微点交流论坛 - 微点软件使用交流 - 瑞星、微点……进程保护谁最强？

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点软件使用交流 » 瑞星、微点……进程保护谁最强？

139

2/14

zqrsc
版主

反病毒区版主

积分 1133
发帖 1118
注册 2005-11-22
来自 .net

#11

Quote:

Originally posted by linovo at 2007-1-18 11:10 AM:

我的测试确实有点极端和苛刻了，微点又不是神……^_^。然而，个人认为，软件特别是安全软件的测试又需要极端，这样可以粗略评估软件性能去到什么程度，便于发现软件的问题和不足。
我之前也早知 ...

呵呵`~这里PJF 没有坦白`~`~你用GSS 或相似HIPS 监视就会发现冰刃在启动时先自我释放了两个驱动...不过关闭时又把它删除了..
当然 PJF 的确是把好手`~这点俺很佩服的`~

※ ※ ※ 本文纯属【zqrsc】个人意见，与【微点交流论坛】立场无关※ ※ ※

偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~

2007-1-18 12:28

linovo
中级用户

积分 346
发帖 334
注册 2006-12-9

#12

Quote:

你用GSS 或相似HIPS 监视就会发现冰刃在启动时先自我释放了两个驱动...不过关闭时又把它删除了

谢谢zqrsc的指点^_^，刚才用冰刃的内核模块查看功能，发现的确有一个Isdrv120.sys的文件，应该就是版主说的其中一个驱动了（如图）。
下午无聊，到网上搜索一下介绍冰刃的资料，看到有一篇文章《冰刃(icesword)VS驱动级隐藏木马(Rootkit)-PcShare》（http://hi.baidu.com/nlsbandw/blo ... f64e600d33faf9.html），摘取其中一段：“既然Rootkit是利用内核和Ring 0配合的欺骗，那么我们同样也能使用可以“越权”的检查程序，绕过API提供的数据，直接从内核领域里读取进程列表，因为所有进程在这里都不可能把自己隐藏，除非它已经不想运行了。也就是说，内核始终拥有最真实的进程列表和主宰权，只要能读取这个原始的进程列表，再和进程API枚举的进程列表对比，便能发现Rootkit进程，由于这类工具也“越权”了，因而对Rootkit进行查杀也就不再是难事，而Rootkit进程一旦被清除，它隐藏自身的措施也就不复存在，内核就能把它“供”出来了，用户会突然发现那个一直“找不到”的Rootkit程序文件已经老实的呆在文件管理器的视图里了。”
按照zqrsc版主所说，冰刃的技术也较厉害，它无须随机启动，只需运行冰刃程序时,临时释放两个驱动，就几乎可获得内核级的控制权，轻松杀别的进程。微点什么时候也可以增加这样的功能——就是无须随机启动，按需打开，便可剿灭内存可疑进程和病毒了，起码能像瑞星杀毒那样，就算全部进程给杀光，也能重新打开实时监控（不过这种情况下的杀毒性能还是否能如正常一样，我就无法测试了）。

[ Last edited by linovo on 2007-1-18 at 17:19 ]

附件 1: 111.jpg (2007-1-18 17:14, 139.35 K,下载次数： 55)

※ ※ ※ 本文纯属【linovo】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-1-18 17:10

孤独伴随√
新手上路

积分 1
发帖 1
注册 2007-1-18

#13

好长！慢慢看了：）

※ ※ ※ 本文纯属【孤独伴随√】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-1-18 22:59

小文
新手上路

积分 7
发帖 7
注册 2007-1-19

#14

真是好呀,没有全看懂.不过明显不错.

※ ※ ※ 本文纯属【小文】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-1-19 08:53

behemoth
新手上路

积分 3
发帖 3
注册 2007-1-15

#15

LZ真的很牛，仔细研究一下。今天拿到序列号，好好用用试试

※ ※ ※ 本文纯属【behemoth】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-1-19 09:32

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#16

非常感谢朋友们对微点的关心与支持，您的意见与支持一直不断鞭策着东方微点不断进步提高。微点主动防御软件目前尚处于测试阶段，仍在不断发展与完善的，欢迎大家继续做深入的测试使用，提供更多的意见建议，我们都会认真考虑并在后期版本中不断完善微点软件。

针对楼主描述的情况，从本意上讲，微点希望可以实现自我防护与用户可管理性的最佳结合，我们在这个方面做了大量的工作，我们力图实现既能保证用户轻松管理微点程序的运行，又可以防止病毒等恶意程序阻断微点的正常运行。我们正在进行相关调整，在后续版本会进一步增强微点主动防御软件的相关功能，请楼主等待版本升级后，继续进行深入测试。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-1-19 09:36

天涯海客
注册用户

积分 161
发帖 161
注册 2007-1-15

#17

不错，较大的贡献啊……

※ ※ ※ 本文纯属【天涯海客】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-1-19 11:35

wjker
中级用户

积分 229
发帖 225
注册 2006-5-15

#18

其实这个问题我也发现了,也已经把冰刃发送到邮箱里了!但是一直都没有回复.

我建议微点可以向冰刃作者索取原代码和研究其内核技术,真正做到只有任务管理器可以结束微点进程,而不为其他程序所调用而结束微点.
如若其他特别的程序的确能关掉微点程序,也做到结束后能自动恢复!
微点真正变的超强厉害,可以结束自身及其他任何程序!

[ Last edited by wjker on 2007-1-19 at 12:17 ]

※ ※ ※ 本文纯属【wjker】个人意见，与【微点交流论坛】立场无关※ ※ ※

[b]我同事对我说:"我是好人,世界都知道!"我对所有人说,"我是坏人,全地球人都知道!"[/b]

2007-1-19 11:46

ouster
新手上路

积分 2
发帖 2
注册 2007-1-19

#19

瑞星真的不行，昨天同事的机器（XP）中了熊猫烧香，瑞星2007（已升级到最新病毒库）就全部被破坏了，半个小时后系统就彻底崩溃了，瑞星几个系列的安全软件全部都无法启动，所有的GHO备份和联想一键还原数据都被破坏了，最后只有光盘克隆了事，重启用江民的专杀工具杀了个天昏地暗才算是搞定。
从去年下半年开始单位上已经有好几个同事都在使用瑞星的过程中发现瑞星实在太容易被破坏了（俺为这个为他们修复系统都烦死了），结果几个同事都换成金山、诺顿等其他防火墙了。
注：其它杀毒软件的粉丝就不用来砸砖了，瑞星给我工作上带来了很多麻烦，心中的怨气不吐不快。

※ ※ ※ 本文纯属【ouster】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-1-19 12:03

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#20

“另外，微点要是全部进程给干掉，想重新打开微点是不可能的，必须重新启动，而瑞星就算你把它所有进程都杀光，还可以重新打开实时监控。”

——在微点被关闭的情况下，您可以通过双击桌面快捷方式、点击开始菜单、在服务管理器启动微点服务等多种方式方便快捷地启动微点软件，无需重新启动计算机。

“我用微点杀风云防火墙进程（版本：个人版1.23），第一次杀不了，第二次杀掉，但造成微点程序有些故障了”
——请楼主描述一下具体的故障现象，以及微点版本、windows版本，我们需要模拟您的环境具体测试一下。

“微点什么时候也可以增加这样的功能——就是无须随机启动，按需打开，便可剿灭内存可疑进程和病毒了”
——微点主动防御软件使用动态反病毒专家系统来分析鉴别病毒行为，微点开机自启动其目的主要是给动态反病毒专家系统进行提供足够的系统运行信息，微点开机自启动对于动态反病毒专家系统的准确判断非常重要。而不是楼主提到的获取权限的问题。在此，我们建议所有安装使用微点主动防御软件的朋友们都不要随意改动微点的启动方式。

[ Last edited by Legend on 2007-1-19 at 14:51 ]

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-1-19 14:50

139

2/14

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号