcxz1 时间: 2007-4-23 18:59
看了各位高手的高论很有收获先谢谢了!

另外楼主我记得风云1.2里面说了要是风云非正常退出的话会启动保护机制让网络强制中断所以你用微点杀风云会断网但愿我没有记错 ^_^

作者: 0888cc 时间: 2007-4-23 20:00
拿瑞星来比？

作者: 如风过路 时间: 2007-4-23 21:59
瑞星我熟悉的，被破坏的几率是99.9%
公司用的瑞星网络版，我最常听到的就是“我的小伞怎么又没了？”
瑞星的客服也常解决不了，还得我自己找软件杀木马

作者: 如风过路 时间: 2007-4-23 22:02
搂主的意见很不错哦

作者: 西溪之畔 时间: 2007-4-24 13:06
认真学习了一下(说实话,有百分之七八十看不懂,但还是认真学习了)希望通过学习,可以多懂一点,有这么多高手的热情与各位版主的负责,相信微点明天会更好

作者: 乖仔 时间: 2007-4-24 16:37
瑞星防火墙使用的方法和一些流氓软件的技术差不多吧。

作者: green 时间: 2007-4-24 21:59
瑞星是个大垃圾！鄙视之~

作者: lacmiu 时间: 2007-6-8 22:51
呵呵。楼主太搞笑了。
冰刃是何方神圣！？冰刃是能结束任何进程的东东。
微点又不是神。什么系统核心进程、HIPS、杀软、防火墙通通被轻易干掉。
但有个前提，它得加载驱动。所以楼主设想有病毒利用冰刃的功能是不可能实现的。

作者: crenw 时间: 2007-6-8 23:19

Quote:

其实不能这么说，因为瑞星在国内实在是太知名了，所以进行专门攻击和研究的人很多，
你看看，国内任何一个新木马病毒，哪个如果绕不过瑞星，那就是不成功的木马

微点现在用的人不多，所以以后加强防御很必要的，当然这是以后的事情。

作者: xynz5 时间: 2007-6-9 00:08
这没什么好争的.你把我电脑上的微点干掉了,才能说明问题.
本机上,要格盘都容易

作者: 笋野 时间: 2007-6-9 00:52
不明白，不过顶一个`我是个菜鸟，相信微点，把电脑交给微点了``

作者: peter2249 时间: 2007-6-9 01:58
深入研究才有发言权
感谢楼主！

作者: Linwin 时间: 2007-6-9 02:57
既然发现问题了，就要解决~~MP要加油~

作者: 唐赛儿 时间: 2007-6-9 07:27
贡献啊……

作者: digua008 时间: 2007-6-9 23:19
头昏了呀,自卑中......

作者: 干虾米哟 时间: 2007-6-30 10:42
我顶起来哟！！

作者: sbdk1234 时间: 2007-7-3 20:58
不错，较大的贡献啊……

作者: treesp 时间: 2007-7-6 18:17

Quote:

Originally posted by xynz5 at 2007-6-9 00:08:
这没什么好争的.你把我电脑上的微点干掉了,才能说明问题.
本机上,要格盘都容易

哈哈，精妙！
不过U盘下传来的病毒运行也是本机运行吧。

作者: 顺其自然 时间: 2007-7-8 22:59
慢慢看......

作者: sweetl 时间: 2007-7-9 12:01

Quote:

Originally posted by Legend at 2007-1-19 09:36:
从本意上讲，微点希望可以实现自我防护与用户可管理性的最佳结合，我们在这个方面做了大量的工作，我们力图实现既能保证用户轻松管理微点程序的运行，又可以防止病毒等恶意程序阻断微点的正常运行。 ...

　　实际上没必要这样，这很难两全齐美！还不如加一个功能设置，]“允许任务管理终止MP？”，打钩者就允许终止，风险自负，如果MP也被其他进程终止了，也只能自已负责；但如果用户没有选择允许终止，而被其他进程终止了，这就是MP的功夫问题了！

作者: sweetl 时间: 2007-7-9 12:18

Quote:

Originally posted by Legend at 2007-1-19 09:36:

　　从本意上讲，微点希望可以实现自我防护与用户可管理性的最佳结合，我们在这个方面做了大量的工作，我们力图实现既能保证用户轻松管理微点程序的运行，又可以防止病毒等恶意程序阻断微点的正常运行。 ...

　　实际上没必要这样，这很难两全齐美！还不如加一个功能设置，“允许任务管理终止MP？”，有需要者就打钩，从而允许终止，风险自负，如果MP也被其他进程终止了，也只能自已负责；但如果用户没有选择允许终止，而被其他进程终止了，这就是MP的功夫问题了！

作者: han 时间: 2007-7-9 14:27

Quote:

Originally posted by sweetl at 2007-7-9 12:01:

　　实际上没必要这样，这很难两全齐美！还不如加一个功能设置，]“允许任务管理终止MP？”，打钩者就允许终止，风险自负，如果MP也被其他进程终止了，也只能 ...

同感，还是老建议：微点最好实行密码认证管理制，要结束所有微点的进程都行，因为你是“管理员”吗，不过“请你输入正确的密码（由微点用户设定）”。
或许建议存在漏洞，始终没被采纳。

甲：我是001，现在命令向日本发射导弹，请立即执行！！！
乙：收到，请输入发射口令进行确认。
甲：＊＊＊＊＊回车
乙：口令错误，导弹不予发射。
乙：弹控中心全体人员请注意，有人试图以首长身份执行特别任务，请作严格跟踪。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn