Board logo

标题: 朋友的一个测试!! [打印本页]
作者: 251128641     时间: 2006-8-18 22:14    标题: 朋友的一个测试!!

今天向一位朋友推荐了微点 朋友做了一个简单的测试 结果发现微点没有警报
我也不知道这测试是什么原理(我什么都不懂) 所以发到这里来 大家来看看这是什么测试!以下是我们的对话内容:

  Quote:
原帖由 DFXBB 于 2006-8-18 10:03 PM 发表
很遗憾,一个简单的破坏行为没有被拦截

attrib -r -s -h c:\ntldr
del c:\ntldr

我只要重新启动就可以发现系统损坏了



  Quote:
原帖由 暗夜¢随风者 于 2006-8-18 10:06 PM 发表

是怎么操作的 能仔细说说吗?我很感兴趣



  Quote:
原帖由 DFXBB 于 2006-8-18 10:07 PM 发表
把这两行字保存为BAT文件并双击,如果加上一个Shutdown可以立即看到系统无法启动 :)



  Quote:
原帖由 DFXBB 于 2006-8-18 10:10 PM 发表
微点似乎觉得一个程序把ntldr删除很正常...

另外,我用自己做的程序去修改其他进程的优先级,也不会被拦截

作者: 豆沙     时间: 2006-8-18 22:18
不知道!

[ Last edited by 豆沙 on 2006-8-18 at 22:22 ]
作者: 曙光     时间: 2006-8-18 22:25
楼主能将这个程序发到virus@micropoint.com.cn我们分析一下?还有这个程序只是一个批处理的DOS命令!

[ Last edited by mouse1983 on 2006-8-19 at 00:27 ]
作者: e-chen     时间: 2006-8-19 00:22
你朋友忒牛了。。。居然拿 批处理文件来测试杀毒软件,我晕哦。。。

我来写个  format D:\ ,格式化的命令,然后建成批处理,所有杀毒软件都不会杀的。。。这种批处理就等于 自己动手把“文件”删除,哪个杀毒软件会报???

看来楼主的朋友也是一知半解。。。会点DOS吧,我估计

鉴定完毕!
作者: nasdaq     时间: 2006-8-19 22:05
也是一种思路吧,对系统核心文件的守护

不过,破坏windows的方法可能过于多了,保卫windows确实挺麻烦的,这可能是下一代信息安全软件的任务吧。

那个时候可能就没有单纯的杀毒软件了。叫系统防护软件?呵呵

系统防护这碗饭还是微软同志最拿手阿。。。虽然他目前没有特意做
作者: garry     时间: 2006-8-19 23:50
希望微点加入对系统文件的保护功能哦
作者: boy2004     时间: 2006-8-20 07:24
这个用dos批处理文件破坏系统文件也是应该防备的啊,说不定哪个疯子做出这样的病毒呢,老技术干掉系统的事不能出现啊。
作者: Desperado     时间: 2006-8-30 06:06


  Quote:
Originally posted by garry at 2006-8-19 23:50:
希望微点加入对系统文件的保护功能哦

不是有的吗?把系统文件夹下的文件删除和替换不是都弹出一个提示框吗?
只是提示不阻止而已
作者: 老毛     时间: 2006-8-30 12:57
我做如下测试,微点估计也不会拦截:
1 举起"马加爵"牌铁锤.
2 对着硬盘狠的砸下去
3 系统起不来了
作者: idea     时间: 2006-9-1 17:26
呵呵,9楼的朋友说话很风趣啊

自己手功编一个恶意的脚本在本机执行,和一个真正的恶意程序或脚本从外界传到本机再非手工运行起来,这中间有很多环节的,也有着本质的区别:恶意程序(或脚本)能不能通过internet或其它方式,传播到你的机器中,再获得相应的系统权限,然后再去执行那个恶意程序(或脚本),如果要测试的话我觉得要把这一连串动作都实现了,才能称得上是真正的危害,不然就象楼上的朋友所说,单一的动作都要去防,不仅加大的主动防御的工作量(这不是技术能不能实现的问题),而且给用户增加了麻烦
作者: 反黑先锋     时间: 2006-9-1 17:31


  Quote:
Originally posted by 251128641 at 2006-8-18 22:14:
今天向一位朋友推荐了微点 朋友做了一个简单的测试 结果发现微点没有警报
我也不知道这测试是什么原理(我什么都不懂) 所以发到这里来 大家来看看这是什么测试!以下是我们的对话内容

你那个批处理能传播吗?:D  微点现在对付这样的 ok
作者: zqrsc     时间: 2006-9-3 13:05
楼主在执行这个批处理时 尝试用guest用户去试试~
呵呵~
本地管理员权限下 执行bat命令 如果都要被拦截 那你就可以去微软砸场子了。。
从外部进入内部 最难也是最希望做到的就是 提权.

呵呵~
作者: happy_star     时间: 2006-9-3 19:28
原帖由 DFXBB 于 2006-8-18 10:03 PM 发表
很遗憾,一个简单的破坏行为没有被拦截

attrib -r -s -h c:\ntldr
del c:\ntldr

我只要重新启动就可以发现系统损坏了

c:\ntldr,这是XP系统启动必备文件,网上一查就知道了,删除当然启不了了。
而这是你人为操作的,别说微点,任何程序都发现不了。
如果是病毒进行,那就有行为特征,就能够发现了。
作者: happy_star     时间: 2006-9-3 19:30


  Quote:
Originally posted by 曙光 at 2006-8-18 22:25:
楼主能将这个程序发到virus@micropoint.com.cn我们分析一下?还有这个程序只是一个批处理的DOS命令!

[ Last edited by mouse1983 on 2006-8-19 at 00:27 ]

这不过是一个DOS命令而已,哪是什么程序了。
c:\ntldr 是系统程序,你的电脑里也有,你把它删除了,你也无法启动。
作者: 反黑先锋     时间: 2006-9-3 21:36


  Quote:
Originally posted by happy_star at 2006-9-3 19:28:
原帖由 DFXBB 于 2006-8-18 10:03 PM 发表
c:\ntldr,这是XP系统启动必备文件,删除当然启不了了。
而这是你人为操作的,别说微点,任何程序都发现不了。

:D正解

“如果是病毒进行,那就有行为特征,就能够发现了。”

比如 所谓的恶性病毒:硬盘杀手, 硬盘终结者…………
附件 1: 5.JPG (2006-9-3 21:36, 22.44 K,下载次数: 37)


作者: paopaogege     时间: 2006-9-5 21:47
在运行的时候给个提示也是正确的....不然不知道的人会骂杀毒软件的
作者: zxl21cn     时间: 2006-9-5 22:04
起码应该保护系统启动必须的文件



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn