微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点软件使用交流 » 微点主防也是兼信则明  

 73  2/8  <  1  2  3  4  5  6  7  8  > 
作者:
标题: 微点主防也是兼信则明
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#11  



  Quote:
Originally posted by han at 2010-5-8 19:14:


中毒系统使用问题多多,就从隐藏分区恢复了,现在无力提供技术支持信息(估计作用也不大)。
谢谢关注!

请楼主把相关样本文件和微点技术支持信息(微点主界面----辅助功能----生成技术支持信息)一起发送到 virus@micropoint.com.cn ,来信请附本帖链接,我们具体分析一下,谢谢。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2010-5-8 19:30
查看资料  发短消息   编辑帖子
langzi2009
中级用户




积分 311
发帖 299
注册 2009-8-2
#12  

估计又是批处理 微点对批处理的防御比较弱

※ ※ ※ 本文纯属【langzi2009】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[color=red][size=6]与时俱进[/size][/color]
2010-5-8 19:55
查看资料  发送邮件  发短消息   编辑帖子
f8312519
银牌会员




积分 2184
发帖 2169
注册 2008-10-27
来自 维创论坛
#13  

非常严重的关注这问题的进展
希望楼主按L版的做下
你也是希望微点能够得进步.如果你不发技术支持信息.光在这说也是解决不了什么问题的
你完全可以把这个病毒文件发给微点官方让他们来检测.然后告诉你具体的恢复办法
毕竟.人家是专业的

※ ※ ※ 本文纯属【f8312519】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

维创论坛免费软件园地欢迎您!http://herofw.haotui.com
2010-5-8 19:56
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
langzi2009
中级用户




积分 311
发帖 299
注册 2009-8-2
#14  

楼主可以把那个样本发给我吗  很感兴趣  langzi2009@163.com

※ ※ ※ 本文纯属【langzi2009】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[color=red][size=6]与时俱进[/size][/color]
2010-5-8 19:57
查看资料  发送邮件  发短消息   编辑帖子
rockyu
注册用户




积分 193
发帖 185
注册 2008-12-31
#15  

严重关注中!微点规则的原理是阻止少量有害的动作,放行大多数其他的动作,这样的兼容很好,但缺点是众所周知的对流氓软件和批处理效果不好。楼主的情况有点悲剧了,如果开了微点杀毒应该没事,或者使用组策略中的软件限制策略+ntfs权限应该不会发生这样的事情,我在虚拟机中测试过,对很多流氓软件效果不错,单奔主防现在是有点不放心
另外还是想问问,什么时候微点能开放自定义功能,我就不必用那死板的组策略

※ ※ ※ 本文纯属【rockyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-5-9 02:07
查看资料  发送邮件  发短消息   编辑帖子
huangcan
新手上路





积分 11
发帖 11
注册 2010-5-9
#16  

那是呀,不要吊死在一棵树上,备几个移动版本的杀毒软件也是必要的呀!

※ ※ ※ 本文纯属【huangcan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-5-9 05:59
查看资料  发送邮件  发短消息   编辑帖子
scien
中级用户




积分 296
发帖 296
注册 2009-10-13
#17  



  Quote:
Originally posted by han at 2010-5-8 19:19:


我想做一个实验,就是先备一个空白优盘(准备先格式化后用WINHEX填00),然后将一个有内容的DOC文档用WINHEX直接写到该优盘的某些扇区(分连续与不连续两种情形),然后用数据恢复软件恢复之。
如果有软件能 ...

实在对不起,我其实水平很低的,帮不上什么忙了。

对于数据的重新组织,目前好像还没有什么好的软件吧,期待高人出现

病毒反汇编应该是可行的,就是不知还保留有样本不,希望微点专家们能给你更多的帮助



※ ※ ※ 本文纯属【scien】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-5-9 09:38
查看资料  发送邮件  发短消息   编辑帖子
坐照
银牌会员

正式版用户


积分 1426
发帖 1422
注册 2009-3-24
来自 湖北宜都
#18  



  Quote:
Originally posted by langzi2009 at 2010-5-8 19:55:
估计又是批处理 微点对批处理的防御比较弱

赞同

※ ※ ※ 本文纯属【坐照】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-5-9 11:15
查看资料  发短消息  QQ   编辑帖子
坐照
银牌会员

正式版用户


积分 1426
发帖 1422
注册 2009-3-24
来自 湖北宜都
#19  



  Quote:
Originally posted by han at 2010-5-8 18:10:
实在想不出好标题。

使用微点主防近3年,从试用到使用到惯用。也许是微点太让我放心了,也许是对“行为判断”的曲解,前日终成大祸。

一个恶意(有屎以来最恶意)程序,打扮得跟DOC文档一模一样,不经意运行 ...

建议用户不要“‘隐藏已知文件的扩展名’”,这样可以少产生很多悲剧。

※ ※ ※ 本文纯属【坐照】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-5-9 11:18
查看资料  发短消息  QQ   编辑帖子
han
中级用户




积分 422
发帖 420
注册 2007-6-15
#20  

谢谢诸位关注。

昨天利用星期日在一台电脑上专门做了上面所说的实验:
1、微点主防竟然在病毒清理部分$MFT(好象如此)时给出了提示(发现木马之类的……)并阻止进一步动作。(这与那天本机出问题时不一样)
2、重启系统再运行病毒,黑屏并锁定鼠标活动范围。
3、重做系统不装任何杀软再试:
 1、病毒清理NTFS的相关文件列表
 2、1分钟内重启,用于实验的数据现象相同(大小为0)
 3、用相关恢复软件恢复,效果不理想,FAILLDATA2.0基本能找到DOC文档
5、用WINHEX按绝对扇区查找,能手中恢复WPS文件(根据事前记录的扇区位手中恢复)

总结:该病毒是VBS写的,主要清理NTFS盘的相关记录表,导致文档无法检索,但数据(数据区的数据)未被改写,使用WINHEX可以恢复,不过工作量特大。

※ ※ ※ 本文纯属【han】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-5-10 08:30
查看资料  发短消息   编辑帖子
 73  2/8  <  1  2  3  4  5  6  7  8  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号