微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 微点如何防此类恶意程序?  

作者:
标题: 微点如何防此类恶意程序?
david1126103
版主




积分 723
发帖 721
注册 2006-9-17
来自 美国
#1  微点如何防此类恶意程序?

一个加入恶意命令批处理文件,或者注册表文本文件,可以使系统数据遭到破坏,甚至一个自解压的文件加几句脚本也能达到破坏的效果,微点如何防?
批处理文件调用CMD.EXE,微点认为是正常动作,但是被恶意脚本命令利用了,微点如何防,目前只有通过网友上报,提取特征值来灭杀,而无法做到微点说的主动防御,因为一个批处理文件调用CMD.EXE这个动作本身是正常的,但是脚本命令是不正常的。。。
微点被这样的恶意程序过了不是一两次了。。
所以微点是否该想想如何通过一种更合理的机制来预防这种恶意程序,真正作到主动防御,而不是事后提取特征值来灭杀呢?
这也不是微点单一出现的问题,很多HIPS软件也存在这样的问题,CMD.EXE总是被信任,而被恶意脚本利用。。

[ Last edited by david1126103 on 2007-2-2 at 21:43 ]

※ ※ ※ 本文纯属【david1126103】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-2 21:42
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

谢谢楼主提供的信息,我们会认真考虑的。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-2-2 21:57
查看资料  发短消息   编辑帖子
Paxson
高级用户





积分 593
发帖 591
注册 2006-5-11
来自 China CD
#3  

嗯 比如某些恶意行文 还是应该有个提示

如果有个高级用户选项的话 就应该让能够自己分辨的人 来选择

※ ※ ※ 本文纯属【Paxson】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方微点“反病毒技术交流”群:630086、1471553 、16998902
论坛:http://bbs.micropoint.com.cn/
2007-2-3 00:29
查看资料  发短消息  QQ   编辑帖子
天涯海客
注册用户




积分 161
发帖 161
注册 2007-1-15
#4  

嗯 比如某些恶意行文 还是应该有个提示

※ ※ ※ 本文纯属【天涯海客】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-3 10:56
查看资料  发送邮件  发短消息  QQ   编辑帖子
fzp070
新手上路





积分 21
发帖 21
注册 2007-2-7
#5  

我觉得现在微点的问题,不是能不能查报出病毒和恶意行为(你说的那种调用cmd的行为其实是正常行为,但调用后在cmd运行病毒后的行为就是病毒行为了,应该是可以查出的),而是查出后无法删除掉病毒(一些驱动级等比微点权限更高的系统底层的病毒)

※ ※ ※ 本文纯属【fzp070】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-7 15:40
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#6  

依据微点软件的工作机理可以有效防御您所说的驱动级病毒,如果您发现这种类型的样本可以发到virus@micropoint.com.cn我们具体测试分析。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-2-7 15:54
查看资料  发短消息   编辑帖子
ballpointpen
中级用户





积分 436
发帖 434
注册 2006-6-20
#7  

  同意LZ的看法。卡饭论坛上有一个捣乱程序CMD程序样本,这个CMD程序反复调用cmd.exe,在内存中出现无数个cmd.exe线程,造成系统资源耗尽。我试过了,微点没有反应,最后造成系统资源耗尽,只能Reset重启。
  出于安全的考虑,对于调用某些正常的系统程序(如cmd.exe、自动批处理程序、format.com、del和erase等)的行为(不论发出者是谁),微点能否进行监控,给出提示,并要求用户进行允许或禁止的选择?

[ Last edited by ballpointpen on 2007-2-7 at 22:11 ]

※ ※ ※ 本文纯属【ballpointpen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-7 21:53
查看资料  发送邮件  发短消息   编辑帖子
gggwly
新手上路





积分 19
发帖 19
注册 2007-2-9
#8  

大家都很有一手,羡慕死了

※ ※ ※ 本文纯属【gggwly】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-9 03:44
查看资料  发送邮件  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号