Board logo

标题: 【微点主动行为库智能化】还有很大的提升空间 [打印本页]
作者: 新月     时间: 2009-10-1 14:31    标题: 【微点主动行为库智能化】还有很大的提升空间

EQ智能版规则:http://www.brsbox.com/filebox/do ... a8ac35884c5b2b19dbc


关机程序:http://www.brsbox.com/filebox/do ... bf937c098f44cf55e66


我下载了EQ(魔法盾)4.11增强版测试

规则:智能版EQ 2.0规则

测试了快速关机这个程序,EQ会提示有一个程序试图关闭您的计算机

但是我使用鼠标点击开始关机(EQ不提示)这又是为什么呢?

但微点不防御这些

显然是可以区分开的,希望微点可以加强批处理以及这方面程序的防御

===================================

还有上次有一个脚本(玩笑程序)不说我是猪就不让进桌面

但是打开微点看不到该程序的进程(但EQ可以看到)并且结束

希望微点加强啊.........




[ Last edited by 新月 on 2009-10-1 at 17:13 ]
附件 1: 01.jpg (2009-10-1 14:31, 27.96 K,下载次数: 57)


作者: 新月     时间: 2009-10-1 17:13
大家看看.....
作者: f8312519     时间: 2009-10-1 17:46
确实有待加强!!
作者: 狙击手_咖啡     时间: 2009-10-1 18:37
windows自带关机和你说的快速关机是不同的。EQ提示而微点不提示,那是微点认为他是无害的,懂了吗?一个曾经自认HIPS高手,还嘲笑辱骂他人发帖的人,怎么这个都不懂啊!可笑了吧!你说HIPS不分好坏,你那图说明什么呢?需要人工判断,而微点给你判断好了,无害、!!!懂了吗?做人要低调。论坛要注意素质 没人是好欺负的! 呵呵



Windows是如何关机

Windows关机步骤涉及到Windows多个组件和多个过程,简单的说,Windows的关机步骤不是大多数人认为的那么简单。基本的过程是这样的:
  1. 用户发起关机指令以后,发起关机指令的程序会通知Windows子系统CSRSS.EXE,CSRSS.EXE收到通知以后会和Winlogon.EXE做一个数据交换,接着由Winlogon.EXE通知CSRSS.EXE开始关闭系统的流程。

  2. CSRSS.EXE收到Winlogon.EXE的通知以后,会依次查询拥有顶层窗口的用户进程,让这些用户进程退出。如果某一个用户进程在一个默认的超时时间5000毫秒(可以通过修改注册表键值HKEY_CURRENT_USER\Cont rol Panel\Desktop\ HungAppTimeout设定超时时间)内没有退出的话,Windows会显示一个结束任务对话框用于询问用户是否结束这个任务。默认情况下将显示这个对话框并一直保持而不会自动关闭。对于控制台程序来说,基本情况类似,只不过Windows使用HK EY_CURRENT_USER\Control Panel\Desktop\ WaitToKillAppTimeout值来设置超时时间。

  3. 接着是轮到终止系统进程了。系统进程包括SMSS.EXE、Winlogon.EXE、Lsass.EXE等。Windows在终止系统进程的时候并不像终止用户进程那样如果无法在规定时间内终止则提示用户,而是跳过这个进程,去执行下一个系统进程的终止操作。使用的超时时间和第2步使用的时间相同。

  上述3个步骤是整个Windows关机过程中最耗费时间的一段,大多数关机缓慢的原因都是因为这3个步骤引起的。完成前3个步骤以后,进入了关机操作的第4个阶段,也是最后一个阶段。

  4. Winlogon.EXE调用一个原生API函数NtShutdownSystem()来命令系统执行后面的扫尾工作。在这个阶段里面,Windows执行子系统会完成最后的关机操作,例如:设备驱动在这个阶段里面完成一些驱动设定的特殊操作; 也是在这个阶段,配置管理系统将被修改过的注册表数据会写道磁盘里面。等除了电源管理以后的全部子系统完成退出以后,电源管理完成最后的操作:如重启、关机等。

  了解了Windows的关机流程以后,下面分析一下前面说的快速关机操作是怎么完成的。先分析一下SuperFast Shutdown的原理,SuperFast Shutdown是使用Visual Basic编写的,体积很小,就15KB,经过分析以后得出一个令人惊讶的结论:SuperFast Shutdown首先使用RtlAdjustPrivilege()提升自己的权限,然后直接调用NtShutdownSystem() 函数来完成关机过程。由于跳过了最为耗费时间的前3个步骤而直接进入第4个步骤,所以造成了能够很快关机的假象。

  再看看任务管理器的快速关机是如何实现的:分析结果也是类似于SuperFast Shutdown的原理,也是通过省略一些步骤来加快关机的速度。

  那么,为什么在快速关机以后会出现设置丢失的情况呢?原因在于前3个步骤里面有一个让进程正常退出的可能。大多数软件在编写的时候会把一些设置保存在自己私有的内存空间里面,当软件关闭的时候才把这些设置回写到特定的地方,如注册表或某个配置文件里面。而关机操作的第4步并没有提供一种途径能够让这些设置记录下来,因为这个阶段Windows已经认为前面所有必须经过的流程已经完成,剩下的就是Windows核心组件的退出的问题了。在这种情况下,使用快速关机导致设置丢失也不足为怪了。

  因此,为了你系统的健康,关机还是按照正常顺序来,数据的安全性往往比节省的那几十秒钟重要的多。
作者: iudd     时间: 2009-10-1 20:17


  Quote:
Originally posted by 狙击手_咖啡 at 2009-10-1 18:37:
windows自带关机和你说的快速关机是不同的。EQ提示而微点不提示,那是微点认为他是无害的,懂了吗?一个曾经自认HIPS高手,还嘲笑辱骂他人发帖的人,怎么这个都不懂啊!可笑了吧!你说HIPS不分好坏,你那图说明什 ...

区别是,为什么点击关机程序EQ拦截?

为什么点击开始关机,EQ不拦截呢? 这就证明程序之间有区别

应该可以防御的。
作者: iudd     时间: 2009-10-1 20:18


  Quote:
Originally posted by 狙击手_咖啡 at 2009-10-1 18:37:
windows自带关机和你说的快速关机是不同的。EQ提示而微点不提示,那是微点认为他是无害的,懂了吗?一个曾经自认HIPS高手,还嘲笑辱骂他人发帖的人,怎么这个都不懂啊!可笑了吧!你说HIPS不分好坏,你那图说明什 ...

您连HIPS都不清楚,就不要瞎起哄了~

记得您上次还说HIPS区分好坏?  

:D
作者: iudd     时间: 2009-10-1 20:19
HIPS会区分病毒?  你的回答很牛啊?  哈哈

http://bbs.micropoint.com.cn/sho ... ghlight=&page=2

11楼回答

回答:一款比较好的HIPS也是识别程序好坏的,只是识别的多少而已

你知道啥是HIPS吗? 笑死我了........  HIPS规则如何编写?  哈哈~   O(∩_∩)O
作者: 狙击手_咖啡     时间: 2009-10-1 20:57


  Quote:
Originally posted by iudd at 2009-10-1 20:19:
HIPS会区分病毒?  你的回答很牛啊?  哈哈

http://bbs.micropoint.com.cn/sho ... ghlight=&page=2

11楼回答

回答:一款比较好的HIPS也是识别程序好 ...

首先你换了壳,人家也知道你是新月!!!

