Board logo

标题: 请 微点技术人员分析下哈!怎么会有这么大的漏报! [打印本页]
作者: zf12862177     时间: 2008-6-16 01:37    标题: 请 微点技术人员分析下哈!怎么会有这么大的漏报!

本来以前用的是卡巴斯基,一直听说微点很好,看到微点要上市了,加上我卡巴也还有2天到期了,所以就打算把买卡巴的钱来买微点,今天才把卡巴卸了。装上了微点。
以前我的系统都是无毒的。

然后我去找了一个病毒样本。用dr.web和微点来测试一下,结果就就出现了
原来下载的182个病毒木马样本  

我解压时微点拦截了156个木马,1个病毒,6个蠕虫。在还没有解压完的时候,系统提示win.rar文件损坏。之后解压完毕,微点的反应也完毕。
然后我点击进入 解压出来的文件夹 发现里面还有11个exe文件!1个dll,5个fon


然后我对剩下的文件用dr.web扫描发现5个病毒,有截图·:

然后我就想吧,是不是这5个病毒木马没运行,危害不大,所以微点查不出来!这时侯我时非常相信微点的哦,而且这些流行木马病毒时2007年的部分流行病毒。所以我就挨个运行exe。也不知道是在解压是他们损坏了还是怎么的。反正微点没有反应。这个时候我电脑上也没有安装其他监控。dr.web是用的绿色版! 当然任务管理器里面也没有这几个exe。

然后我进行 第二次解压。我不相信微点只能检测180个病毒。结果再次解压到快完就出问题了  win.rar卡住了,微点拦截了155个木马,一个病毒,5个蠕虫!
点关闭winrar也没有反应。任务管理器全都关不掉。到现在都关不掉~!

版主请解释下吧。。。今晚我可是挨着把没拦截的病毒在只有微点监控下全运行完了的哦!我的系统是xp  sp2

[ Last edited by zf12862177 on 2008-6-16 at 02:15 ]
附件 1: 1.jpg (2008-6-16 01:37, 51.07 K,下载次数: 24)


附件 2: 3.jpg (2008-6-16 01:37, 184.87 K,下载次数: 55)


作者: zf12862177     时间: 2008-6-16 01:39
我忘了附病毒样本地址。我希望看看版主们对这些样本的测试结果如何。希望是我自己的电脑原因。不然真的找不到可以支持的国产杀软了

[url]hxxp://www.fs2you.com/files/23d1a19e-b2da-11dc-b4bc-0014221f4662/[/url]

另外我在说一下我电脑当时的状态。我用的是普通用户登陆,该用户没有写c盘系统文件夹的权限,也没有写磁盘根目录的权限。但都有读权限。

运行微点和drweb的时候都是以普通用户运行的。
其中MPSVC1,MPSVC2,MPSVC是系统进程。MPMon,和drweb是普通用户进程。(这些都是任务管理器上看的,没在微点里面看)

[ Last edited by Legend on 2008-6-18 at 09:06 ]
作者: zf12862177     时间: 2008-6-16 02:06
重启机子后,我再一次进行了解压,拦截156个木马,1个病毒,6个蠕虫


被解压的文件夹剩11个.exe文件!1个.dll,5个.fon
作者: Legend     时间: 2008-6-16 06:54
微点主动防御软件创造性地实现了以程序行为分析判断为主,特征码扫描为辅的安全防护体系,因此不依赖频繁被动升级即可实现对新病毒的有效防护。以程序行为分析判断技术为主的微点主动防御软件,实时监控分析当前程序运行状况和动作,结合病毒行为规则知识库,自动准确判定传统杀毒软件无法识别的新病毒,自动阻止并清除新病毒,从而实现了对新病毒的主动防御。

首先,鉴于测试病毒风险很大,建议楼主不要测试病毒。楼主提供的病毒压缩包中剩余的病毒如果本身已经损坏,无法运行,或者运行后立即退出,没有任何病毒行为,微点是不会报警的。
作者: 全能人     时间: 2008-6-16 09:22
没事还是不要玩病毒吧,测试的事应该让专业人员去做。有漏报也不奇怪。
作者: 修一明     时间: 2008-6-16 11:36
是尸体 所以没有报啊..
作者: fengzhiwu_sic     时间: 2008-6-16 17:45
没有任何病毒行为,微点是不会报警的。可是楼主的系统可是被破坏了的呀
作者: qingfeng_     时间: 2008-6-16 21:33
你没有试卡巴 ? 卡巴貌似只能杀90%  希望早日出扫描
作者: simonfour     时间: 2008-6-16 21:57
我原来测试的时候发现有些病毒运行后会直接自动退出,没有任何其他动作,这时候微点不会报的,但是微点的程序生成日志和程序启动日志里面都会有纪录,不知道LZ的情况是不是这样!!!
作者: 100000     时间: 2008-6-17 21:56
DLL文件本身跑不起来,不会报,除非是已知
...
如果重起后电脑没有异常,那说明没有危害
其实楼主可以查看微点的“程序启动日志”“程序生成日志”“注册表变更日志”,大致也可以判断是否有危害。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn