天笑
注册用户
积分 50
发帖 40
注册 2007-8-3
|
|
2007-8-19 22:09 |
|
zayss
高级用户
积分 533
发帖 531
注册 2007-1-22
来自 湖北武汉
|
#2
楼主写的不错啊,金玉良言啊
| |
※ ※ ※ 本文纯属【zayss】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
微点单机版
微点民间粉丝群29129039
|
|
|
|
2007-8-20 08:14 |
|
qq2008444
银牌会员
职业潜水艇
积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
|
#3
行为分析误报的情况是不可避免的
关键是如何要让行为分析判断出哪个是非法进程哪个是合法进程
用"主动防御不可完成的任务"里llcracker大哥举的例子:
"这些木马进程通过修改扩展名关联的方式来启动自己,比如像.lnk会启动一个叫rundll32.com和一个叫1.exe的木马进程,而启动ie时会启动一个叫iexplorer.com及资源管理器explorer.com与regedit.com这是通过可执行文件扩展名优先顺序来启动的,还有就是一个叫winlogon.exe跟windows的及像,另外一个我记不清楚叫什么名字了,好像开头的是exr...什么的一个可执行文件。大致情况就是这样,微点的确清除掉这几个木马进程及文件。但是唯独有一个进程微点无法清除,就是iexplorer.com,虽然能发现但无法杀掉进程及对应的程序文件。很奇怪!过不了多久系统会蓝屏,根据蓝屏信息会发现是一个叫aood.sys(应该叫这名) Driver引发的蓝屏。这个Driver从来没有见过,到系统Drivers目录下去找,没有这个Driver。于是蓝屏重启后,我尝试不运行ie,将微点先进行uninstall。然后再次重启,运行FileMon,再运行ie。哇噻!发现iexplorer.com一运行后,会动态生成一个 aood.sys,进行加载,完毕后再删除aood.sys driver文件名,并且它还应该清除掉了注册表中Services对应的键值,做到神不知鬼不觉。亏这些制造者也想得出来!最后,我进入到98系统中将这些木马程序手工删除掉。再次进入xp后,装入微点确定是否还有其它的木马进程。由于手工删除后,微点也没有再报了。但是我重新运行 BitComet0.63和Stock(一款股票分析软件)报出类似可疑程序的信息。我将其加入到可信任列表中,但是还有一个信息我不敢说是误报,一个由 rundll32.exe加载的dll,说是要访问远程端口,因为rundll32.exe是MS自己的,其以前机子上有,微点报出是否允许访问。由于这个rundll32.exe加载的dll我也不是很清楚是否为病毒或者其它的恶意程序,为了安全就禁止访问。"
传统是用HIPS技术进行记录,逮谁报谁看你同不同意放行.这种方法安全,但是对于没有一定知识的菜鸟来说就太麻烦了,容易误判
对于行为分析如何判定iexplorer.com是非法进程呢?因为他做的也是合法的.释放AOOD.SYS,然后LOAD
AOOD.SYS,这个本身也是合法的.因为没有一个合适的标准说明:什么程序行为是合法什么是不合法,开发者只能按照"经验",自然误报就会产生
| |
※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟…… |
|
|
|
2007-8-20 08:38 |
|
神秘人
中级用户
积分 235
发帖 235
注册 2007-8-11
|
#4
主动防御要有微软的技术支持就好了,最好有一个标准就更好了。
| |
※ ※ ※ 本文纯属【神秘人】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-8-20 08:42 |
|
zj163168
中级用户
积分 263
发帖 263
注册 2007-1-17
|
#5
微软,是微点的一个竞争对手更有可能~~``
微软已经出产杀毒软件,只是现在没有在中国登陆
| |
※ ※ ※ 本文纯属【zj163168】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-8-20 09:22 |
|
qq2008444
银牌会员
职业潜水艇
积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
|
#6
| Quote: | Originally posted by zj163168 at 2007-8-20 09:22:
微软,是微点的一个竞争对手更有可能~~``
微软已经出产杀毒软件,只是现在没有在中国登陆 |
|
微软最喜欢的不就是集大成吗?
| |
※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟…… |
|
|
|
2007-8-20 09:24 |
|
zj163168
中级用户
积分 263
发帖 263
注册 2007-1-17
|
#7
微软CEO很牛逼的说,
哪里都在投资,
不过人家的核心业务,操作系统依旧出色~~`
不像偶们中国的,也是什么都搞,最后把核心业务都做砸了~
| |
※ ※ ※ 本文纯属【zj163168】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-8-20 10:01 |
|
sidineyqiao
版主
体育娱乐休闲版主
积分 1697
发帖 1584
注册 2007-8-2
来自 庆祝微点上市一周年624-630
|
#8
| Quote: | Originally posted by 天笑 at 2007-8-19 22:09:
接触微点是在去年,但到论坛来得少,发贴就更少了(几乎没有 )。但是对网络安全,像杀毒软件防火墙等还算比较熟悉,用过的杀软和防火墙也挺多的。
大概从去年开始不少杀毒软件开始引入主动防御也就是行为判断 ... |
|
支持。。
看来楼主对微点了解到不错哦。
| |
※ ※ ※ 本文纯属【sidineyqiao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-8-20 13:45 |
|
我不是菜鸟
注册用户
积分 91
发帖 91
注册 2007-8-20
|
#9
是吗
| |
※ ※ ※ 本文纯属【我不是菜鸟】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-8-20 20:40 |
|
落拓不羁
注册用户
积分 58
发帖 58
注册 2008-2-9
|
#10
不知道哦这种
| |
※ ※ ※ 本文纯属【落拓不羁】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-2-9 17:44 |
|
