66653202
注册用户
积分 126
发帖 126
注册 2006-10-26
来自 武汉
|
#61
学习了,感谢楼主.
| |
※ ※ ※ 本文纯属【66653202】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-2-2 14:08 |
|
ohmygod
注册用户
积分 53
发帖 53
注册 2006-11-24
|
|
|
2007-2-3 01:55 |
|
cnhakkas
新手上路
积分 16
发帖 16
注册 2007-1-11
|
#63
| Quote: | Originally posted by Legend at 2007-1-19 09:36:
非常感谢朋友们对微点的关心与支持,您的意见与支持一直不断鞭策着东方微点不断进步提高。微点主动防御软件目前尚处于测试阶段,仍在不断发展与完善的,欢迎大家继续做深入的测试使用,提供更多的意见建议,我们都 ... |
|
正是有了您这样的潜心者,才能让人看到成功的希望所在
| |
※ ※ ※ 本文纯属【cnhakkas】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-3 02:40 |
|
good4buddy
新手上路
积分 37
发帖 37
注册 2006-12-25
|
#64
看完了文章,也學習了一些,相信有這樣的互動,微點會更強大的!
| |
※ ※ ※ 本文纯属【good4buddy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-3 09:24 |
|
weiyi8183
新手上路
积分 2
发帖 2
注册 2007-2-3
|
#65
瑞星跟微点根本没法比的
| |
※ ※ ※ 本文纯属【weiyi8183】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-3 10:56 |
|
天涯海客
注册用户
积分 161
发帖 161
注册 2007-1-15
|
#66
呵呵.版主说对了.在自己机器上用得着这些吗???如果要用这些才能关掉那微点也可以算是病毒了
| |
※ ※ ※ 本文纯属【天涯海客】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-3 11:01 |
|
fourers
新手上路
积分 2
发帖 2
注册 2007-2-3
|
#67
楼主厉害!!!加油!!
| |
※ ※ ※ 本文纯属【fourers】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-3 13:27 |
|
zxy06
新手上路
积分 34
发帖 34
注册 2006-7-17
|
#68
看见高手过招真是过隐
| |
※ ※ ※ 本文纯属【zxy06】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-3 14:36 |
|
linovo
中级用户
积分 346
发帖 334
注册 2006-12-9
|
#69
一直久闻卡巴的进程保护做得很到家^_^,但自己以前在家里一直轮流用国产三大杀毒软件,为了避免冲突、减少麻烦,加上电脑配置不高,没有试用卡巴。昨天为了便于验证自己一些想法,专门搭建了一个虚拟系统,装上卡巴(最新正式版kis6.0.2.614),用冰刃也对卡巴做了一下测试。发现卡巴进程早就有进程复活功能了,图片不再贴上来了,跟瑞星防火墙和现在最新版的微点差不多。
建议微点作如下改进:
1.对几大进程做进一步整合,把4个进程合并成2-3个,因为可能的后门越多,越容易给病毒利用,要想强化微点几大进程的互动,做到互相监控,进程数量多,相互监控会疲于奔命,也占用更多系统资源。卡巴6.0的功能非常多,亦很强大,但进程只有2个,就算打开主界面也是2个,微点如果打开主界面会有5个——太多了。还有,我推断,要攻破微点构筑的防御体系,不一定非要杀微点的进程,微点几大进程要正常运转,需要进程间的通信,例如,网络防火墙设置不当,会使得微点不能正常工作。那么病毒它也可以像网络防火墙那样,使用驱动编程,在底层把微点部分甚至全部进程间的通信拦截或者干扰,是否就能击溃微点的防御?
2.微点现在有进程启动日志,会把随机启动的程序何时启动退出作记录。我建议在此基础上增加对微点进程加载、退出记录——微点进程何时给哪个程序关闭都记录下来,便于用户、技术员分析问题所在。另外,微点任何一个进程退出均应该向用户提示,便于用户及时发现系统异常。除了任务管理器等系统进程结束微点外,其他程序杀微点均应该定义为可疑的风险程序,并向用户报警。
卡巴的自我保护确实做得不错,有程序尝试访问它的进程,会马上报警,以防止自己被病毒关闭和注入。
例如:
| Quote: | | 进程(PID 4560)尝试访问卡巴安全套装6.0进程(PID 3368), 已被自我保护功能阻止。 |
|
3.在我打开卡巴实时监控时,运行冰刃,卡巴有不少提示,例如释放驱动获取对系统完全访问、修改注册表等动作,可以说有病毒特征,卡巴在这方面记录得很仔细,但微点却没有任何反应。我个人认为,虽然提示多会让新手觉得恐慌,然而鱼和熊掌永远不可兼得,什么都报总比一点反应没有强些。
4.再次强烈建议微点增加进程黑名单功能。我之前有这样一个建议
| Quote: | | 7.今天发现冰刃还有一个厉害功能——就是禁止进线程创建(如图)。打开该功能后,你想打开程序或者安装软件都是徒劳的,我觉得此功能十分实用。建议在此基础上增加进程黑名单,这样比冰刃直接禁止所有进线程创建灵活些。我发现有些厉害的病毒,就算杀掉,它还会重新加载,但有时不想把它的文件删掉(留一个作种^_^),把它加到进程黑名单可让抑制它的加载,不让发作了。 |
|
版主的答复是
| Quote: | Originally posted by Legend at 2007-1-20 18:32:
7.禁止进/线程创建功能,如果是有害程序微点通过动态仿真反病毒专家系统会及时拦截并报警的。如果是正常程序的安装与卸载微点是随时监控的。您所说的“厉害的病毒”按照微点的工作机理也是可以正常防御并追踪源头的。如果您发现这种情况的程序微点没有拦截可以发到virus@micropoint.com.cn我们会具体测试分析。 |
|
动态仿真反病毒专家系统要有效,它的前提是可以识别的未知病毒,不排除(而且肯定有)一些未知病毒微点不能识别,而且感染了很多文件夹,用户把它的进程关了,没多久又加载,如果有手动添加进程黑名单功能就可以调动用户的主观能动性,尽可能禁止此类病毒发作。
昨天家里的电脑中了毒,病毒文件名是pif.exe(病毒样本已发给微点了),系统装了毒霸2007,升级到最新版,毒霸识别不了,微点可以识别为未知木马,卡巴能准确报出病毒名,费尔扫描不出来,但运行时发现它有危险并报警。简单得出一个小结论——有主动防御跟没有确实不一样^_^。
在正常情况下,双击pif.exe微点可以报未知木马如图,但在我用任务管理器把微点的MPMON.exe关闭后,再激活病毒,微点的日志记录继续有效,会把病毒生成的文件记录下来,但防御体系确实崩溃,不能杀毒了。
[ Last edited by linovo on 2007-2-7 at 15:46 ]
附件
1:
bingren.jpg
(2007-2-3 17:31, 46.22 K,下载次数: 61)
附件
2:
bing.jpg
(2007-2-3 17:32, 97.17 K,下载次数: 42)
附件
3:
bin.jpg
(2007-2-3 17:32, 27.54 K,下载次数: 29)
附件
4:
rizhi.jpg
(2007-2-3 17:32, 15.54 K,下载次数: 60)
附件
5:
muma.jpg
(2007-2-3 17:38, 35.07 K,下载次数: 56)
| |
※ ※ ※ 本文纯属【linovo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-3 17:28 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
#70
微点主动防御软件是一套复杂的逻辑判断,通过动态仿真反病毒专家系统依据程序行为识别规则知识库自动分析判断病毒程序,并不是依据单一的动作判断,所以不会每个动作都提示用户操作,东方微点研发微点主动防御软件的宗旨,是为计算机系统提供更安全的防护能力,同时尽可能地提高其易用性。
谢谢您的建议与支持,我们会收录您的建议并认真考虑的,关于那个病毒样本我们会具体测试分析,您所说的手动结束mpmon.exe进程正常情况下微点同样会对病毒处理成功的,我们也会按照您的描述具体测试的。
| |
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
|
微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息 |
|
|
|
2007-2-3 18:15 |
|
