御剑临风.
禁止访问
积分 625
发帖 659
注册 2009-4-10
|
#1 【谈谈微点“神话”没有谁是救世主】
最近都比较忙,所以没时间上来写点东西,好不容易挨到端午放假了。。。累啊~争取放假这几天,一天一篇技术性的文章,也算是对这段时间没来的一点“补偿”吧~
微点不用我说了,常玩杀软的应该都知道,以“主动防御”著称,口号是,无需升级防杀新型病毒,无需等待扫描,占用资源低(因为采用的监控是触发式。。。所以不用总在后台扫描文件~)。。。而且也总结了些经验,最近打算出扫描器(就是特征码扫描,据说还采用了虚拟机的方式。。学江民么?,看那个扫描版扫描时CPU狂飙我就不禁冷笑。。。。)以解决之前的微点的一个重大弱点,那就是没法解决没有发作病毒的隐患~这样的话,在配合其主动防御做为的“检控”出个安全套装的话,实力非同小可~无非又给骇客们带来了新的挑战,因此我总结下微点的几个不足的地方,纯技术交流,误做它用~
1.感染性病毒拦截问题。 上面我说过了,微点用的是“触发机制”一旦满足这个机制它才会报警,这就是为什么有些测试样本运行时,一开始没什么反应,过一会就会报毒了。。。不是微点反应慢,而是只有病毒满足其规则的若干个条件时,才会触发“报警”机制,而微点恰恰就是在这方面存在漏洞,尤其是面对“感染型病毒”的时候,一般感染型病毒会通过修改文件和插入代码的方式来感染文件,这期间除了某些不慎的作者触动了敏感选项的注册表外,几乎不会碰到微点的“禁忌事项~”,没有服务创建,不会加载驱动,也不插入某些程序,只需些感染代码的批处理和自启动文件autorun就足够了,并且在感染后删除自身,微点根本就找不到病毒本体,其他程序虽然被感染,但因为其原本是正规程序,所以根本没有触发条件,微点自然就不会报警,所以说微点在这方面需要改进,目前微点对付感染型的病毒还是很弱的,基本上特征码能扫描出来的很多,都对付不了。
2.结束进程问题。微点不同于国产杀软的“疯狂挂钩子”的方法,(尤其是江民,挂钩子的技巧简直能以变态来形容~)恢复SSDT表的话都差不多(江某除外~)也不采用国外的底层驱动保护和服务0秒重启的方式~(卡巴、麦咖啡和NOD32~)微点用的插入进程。。。(病毒的手法,多少有点猥琐~)插入每一个进程,这样即使自己的主要进程被结束,其他程序中插入的模块也会起到自动恢复的作用~杀是杀不觉得(。。。你总不能把所有进程都“结束”吧?~)因此大多木马都研究的是“过微点”。。。却没有打算强杀的,我本身不这么认为,1.强杀比免杀简单的多~效率也高 2.强杀的生存时间比免杀长 但是强杀就要有个强杀的方法,方法1很简单就是利用关闭关键字窗口的方法,关掉微点的界面使其出错~ 2.利用重启计算机的方式,重启后删除微点在系统盘下的sys序列号文件,一旦删除这个文件,微点再重启后会提示“获取序列号,失败”这样微点就完全启动不起来了,同样达到强杀的目的。
3.批处理问题,微点因为没有扫描系统,而批处理恰恰又不容易触发微点报警,所以批处理方面完全是微点的软肋,像之前过微点的“著名”病毒,Trojan.Win32.IAgent 就是利用大量的VBS脚本和批处理文件来达到的,(启动方面还是我上面提到的autorun和系统的那个百年BUG,计划任务~)完全不会触发当时的微点报警机制~。。。所以今后如果微点一旦发达起来,没有配合扫描的微点,批处理将成为其劲敌!~
。。。。说道底,微点不是那么不容易过,也不是那么不容易杀,只是现在还没有“树大招风”起到一个“免疫”的作用,如果微点成为将来的卡巴或者瑞星,骇客们把眼光集中到微点上,很快就会出现一大堆意想不到的漏洞,(就像微点写病毒报告的时候总有某些病毒的行为是遍历安全软件进程然后杀之。。。然而这个遍历安全软件的进程中,却很少有微点的名字~说明很多病毒作者根本还没把微点纳入眼里~)微点的用户范围还不够广,市场也不够大,现实情况是,微点很缺钱,(没钱你连广告都打不起,打不起广告又怎么让人了解和知道你?~)在金融海啸的危机前,不禁让我怀疑这样下去微点能否“坚持”下去?,让我怀疑起了微点病毒的上报处理能力,(微点有多少反病毒工程师?瑞星有600+ ~微点呢?~)。。。自然会担心起微点的能力了。。。总之,没有谁是救世主。。。。。。不存在只有一面的硬币~
| |
※ ※ ※ 本文纯属【御剑临风.】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2009-5-31 11:37 |
|
御剑临风.
禁止访问
积分 625
发帖 659
注册 2009-4-10
|
#2
关于微点批处理的问题
微点的缺点
前几天被一个批处理弄死了系统了
删除系统盘下的所有exe
然后在其他盘建立无数个无法删除的文件夹
导致我全格了硬盘
要是有意的人利用了微点这个缺点,,,,,,后果不堪设想啊
我向微点反馈,得到的官方答复是
微点不对任何批处理文件做处理
大家注意了,只装微点的不要随便打开批处理文件!!
这个bat文件在瑞星,金山,nod32,卡巴等杀软均为木马
| |
※ ※ ※ 本文纯属【御剑临风.】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-5-31 11:38 |
|
驾驭流星
中级用户
新手上路
积分 221
发帖 221
注册 2005-12-30
来自 中国!
|
#3
寒~ 我经常用bat文件~
不过印象中有次用bat文件被微点报毒,那个bat文件是个删除系统关键文件的批处理,被微点防住了!
[ Last edited by 驾驭流星 on 2009-5-31 at 11:42 ]
| |
※ ※ ※ 本文纯属【驾驭流星】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-5-31 11:39 |
|
御剑临风.
禁止访问
积分 625
发帖 659
注册 2009-4-10
|
|
|
2009-5-31 11:56 |
|
HomeSGerMine
银牌会员
■■微点护卫队队长■■
积分 4888
发帖 4785
注册 2009-3-8
来自 哪里有微点,哪里就有我
|
#5
我不知道御剑你用意何在?
| |
※ ※ ※ 本文纯属【HomeSGerMine】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
东方之荣耀, 中华之微点!---Microp●int
|
|
|
|
2009-5-31 12:01 |
|
无量山
注册用户
积分 107
发帖 107
注册 2009-3-6
|
#6
虽然我才用微点,但是微点我也在不断测试,感染型的目前我没发现过了微点的。
利用关闭关键字窗口的方法,只能关闭界面顶多(是否能关闭另外再说),但是主程序依然运行,微点的防御肯定还存在。
批处理貌似还是防的
| |
※ ※ ※ 本文纯属【无量山】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-5-31 12:07 |
|
狙击virus
注册用户
积分 162
发帖 162
注册 2008-11-25
|
#7
楼主脑子有病吧,感人型的能过微点?那么大的动作能不防么,笑话。
你倒是给我找一个结束微点的东西出来,站着说话腰不疼。
| |
※ ※ ※ 本文纯属【狙击virus】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-5-31 12:09 |
|
狙击virus
注册用户
积分 162
发帖 162
注册 2008-11-25
|
#8
借用你以前的一句话,样本,给我样本,没有样本就别废话。
| |
※ ※ ※ 本文纯属【狙击virus】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-5-31 12:10 |
|
心随风落
高级用户
积分 518
发帖 500
注册 2007-1-24
|
#9
楼主原创的么? 貌似是,楼主的最大本事就是把人家的当成自己的,然后自己就成牛A跟牛C中间的那个了。
| |
※ ※ ※ 本文纯属【心随风落】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-5-31 12:14 |
|
thinkzero
新手上路
积分 36
发帖 34
注册 2008-11-9
|
#10
LZ是支持微点的,但他是“先天下之忧而忧”
也算是黑客(和骇客有区别)吧,把微点的问题提前提出,防范于未然。
大家多看一下他的帖子就懂了!!
| |
※ ※ ※ 本文纯属【thinkzero】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-5-31 12:43 |
|
