微点交流论坛 - 微点主动防御软件 - 刘总！我们的用户数量很庞大！严重暴露出来了我们的软肋！请给予回答！

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点主动防御软件 » 刘总！我们的用户数量很庞大！严重暴露出来了我们的软肋！请给予回答！

1/4

471795251
银牌会员

九三学社

积分 3818
发帖 3882
注册 2007-2-4
来自山西省阳泉市晋东化工厂

#1 刘总！我们的用户数量很庞大！严重暴露出来了我们的软肋！请给予回答！

众所周知，微点对vbs、vbe、bat之类的东西防御力很弱！而且，我现在发现了一种更新的免杀手段，专门针对云安全的！思路很新！而且，使用了多种免杀技术（思路都很好），这样经过推测，也极有可能过了微点！可能性相当大！

我希望主动防御软件加入这个功能：
如果一个Bat或者EXE文件，调用了cmd之类的指令，那么微点给予提示，说明软件调用的命令属于类型的。下面举个例子：
如果我写入：
del C:\windows\system32\*.*
然后保存为bat文件。那么，如果我运行这个文件之后，微点要做的就是先拦截这个动作，然后提示用户，某某软件要删除文件之类的，顺便给用户一个提示：这个可能是某些软件正在执行系统清理。
而如果调用regsvr之类的东西，那么微点就应该提示我，某软件需要注册文件。（例如安装迅雷、QQ后，他们就会执行regsvr32来注册dll文件）。

还有一个就是病毒追源的能力。也就是说，我运行一款软件，那软件运行后没有任何病毒软件的特征，就像普通的软件，给用户带来方便。但是！他顺便拉点儿屎巴巴，仅仅是写入了自启动以及C盘一些地方的文件，而且像天女散花，每个角落都稍微留下点儿东西，而且种类不同，特征也不同（他妈的跟安装驱动一球样的行为），而且都不启动。那么，等用户用完软件后，将软件退出，微点也就结束了对这个软件全程跟踪的行为分析。因此，这个软件拉下的屎巴巴微点也就不管了，微点认为现在跟这个已经退出的软件没什么关系了。那么，漏洞来了！如果这个软件拉的屎巴巴稍微不注意的激活了，那么，依旧跟微点打时间战。他运行了，先别搞什么破坏，先叫醒其他沉睡的屎巴巴，然后再经过很多步骤，一点一点的突破防火墙，然后达到跟黑客的连接！那么，我们的微点也就成了黑客的阶下囚！
这里大家有个疑问了，他的屎巴巴们怎么实现突破防火墙的呢？这个很容易！反正屎巴巴一群了，人多力量大，一个当做控件进IE，一个当什么远程管理工具，一个当看片儿的，一个注入专业的软件（如photoshop、CAD之类的），一个把自己当软件狗，这样四处折腾，能找不出微点的软肋吗？能过不了微点的主动防御吗？能找不出用户使用行为的软肋吗？？当然，革命是需要牺牲的。这个过程中，很多屎巴巴都会被微点干掉。但是，人多力量大，咱有人就能生，刚生下来的是孙子，装B，什么都不管理，微点能把她们当病毒吗？长江后浪推前浪，孙子们的爷爷都挂了（例如认任务被结束了，微点的监控的行为也就不管他的历史了），那孙子再出来帮忙过微点也不迟啊！这样就导致了病毒永远也杀不干净，总有一天会过掉微点的！到那个时候，微点死求了，也不清楚，真正的元凶其实就是在本大段第一行提到的最原始的那个软件！具体的做法、原理，恐怕微点里随便拉出来一个都知道得一清二楚，想到的人也有很多，但是为什么没人完善微点呢？？？？？？？？？？？？？？？
这已经不是设想了，已经有人做出来了！已经付诸行动了！我是微点的忠实用户，我很担心！我也怕我成为肉鸡！（黑客vs八神都是360的点儿小，那我也不得不怕我自己成为肉鸡啊！）

另外，微点扫描软件也要加强跟微点主动的联动作用。

※ ※ ※ 本文纯属【471795251】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-1-17 17:03

471795251
银牌会员

九三学社

积分 3818
发帖 3882
注册 2007-2-4
来自山西省阳泉市晋东化工厂

#2

一个类似的病毒已经通过QQ邮箱给你们发送过去了，请查收。还有，我忘记说了。
千万别小看程序的溢出攻击，太恐怖了！虽然是很古老的方法，但是至今也相当的有效、实用！！
刘总，您曾经是瑞星的总工程师，那么，您应该清楚，很多年前，瑞星是如何因为溢出而被fuck掉的。如果现在我是一个小小的病毒，我缓慢的执行溢出攻击，利用微软自己的漏洞、bug，最后导致K掉所有运行中的程序，完全是可能！因为我现在的马甲身份完全可以是DirectX 11、games for windows -live、Application Layer Gateway Service等很多东西！我穿得花花绿绿的，微点能认出我吗？我现在深表怀疑。

※ ※ ※ 本文纯属【471795251】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-1-17 17:09

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#3

感谢楼主的反馈，

您的建议，我们已经认真记录并提交相关部门予以深入研究，如被采纳，将在微点后期版本中予以体现。

您反馈的样本，请加密压缩（密码为virus）后发送到virus@micropoint.com.cn 发送时请附带本帖链接，我们将尽快分析后给您答复。

感谢楼主对微点的支持。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2010-1-17 17:13

471795251
银牌会员

九三学社

积分 3818
发帖 3882
注册 2007-2-4
来自山西省阳泉市晋东化工厂

#4

邮件发送过了，请查收，没加密……

还有一个，是关于防火墙的漏洞。
我们经常遇到的病毒中，很多都是插入IE进程来穿越防火墙的。因此，可以发现很多中招的电脑明明把所有的IE窗口都关闭了（包括正在使用IE自带的下载工具下载的文件也停止了），然后打开任务管理器，但是发现iexplorer进程依旧在……9成判断你的电脑中招了。那么，如果我们安装了微点主动防御，出现上述状况，那么我们点击微点里的诊断，来检测可疑程序。但是，微点无法发现任何异常。那么，这是微点出问题了吗？不见得。是因为iexplorer是好人，只是被坏人的拐骗中办了坏事。大多数情况只要用户重启电脑，微点就会揪出幕后的坏人的。
但是，在没重启电脑之前，这种情况也极其容易引起用户的隐私丢失！因此，我推荐微点的可疑程序诊断里面加上这个规则，如果检测不到有IE窗口，但是IE进程还在，那就需要微点叫唤两声了，要么死气沉沉的谁都受不了……

※ ※ ※ 本文纯属【471795251】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-1-17 18:07

471795251
银牌会员

九三学社

积分 3818
发帖 3882
注册 2007-2-4
来自山西省阳泉市晋东化工厂

我打这么多字儿也不给我加点儿分？看我的分，与发帖量的那个差距啊！

※ ※ ※ 本文纯属【471795251】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-1-17 18:09

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#6

感谢楼主的反馈，我们分析之后会第一时间与您联系！感谢您对微点的支持！

[ Last edited by Legend on 2010-1-17 at 18:23 ]

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2010-1-17 18:20

zdstclweidian
注册用户

积分 86
发帖 86
注册 2009-11-24

#7

希望微点重视以上楼主的问题，

※ ※ ※ 本文纯属【zdstclweidian】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-1-17 20:56

理想未来
禁止发言

积分 386
发帖 382
注册 2008-12-10

#8

我不知道以后是不是关机，重装系统，这些都可以做成批处理用户行为都要被拦截？

※ ※ ※ 本文纯属【理想未来】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-1-18 01:07

kaliuba
新手上路

积分 6
发帖 6
注册 2010-1-18

#9

貌似这个是一个方法呢，刚注册关注下。

※ ※ ※ 本文纯属【kaliuba】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-1-18 20:24

meisidi
新手上路

积分 29
发帖 29
注册 2009-1-6

#10

很强很达人
好贴顶起

※ ※ ※ 本文纯属【meisidi】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-1-19 21:13

1/4

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号