Board logo

标题: mp的防火墙有和没有一样?! [打印本页]

作者: mecal     时间: 2007-1-18 16:06    标题: mp的防火墙有和没有一样?!

原程序被修改以后,仍然能够使用以前的规则穿过防火墙,而没有任何提示。  这样的防火墙有和没有不是一样吗?我建议应该对设置规则的程序和运行的程序进行比对,看是否是原文件,如果不是则提示用户,询问是否通过!虽然也是杀毒软件,但是在不能保证能100%的杀毒成功率的情况下,对防火墙的设置应该有所加强,虽然mp对程序的修改是有提示,但是当原来的程序被删除,或者重命名,移动的情况下,而在其所在文件夹中出现一个新的程序,但是和防火墙规则里面的名字一样的话,不是很危险吗??  我可能说的不太明白,下面有个例子  我设置程序c:/正常程序/a .exe允许通过防火墙 ip any 端口 80,3124  而木马程序b.exe却把a.exe给删除,并重新生成一个新的木马程序命名为a.exe并且也是使用和正常程序a.exe一样的端口,但是mp却没有发现木马,并且在生成的木马程序a.exe穿过防火墙的时候,没有任何提示,后果。。。。。。。。。。。。

[ Last edited by mecal on 2007-1-18 at 17:21 ]
作者: david1126103     时间: 2007-1-18 16:14
首先你那个b.exe却把a.exe给删除。。这个过程。。要过微点

[ Last edited by david1126103 on 2007-1-18 at 16:17 ]
作者: david1126103     时间: 2007-1-18 16:18
如果第一次XXX程序访问网络。然后永远放行。。一条规则建立
然后木马XXX程序删除XXX程序并替换。。。。这个过程首先就过不了微点
作者: Legend     时间: 2007-1-18 16:22
楼主的情况可以把您的样本发到virus@micropoint.com.cn我们具体测试分析下
微点主动防御软件是依据程序行为判断病毒的,程序有了病毒的行为微点就会处理他的。
微点主动防御软件提供的“智能防火墙”是通过微点主动防御软件的动态仿真反病毒专家系统,自动对系统中进程的网络访问行为进行分析判断,对于正常进程访问网络的行为,直接放行,而只是对于可疑进程访问网络的行为,微点主动防御软件才会弹出异常网络访问报警窗口,询问用户是否允许该进程访问网络。大大减少用户参与,也减少用户的恐慌。
微点主动防御软件提供的“传统防火墙”是属于传统的包过滤防火墙,同时提供5个默认的规则包供用户选择,用户也可以自定义规则包。
作者: mecal     时间: 2007-1-18 16:36
这个样本是没用,但是一个exe程序删除另一个exe程序,mp是绝对不会报的,没有实践,就没有发言权,你们自己用windows优化大师删除一个程序,用改名程序改个exe程序,试验一下就知道了,强烈bs那些不懂装懂的人,我知道,修改软件mp是报的,但是删除,和重命名,mp是绝对不会报的,至少现在如此!这样就会出现很多的漏洞,mp在不能保证100%的病毒拦截的情况下,对已经通过检测的程序,不在进行二次检测,实在是让了不能放心!传统的东西也要借鉴啊,至少在文件变化之后应该提示,而不是简单的以文件名,来计算!
作者: david1126103     时间: 2007-1-18 16:40


  Quote:
Originally posted by mecal at 2007-1-18 16:36:
这个样本是没用,但是一个exe程序删除另一个exe程序,mp是绝对不会报的,没有实践,就没有发言权,你们自己用windows优化大师删除一个程序,用改名程序改个exe程序,试验一下就知道了,强烈bs那些不懂装懂的人,我 ...

别人用榔头砸你的电脑,你一定会阻止,如果你自己拿把榔头砸自己的电脑,没人会管你。。。
微点是厂里的门卫。。。厂长自己偷了东西出厂,顺便把玻璃砸了。门卫管还是不管?门卫心里知道。我是门卫,他是厂长,我没他权力大。。。

[ Last edited by david1126103 on 2007-1-18 at 16:44 ]
作者: mecal     时间: 2007-1-18 16:47
主要是mp不能保证对病毒的100%查杀,如果出现了这样的程序,吃亏的还不是用户!
mp就像是个保安,当别人那浪头砸主人的电脑,他是会阻止,但是当他连主人和外人的分不清的时候,他却不阻止。--(程序修改后仍能通过防火墙)这样就不对了!这样的保安不要也罢!
作者: Legend     时间: 2007-1-18 16:48
按照微点软件的防御机理楼主所说的情况,是可以正常防御的。
欢迎您继续做深入的测试使用。
作者: a393310872     时间: 2007-1-18 16:50
按照LZ你这么说.那危险是永无止境的.

你这个问题很牵强.谈不上什么危险.别人怎么会知道你的程序访问网络的策略?而且连名字也知道的清清楚楚.端口也清楚?再者.即使真知道了也替换了.假如他是正常程序那没事.反之.一个木马程序你觉得要过微点有多容易?

所以.最后想对LZ说.不要再提这种无意义的意见了.要真按你这么说.我用记事本写东西都要频繁报了.
作者: mecal     时间: 2007-1-18 16:56
不是没用意义,主要是修改过的程序,想通过防火墙的时候,应该提示一下吧。你们好像都把修改程序当成重点了,我说的重点,是亡羊补牢,在程序修改之后,通过防火墙的时候,应该提示!
作者: david1126103     时间: 2007-1-18 17:16


  Quote:
Originally posted by mecal at 2007-1-18 16:56:
不是没用意义,主要是修改过的程序,想通过防火墙的时候,应该提示一下吧。你们好像都把修改程序当成重点了,我说的重点,是亡羊补牢,在程序修改之后,通过防火墙的时候,应该提示!

你把程序访问策略的“智能识别”勾去掉。。
任何访问网络的都提示。。
作者: zhonggg     时间: 2007-1-18 17:25
其实这问题还是有可思考的地方的,记得以前天网的版本里就是只要第一次完全通过后以后即使程序改变也不提示了.

但后来3.0版本出来事采用了MD5验证安全检测,
这样只要以前被允许的程序修改了,那么他的MD5码就不一样了,一旦需要通过防火墙时也就被天网给检测到了,然后弹出了提示需要重新进行用户的通行操作~~~

这样也就可以杜绝楼主的担忧了.


不过经过我一周的试用,MP确实存在楼主说的情况,以前允许的文件修改后不会提示.
而天网,风云,金山等的防火墙里只要程序有过修改后,就会根据MD5验证重新弹出操作提示.

这点希望微点的防火墙能考虑一下.:cool:
作者: mecal     时间: 2007-1-18 17:25
你不觉得那样很麻烦??对程序进行md5的检测,不是更方便?md5可能比较慢。但是除了文件名之外,对大小对比,应该可以吧!
作者: zhonggg     时间: 2007-1-18 17:31


  Quote:
Originally posted by mecal at 2007-1-18 17:25:
你不觉得那样很麻烦??对程序进行md5的检测,不是更方便?md5可能比较慢。但是除了文件名之外,对大小对比,应该可以吧!

一般使用过的文件的访问网络的程序,不如一个游戏的客户端需要访问网络,而且曾经允许,
这类已经安装好的文件都很小,不会很大.MD5检测不是很耗时.

再说了,一般的也不会经常大量的去修改那些访问网络的文件.
例如游戏更新后的客户端,也许因为更新有了改变,但这个文件并不大.而且每个访问网络的程序也不可能全部同时涌过来请求通过防火墙.
做MD5验证理论上还是可行的.
作者: savor911     时间: 2007-1-18 17:36
不会吧
它的防火墙很不错啊
作者: zhonggg     时间: 2007-1-18 17:40


  Quote:
Originally posted by savor911 at 2007-1-18 17:36:
不会吧
它的防火墙很不错啊

我们没说它防火墙不好,但功能方面存在这样的问题就需要考虑的更多一点,
一般用户使用电脑也许因为没有重要信息不会有大问题,但如果是经常需要保存和发送机密和重要资料的那些用户就要对网络的安全有更多的更严密的考虑.
作者: Legend     时间: 2007-1-19 09:47
首先我们非常感谢楼主的详细且深入的测试

就楼主所谈到的问题,如果单纯地指定以B程序替换A程序,假冒A程序在微点防火墙是允许或可信任策略,以此欺骗微点防火墙,这种单纯甚至单一的动作微点软件不会处理。但是任何恶意程序绝对不会仅仅是为了绕过防火墙而已,在此之前定会表现出恶意程序某些必然的恶意行为,微点主动防御软件的动态仿真反病毒专家系统定能准确判定其为病毒、木马等有害程序

楼主所言类似MD5的校验方式,可以应用到安全监控产品。但是,如果在程序自身升级后,校验码必然失效,必定会弹出报警窗口,对一定用户而言显得有些复杂甚至迷茫

东方微点研发微点主动防御软件的宗旨,是为计算机系统提供更安全的防护能力,同时尽可能地提高其易用性。比如:对于微点可以智能识别的应用程序,为了便于用户使用,尽可能减少报警带来的用户繁琐和恐慌,默认放行网络。但是微点主动防御软件的防火墙功能与传统的防火墙有所不同,不是单一的程序访问网络控制功能的防火墙,而是采取了多种不同安全技术,并与动态仿真反病毒专家系统有机集合成一套完备的安全防御体系,实现上述安全、易用的目的。

病毒与反病毒的对抗,就像魔道之争,永远不可能停歇,所以世上没有绝对的安全之言。楼主和zhonggg朋友的相关建议,我们会认真进行分析。微点软件尚处于测试阶段,我们非常重视每一位网友、用户的意见,以使微点主动防御软件不断完善。东方微点欢迎您及每一位网友、用户继续深入测试微点主动防御软件。

[ Last edited by Legend on 2007-1-19 at 13:34 ]
作者: 反黑先锋     时间: 2007-1-19 11:30


  Quote:
Originally posted by Legend at 2007-1-19 09:47:
首先我们非常感谢楼主的详细且深入的测试

就楼主所谈到的问题,如果单纯地指定以B程序替换A程序,假冒A程序在微点防火墙是允许或可信任策略,以此欺骗微点防火墙,这种单纯甚至单一的动作微点软件不会处理。但是任何恶意程序绝对不会仅仅是为了绕过防火墙而已,在此之前定会表现出恶意程序某些必然的恶意行为,微点主动防御软件的动态仿真反病毒专家系统定能准确判定其为病毒、木马等有害程序
楼主所言类似MD5的校验方式,可以应用到安全监控产品。但是,如果在程序自身升级后,校验码必然失效,必定会弹出报警窗口,对一定用户而言显得有些复杂甚至迷茫

东方微点研发微点主动防御软件的目的,是希望可以带给广大用户比现有安全产品更安全的防护,同时还要尽可能地提高其易用性。比如:对于微点可以智能识别的应用程序,为了便于用户使用,尽可能减少报警带来的用户繁琐和恐慌,默认放行网络。但是微点主动防御软件的防火墙功能与传统的防火墙有所不同,不是单一的程序访问网络控制功能的防火墙,而是采取了多种不同安全技术,并与动态仿真反病毒专家系统有机集合成一套完备的安全防御体系,实现上述安全、易用的目的。

病毒与反病毒的对抗,就像魔道之争,永远不可能停歇,所以世上没有绝对的安全之言。楼主和zhonggg朋友的相关建议,我们会认真进行分析。微点软件尚处于测试阶段,我们非常重视每一位网友、用户的意见,以使微点主动防御软件不断完善。东方微点欢迎您及每一位网友、用户继续深入测试微点主动防御软件。


※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

:cool:精于心 简于型


 
作者: mecal     时间: 2007-1-19 11:39
thx
作者: 青豆     时间: 2007-1-21 16:32
good!




欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn