flo
注册用户
积分 168
发帖 168
注册 2006-8-17
|
#41
这样能过微点吗?微点似乎是先拦截行为并中止可以程序,然后再提示是否删除。
不过真的要防御这种方法也很简单,要么去Hook FindWindow、EnumWindows等,要么索性窗体名称随机化。微点应该还没有那么大的知名度来让别人如此针对它...
#31:那个东西应该不是进Ring0(Ring1、Ring2的设计原来是Intel提出的,但是微软为了更大的市场蛋糕,选择放弃),而是去操作Hive(RegSaveKey、RegRestoreKey云云,不过vista大概不能用了)。
#42(回楼下):嗯,添加到信任程序应该是可以的。不过倘若杀软真的较真,它可以把和窗口有关的几个API统统Hook掉,让窗口在API的层面上隐形。判断窗口的特征至少也需要FindWindowEx、EnumChildWindows吧。倒也不是此法技术水平不高,只是觉得通用型不好 ~~ 不过说回来,真的要针对着杀软的话,此法其实还是很难防御的,大不了截屏+图形识别~~
[ Last edited by flo on 2007-3-25 at 13:30 ]
| |
※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-3-24 22:51 |
|
hgzfzq
新手上路
积分 43
发帖 43
注册 2006-7-4
|
#42
你要知道,木马可是开机自启动的,就算你是先阻止,再拦截,但是电脑重起之后呢??
要知道,我可是点击的"添加到信任程序"
其实就算我不判断窗口标题,我仍然是可以通过判断微点警报窗口的特点来确定是否为微点的警报窗口.
主动防御是未来杀软的一个发展趋势,我这里当然不是为了针对微点,而是考虑对付 主动防御类软件,当然,由于现在的知识所限,只能提出这种小儿科的方法,让高手见笑了!!请多多指点!!
| |
※ ※ ※ 本文纯属【hgzfzq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-3-24 23:04 |
|
西就
注册用户
积分 76
发帖 76
注册 2007-2-13
|
#43
一路逛下来学习了不少....个人觉得13楼的意见..微点有必要参考一下!!!
| |
※ ※ ※ 本文纯属【西就】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
才也;尽矣... |
|
|
|
2007-3-25 06:09 |
|
tomjohnjoan
注册用户
积分 141
发帖 141
注册 2007-1-8
|
#44
呵呵
我建议
微带公司也邀请楼主加入研发啊
支持!!!!
| |
※ ※ ※ 本文纯属【tomjohnjoan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-3-26 17:32 |
|
soskitty
新手上路
积分 4
发帖 4
注册 2007-3-29
|
#45
楼主和微点都是有前途啊!
| |
※ ※ ※ 本文纯属【soskitty】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-3-29 19:58 |
|
反黑先锋
版主
RUNWAY
积分 2901
发帖 2857
注册 2006-6-17
|
#46
| Quote: | Originally posted by hgzfzq at 2007-3-11 01:08:
卡巴 6。0 主动防御 |
|
cmdbcs.exe生成windows\cmdbcs.exe
cmdbcs.exe | 004012EC | FindWindowA(00403148: "AVP.AlertDialog", 00000000) returns: 00000000
cmdbcs.exe | 004013A1 | FindWindowA(004030F0: "AVP.Product_Notification", 00000000) returns: 00000000
cmdbcs.exe | 004013B8 | FindWindowA(00000000, 00403128) returns: 00000000
cmdbcs.exe | 004012E0 | Sleep(00000001) returns: 00000000
cmdbcs.exe | 004012EC | FindWindowA(00403148: "AVP.AlertDialog", 00000000) returns: 00000000
cmdbcs.exe | 004013A1 | FindWindowA(004030F0: "AVP.Product_Notification", 00000000) returns: 00000000
cmdbcs.exe | 004013B8 | FindWindowA(00000000, 00403128) returns: 00000000
cmdbcs.exe | 004012E0 | Sleep(00000001) returns: 00000000 Hmk
cmdbcs.exe | 004012EC | FindWindowA(00403148: "AVP.AlertDialog", 00cmdbcs.exe | 004013A1 | FindWindowA(004030F0: "AVP.Product_Notification", 00000000) returns: 00000000 000000) returns: 00000000
cmdbcs.exe | 004013B8 | FindWindowA(00000000, 00403128) returns: 00000000
cmdbcs.exe | 004012E0 | Sleep(00000001) returns: 00000000
cmdbcs.exe | 004012EC | FindWindowA(00403148: "AVP.AlertDialog", 00000000) returns: 00000000
cmdbcs.exe | 004013A1 | FindWindowA(004030F0: "AVP.Product_Notification", 00000000) returns: 00000000
cmdbcs.exe | 004013B8 | FindWindowA(00000000, 00403128) returns: 00000000
cmdbcs.exe | 004012E0 | Sleep(00000001) returns: 00000000
cmdbcs.exe | 004012EC | FindWindowA(00403148: "AVP.AlertDialog", 00000000) returns: 00000000
cmdbcs.exe | 004013A1 | FindWindowA(004030F0: "AVP.Product_Notification", 00000000) returns: 00000000
cmdbcs.exe | 004013B8 | FindWindowA(00000000, 00403128) returns: 00000000
cmdbcs.exe | 004012E0 | Sleep(00000001) returns: 00000000 o9E"2h9J)v
cmdbcs.exe | 004012EC | FindWindowA(00403148: "AVP.AlertDialog", 00000000) returns: 00000000
cmdbcs.exe | 004013A1 | FindWindowA(004030F0: "AVP.Product_Notification", 00000000) returns: 00000000
cmdbcs.exe | 004013B8 | FindWindowA(00000000, 00403128) returns: 00000000
| |
※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-3-30 00:57 |
|
yuxiaoxiao
注册用户
积分 126
发帖 126
注册 2007-3-2
|
#47
楼主可以自己防御
| |
※ ※ ※ 本文纯属【yuxiaoxiao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-3-30 08:26 |
|
Paxson
高级用户
积分 593
发帖 591
注册 2006-5-11
来自 China CD
|
#48
哦哦 学习了
| |
※ ※ ※ 本文纯属【Paxson】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
东方微点“反病毒技术交流”群:630086、1471553 、16998902
论坛:http://bbs.micropoint.com.cn/ |
|
|
|
2007-3-30 11:35 |
|
100000
版主
灌水区华南水务使
积分 3285
发帖 3250
注册 2007-2-26
来自 深圳
|
#49
敝人不懂技术。
不是说加到可信任的程序,微点仍然可以查杀的吗?
| |
※ ※ ※ 本文纯属【100000】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
日出东方 微点先行 主动防御 快人一步 |
|
|
|
2007-3-30 12:49 |
|
孤烟
注册用户
积分 128
发帖 126
注册 2007-2-9
|
#50
此贴引人深思啊...
| |
※ ※ ※ 本文纯属【孤烟】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-3-30 15:22 |
|
