微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » “微点”其实并不适合普通用户  

 36  1/4  1  2  3  4  > 
作者:
标题: “微点”其实并不适合普通用户
无奈无赖
新手上路





积分 14
发帖 14
注册 2006-8-23
#1  “微点”其实并不适合普通用户

任何有进程注入,键盘钩子,消息钩子,修改硬盘分区表信息等行为的软件都会被微点判断为未知间谍软件或者未知什么的,忘了。

举个例子,现在玩游戏不用外挂的可能很少,外挂都使用钩子技术。某些软件会向硬盘分区表写入信息来判断软件是否注册等等。不过我感觉影响最大的可能是外挂了,一般使用外挂的都害怕外挂有木马,会被盗号。但微点又恰恰会将外挂的行为判定为可疑程序。

对于绝大多数普通用户来说,他们根本无法准确判断,只会觉得恐慌。其实有很多程序是需要用到这些功能的。这是一种宁肯错杀一千不肯放过一人的办法,虽然从某种意义上说确实有效,但它并不适合普通用户。

也许这就是新闻媒体报道的微点无法取得什么什么证的原因吧。其实这种技术,在我看来也并不是什么先进的技术,对关键API进行HOOK即可达到这种目的。

※ ※ ※ 本文纯属【无奈无赖】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-23 22:12
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

微点主动防御软件是根据程序的行为判定病毒,如果一个程序的行为符合病毒的行为特征,微点就会立即判断其为病毒.
建议参看微点主动防御软件的技术特点:http://bbs.micropoint.com.cn/showthread.asp?tid=140&fpage=1

如遇到可疑的程序;欢迎您发到我们的邮箱:virus@micropoint.com.cn 我们做进一步的测试分析,谢谢。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2006-8-23 22:26
查看资料  发短消息   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#3  

呵呵,LZ其实说得没错。本来这个软件就是基于Hook SSDT和TDI Filter的啦。确实不是什么先进的技术。任谁开发都会这么做。
至于误报,微点似乎打算把已知的误报程序做成特征库。如果能做得比较完备,应该还是适合初级用户使用的。其实就是排除列表啦。
关于无法通过检测,我也持同样的观点。把这么套不能扫描磁盘的软件推给人家检测,谁都会无从下手。正常的步骤是准备两个文件库,一个是正常文件库,一个是病毒文件库。让杀软扫一下,就可以测试误报率和检出率。但是像这样HookAPI的东西,难道要让我把病毒一个个运行一下,看看你能不能检测清除么?不太现实啊。

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-23 23:13
查看资料  发短消息   编辑帖子
gxdiyer
注册用户





积分 128
发帖 128
注册 2006-8-23
#4  

我一直用SSM,暂时不打算用微点。

※ ※ ※ 本文纯属【gxdiyer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[size=5]好的杀软开发者首先要做一个勇于创新且遵纪守法的病毒制造者![/size]
2006-8-23 23:36
查看资料  发短消息   编辑帖子
和尚
新手上路





积分 23
发帖 23
注册 2006-6-25
#5  

两位高手似乎要告诉大家微点没有通过检测是因为技术太烂?
微点真需要像你们这样的高手来做测试完善微点。哈哈

※ ※ ※ 本文纯属【和尚】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-23 23:39
查看资料  发送邮件  发短消息   编辑帖子
最爱咔吧
新手上路





积分 30
发帖 30
注册 2006-7-27
#6  



  Quote:
Originally posted by 和尚 at 2006-8-23 23:39:
两位高手似乎要告诉大家微点没有通过检测是因为技术太烂?
微点真需要像你们这样的高手来做测试完善微点。哈哈

对技术不能盲从 你的意思是 微点就是技术高高在上?

楼主分析的很有道理

※ ※ ※ 本文纯属【最爱咔吧】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-24 00:04
查看资料  发送邮件  发短消息   编辑帖子
playworm
注册用户





积分 98
发帖 97
注册 2006-8-7
#7  

第三楼说的有点道理,微点应该再做一个磁盘扫描系统,一是用户可以全盘查杀磁盘,二是应付有关部门的检测工作。微点主动防御检测时说是实时防火墙。

※ ※ ※ 本文纯属【playworm】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-24 08:34
查看资料  发送邮件  发短消息   编辑帖子
playworm
注册用户





积分 98
发帖 97
注册 2006-8-7
#8  

其实一楼这种情况,由于自己用外挂,所以要自己承当相应的风险,用外挂对正版软件服务商来说是不合法的,外挂一般由程序高手编的,如果你相信他,你自己用了当然后果自负,当然你有本事自己编一个外挂来用,当然无风险了,我也无话可说。从这个角度来说,微点本身可以做出一点改进,就是提示用户的信息除了说明这个程序的行为如:“警告:这个程序试图修改硬盘分区表,该后果可能是……,是否还继续运行。”,让这些用不合法程序的用户自己去评估风险。

※ ※ ※ 本文纯属【playworm】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-24 08:42
查看资料  发送邮件  发短消息   编辑帖子
反黑先锋
版主

RUNWAY


积分 2901
发帖 2857
注册 2006-6-17
#9  



  Quote:
Originally posted by playworm at 2006-8-24 08:42:
其实一楼这种情况,由于自己用外挂,所以要自己承当相应的风险,用外挂对正版软件服务商来说是不合法的,外挂一般由程序高手编的,如果你相信他,你自己用了当然后果自负,当然你有本事自己编一个外挂来用,当然无 ...

用外挂是有风险的。

※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔
2006-8-24 09:00
查看资料  发短消息   编辑帖子
无奈无赖
新手上路





积分 14
发帖 14
注册 2006-8-23
#10  



  Quote:
Originally posted by flo at 2006-8-23 23:13:
呵呵,LZ其实说得没错。本来这个软件就是基于Hook SSDT和TDI Filter的啦。确实不是什么先进的技术。任谁开发都会这么做。
至于误报,微点似乎打算把已知的误报程序做成特征库。如果能做得比较完备,应该还是适合 ...

其实,检测软件的行为并不是一定要运行一下的,杀软都采用虚拟机技术,将监控文件拖到虚拟机里一转就知道它有什么行为了。

如果把已知的误报做成特征库,想法倒是不错,不过,不太现实。如果确实是这样的,今后用户就不是向杀软厂商举报病毒了,而是举报会被误报的正常软件了,这似乎有点讽刺哈。

※ ※ ※ 本文纯属【无奈无赖】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-24 09:08
查看资料  发送邮件  发短消息   编辑帖子
 36  1/4  1  2  3  4  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号