用到你新月的话说,你还真够弱智的。你自己发的图就证明了,还在这里倔强,真是无语了。我不是很懂HIPS,但是也不完全不懂!你要是不懂去搜索 去询问别人,OK???   微点也属于HIPS,只不过微点是从HIPS中演变而出,变成一款智能的HIPS,微点公司定义为微点主动防御软件!通俗讲:霍元甲取众家之长,自己创出“迷踪拳”你说它是少林拳吗?是其他拳吗? 不是!就是迷踪拳。但是又含其他拳法! 微点也是这样,自己开发了主动防御,你说他是HIPS吗?不完全是,但是又含HIPS的技术!  你说微点不分程序好坏吗?你发的图,你自己用脑子想想就知道了,图已经证明你的说法是错误的! 不知道你来回引用我的话 是和意图?
  如果你实在不明白,给你权威的答案:

            HIPS
      【基于】主机(的)入侵防御系统     


Host-based Intrusion Prevention System HIPS,基于主机的入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为。
  因为病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。
   
  好了 对于你呢1 我是真无语了, 抠字眼 还顽固不化型。还骂人 素质极差@ 对你的最后一贴!
作者: qqwangtao     时间: 2009-10-1 21:58
霍元甲取众家之长,自己创出“迷踪拳”你说它是少林拳吗?是其他拳吗? 不是!就是迷踪拳。但是又含其他拳法!——李小龙也是!
作者: iudd     时间: 2009-10-2 01:11


  Quote:
Originally posted by 狙击手_咖啡 at 2009-10-1 20:57:



首先你换了壳,人家也知道你是新月!!!

用到你新月的话说,你还真够弱智的。你自己发的图就证明了,还在这里倔强,真是无语了。我不是很懂HIPS,但是也不完全不懂!你要是不懂去搜索 去询问别人,OK?? ...

哈哈,百度搜的吧

HIPS【百度百科】

http://baike.baidu.com/view/481057.htm






您的很多言论猛一看高手啊(长篇大论),仔细一瞧

呵呵:D,理论错误到极点......

什么微点不拦截就是白名单?

认为驱动是微点加入白名单了? 就拿一个不在微点白名单里面的驱动

让大家测试。微点没有这个程序的白名单,但是微点依然没提示

但是如果程序有害,微点就会提示拦截

为什么呢? 一点就可以证明你啥都不懂,居然认为HIPS会分别程序好坏?

【您的回答:一款比较好的HIPS也是识别程序好坏的,只是识别的多少而已】

很强大的回答,智能里面微点我可以说是第一。但是微点对于批处理

以及脚本和注册表破坏的防御不是很好 (微点基本不防批处理)

不服的话,咱们找点正常软件(比如会修改系统或者加载驱动的)

在找病毒,看看微点的提示率如何? 大家一起测试作证:lol:

[ Last edited by iudd on 2009-10-2 at 04:28 ]
作者: iudd     时间: 2009-10-2 01:12


  Quote:
Originally posted by 狙击手_咖啡 at 2009-10-1 20:57:



首先你换了壳,人家也知道你是新月!!!

用到你新月的话说,你还真够弱智的。你自己发的图就证明了,还在这里倔强,真是无语了。我不是很懂HIPS,但是也不完全不懂!你要是不懂去搜索 去询问别人,OK?? ...

哈哈,百度搜的吧

HIPS【百度百科】

http://baike.baidu.com/view/481057.htm
作者: iudd     时间: 2009-10-2 04:30


  Quote:
Originally posted by 狙击手_咖啡 at 2009-10-1 20:57:



首先你换了壳,人家也知道你是新月!!!

用到你新月的话说,你还真够弱智的。你自己发的图就证明了,还在这里倔强,真是无语了。我不是很懂HIPS,但是也不完全不懂!你要是不懂去搜索 去询问别人,OK?? ...

你说的话毫无意义,楼主的意思是说

微点防恶意批处理不好,微点官方说是用户行为

但是为什么EQ可以拦截这样的程序呢? 但关机又不拦截呢?

显然程序行为是不同的,是可以区别防御的,微点应该加强这方面的防御

明白了吗?
作者: littlefritz     时间: 2009-10-2 08:16
因为一个是系统进程调用关机函数,一个是另外的应用程序进程调用,当然会不一样啊,对吧。。
作者: yusdd     时间: 2009-10-5 17:09
是啊,希望微点更加进步和完善。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn