Board logo

标题: 不知微点对自身进程的保护能力怎么样 [打印本页]
作者: newgnay     时间: 2007-2-6 22:50    标题: 不知微点对自身进程的保护能力怎么样

我试了一下,用Windows自带的程序管理器能结束微点的部分监控程序,这样万一有病毒在表现出恶意行为之前先结束微点的监控程序(这种行为本身已经构成恶意行为,但不知微点能否拦截这种行为),如果微点不能拦截那就很危险了.
  当然,我希望微点已经考虑到这种情况了并能成功拦截.
作者: 曙光     时间: 2007-2-6 23:05
谢谢楼主对微点的支持,微点对其自身是有做进程保护的,如果是病毒调用工具或者任务管理器是无法对微点进程进行操作的,并且微点会将其结束,并作出提示。用户自行通过任务管理器手工去结束微点的进程,这个进程马上会重新起来!

[ Last edited by 曙光 on 2007-2-6 at 23:12 ]
作者: newgnay     时间: 2007-2-6 23:24
 哦,这样就放心了.不过还有个问题,就是如果病毒通过加载驱动的方式获取系统的最高控制权(这个过程一般不带有恶意性质,因此我想微点不会拦截),然后利用这种权限调用更底层的进线程结束命令如NtOpenProcess、NtTerminateProcess,希望微点也能够防得住.我觉得微点的工作原理(让病毒运行起来再拦截)使得"查毒"变得更容易(当然需要完美的监控),但相应的"杀毒"变得更困难(微点必须以更"底层"的方式工作,这样才能拦截病毒的"底层"操作),这一点与通常的杀毒软件不同,因为它们有静态磁盘扫描或者以虚拟方式启动病毒,不需要在真正的环境中激活病毒,这样更"安全",但它们相对微点的"真实环境中的行为杀毒",对求知病毒的防护就差很多.
  希望微点越来越完美(当然需要过程).最后,如果出了产品,我一定购买正版微点,呵呵.
作者: 曙光     时间: 2007-2-6 23:26
谢谢楼主的支持与意见,欢迎您继续做深入的测试使用。
如果您发现了此类病毒样本可以发到virus@micropoint.com.cn我们会具体测试分析。
作者: newgnay     时间: 2007-2-6 23:30
如果遇到,一定会上报的.
此番意见,只希望能防患于未然.
作者: andaone     时间: 2007-2-6 23:38
好专业啊,防毒和杀毒都想争夺系统的最高权限和最底层的操作啊
作者: newgnay     时间: 2007-2-7 00:12
呵呵,楼上的过奖了,我是学物理专业的,对计算机/操作系统的细节不太了解.
最近用到Icesword这个工具,才注意到这些东西,希望与大家分享(有点班门弄斧):
  Windows操作系统分两个截然不同的特权等级:内核(ring0级,里面运行的程序可以执行任何操作,这些程序包括Windows的核心,驱动程序等)与外核(ring3等级,也叫用户层,我们一般用到的应用程序基本属于此类),外核层上运行的程序有许多限制,例如不能直接访问物理内存,不能直接访问硬件设备(好像是这样),基本上所有的操作都必须通过调用Windows为外核层专门提供的API(应用程序编程接口)才能进行.
  因此,如果某个病毒运行于外核层中,而杀毒软件运行于内核层中,则杀毒软件比病毒有巨大的优势,可以轻松消除这类病毒. 不过如果病毒也运行于内核层中,那么杀毒软件与病毒相比没有优势,相反地,由于杀毒软件在明而病毒在暗,因此一个完美的行为杀毒软件必须(i)拥有完美的监控能力----防患于未然;(ii)强大的自我保护能力,这样才能拦截病毒的底层操作.
  传统杀毒软件的静态特征码杀毒的优点是不需要启动病毒就能进行,这样比较"安全",但缺点与优点同样明显:对未知病毒毫无抵抗之力;
  好像国外杀毒软件都在搞一种"启发式"杀毒,与微点的行为杀毒有点像,但并不完全一样.启发式杀毒好像有两种,一种方法是由杀毒软件读取待查exe文件的二进制代码,反汇编后判断这些代码的意图,如果有恶意则清除之.另一种方法是由杀毒软件虚拟出一个计算机环境,然后在这个环境中运行病毒,这样病毒会误以为自己在真实的环境中运行,从而做出危害系统的动作,然后杀毒软件探测到这后再查杀之.不过要虚拟一个能够以假乱真的环境太困难,病毒很容易识破这种虚拟环境,从而在这种虚拟环境中不发作,骗过杀毒软件,国外厂家也没有做出很好的这方面的产品.
  微点的方法是让病毒在真实系统中运行,然后病毒作出危害系统的动作后查杀之,这种方法相比静态特征码方法甚至启发式杀毒的方法都拥有巨大的优点:能杀掉所有恶意程序,但这种方法对杀毒软件的要求也相当高:要求杀毒软件的监控几近完美,且自身的防护能力也必须超强(强到能够完全拦截所有病毒程序进行的底层操作).
  所以从技术上来说,微点是相当先进的,当然任务也是艰巨的,真心希望微点进入祖国的千家万户,让老外知道中国人也能做出好东西.
作者: newgnay     时间: 2007-2-7 00:15
我觉得现在的国产软件及国外的软件(包括卡巴)对自己的进程保护都太弱,居然一个熊猫这种很简单的病毒都能结束卡巴的进程
作者: 科大蚱蜢     时间: 2007-2-7 00:19
确实,进程保护肯定很全面



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn