zgpxyp
新手上路
积分 11
发帖 11
注册 2007-1-28
来自 江苏
|
#1 发现一个问题,也许可以轻而易举的躲过微点防御
不经意中,发现只要改过了系统时间超过了微点的使用期限,少则一分钟都不到,有时是几分钟,有时会几十分钟,就会跳出窗口说使用期到了,微点就停止工作了(应该是停止工作了吧,小图标黄色球不转了).第一次我不知道怎么办,卸了重新装了下.后来发现,只要在续费窗口查询一下午剩余使用时间就又恢复了.可是这样,如果一个病毒专门针对微点,让它会修改系统时间(这个行为应该不会认为是有害病毒程序吧),然后潜伏一段时间再发作,是不是就能躲过微点的防御了?建议微点的使用其他不要根据系统时间确定.
| |
※ ※ ※ 本文纯属【zgpxyp】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-2-4 22:48 |
|
drawr
注册用户
新手上路
积分 55
发帖 55
注册 2005-12-23
|
#2
正常程序是不会修改系统时间滴,微点现在已经把修改系统时间的程序报木马了,绅博等论坛上有样本的测试,所以楼主不用害怕了。
当然手动修改系统时间,微点是不会管滴。
| |
※ ※ ※ 本文纯属【drawr】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-4 23:10 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-2-4 23:14 |
|
zgpxyp
新手上路
积分 11
发帖 11
注册 2007-1-28
来自 江苏
|
#4
| Quote: | Originally posted by drawr at 2007-2-4 23:10:
正常程序是不会修改系统时间滴,微点现在已经把修改系统时间的程序报木马了,绅博等论坛上有样本的测试,所以楼主不用害怕了。
当然手动修改系统时间,微点是不会管滴。 |
|
是不是真的?我就是用了一个叫anti-timer的修改程序启动时间的小程序后,才发现微点过期的警示的,修改过程才5秒,微点并没有任何提示呀
| |
※ ※ ※ 本文纯属【zgpxyp】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-4 23:36 |
|
drawr
注册用户
新手上路
积分 55
发帖 55
注册 2005-12-23
|
|
|
2007-2-4 23:55 |
|
zjboy
新手上路
积分 18
发帖 18
注册 2007-2-5
|
#6
恩啊,发上去分析下就知道了!
| |
※ ※ ※ 本文纯属【zjboy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-5 10:06 |
|
ballpointpen
中级用户
积分 436
发帖 434
注册 2006-6-20
|
#7 科教网的客户终端软件Dr.com也可以造成微点瘫痪(即重启故障)
操作系统:Win XP_SP2,所有的补丁
微点主动防御软件测试版:程序版本1.2.10569.0028,特征版本1.4.211.070203
操作程序如下:
1. 下载Windows系统下的客户终端软件Dr.com。下载地址:http://www.gxu.edu.cn/2005/xyw2005/showids.php?lmhao=45&id=65
2. 安装Dr.com,微点正常
3. 运行Dr.com,微点正常,但发现两个木马文件,并将之隔离:
C:\Windows\system32\TcpIpDog0.dll
C:\Windows\system32\TcpIpDogR0.dll
这两个文件是安装Dr.com时释放的,是启动Dr.com所必须的。
4. 重启电脑,进入windows桌面后,微点无法启动。
因为 C:\Windows\system32\TcpIpDog0.dll和C:\Windows\system32\TcpIpDogR0.dll被删除,结果导致系统网络功能出现故障(Winsock出现故障),从而导致微点无法启动,当然Dr.com也无法启动。
当然可以通过修复Winsock故障的办法来恢复微点的正常启动,以恢复微点的防御体系。参见:http://www.gxu.edu.cn/gdtz/khd.htm。不需要卸载微点。
病毒木马是否也能通过类似的思路(即造成Winsock出现故障)来终止微点的启动?
[ Last edited by ballpointpen on 2007-2-5 at 12:19 ]
| |
※ ※ ※ 本文纯属【ballpointpen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-5 11:51 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
#8
请问您所说的微点无法启动是否是指微点的任务栏图标没有?请看下您的系统的任务管理器中是否还有微点的进程存在?您所测试的dr.com版本为v3.13版本,请用dr.dom最新版本测试试试看。这个客户端软件是由用户自己安装并修改winsock的,一般的木马病毒很难做到这种情况,且大多数都是后台自己运行操作的。同样感谢您的建议,我们会根据您的描述具体测试分析下。
[ Last edited by Legend on 2007-2-5 at 12:19 ]
| |
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
|
微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息 |
|
|
|
2007-2-5 12:01 |
|
ballpointpen
中级用户
积分 436
发帖 434
注册 2006-6-20
|
#9
微点的任务栏图标没有了。准确地说,是第一次重启,微点的任务栏图标一闪而过就消失了,任务管理器里似乎(记不清了,你们亲自测试看吧,重现性很好的)有一些微点的进程,且手工启动微点失败;第二次重启,微点的任务栏图标连闪都没有闪,手工启动微点也失败。
[ Last edited by ballpointpen on 2007-2-5 at 12:33 ]
| |
※ ※ ※ 本文纯属【ballpointpen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-5 12:13 |
|
ballpointpen
中级用户
积分 436
发帖 434
注册 2006-6-20
|
#10
| Quote: | Originally posted by Legend at 2007-2-5 12:01:
请问您所说的微点无法启动是否是指微点的任务栏图标没有?请看下您的系统的任务管理器中是否还有微点的进程存在?您所测试的dr.com版本为v3.13版本,请用dr.com最新版本测试试试看。这个客户端软件是由用户自己安 ... |
|
经过试验,我发现,不同学校的Dr.com版本是不同的,不能通用,似乎是专门定制的。我曾经从别的学校网站上下载过3.39版本的Dr.com,但无法上网。我们学校目前使用的版本是v3.13版本。
[ Last edited by ballpointpen on 2007-2-5 at 12:34 ]
| |
※ ※ ※ 本文纯属【ballpointpen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-5 12:27 |
|
