微点交流论坛 - 微点软件使用交流 - 关于木马过微点主动防御的方法，绝对可行！！已经测试成功！！

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点软件使用交流 » 关于木马过微点主动防御的方法，绝对可行！！已经测试成功！！

102

2/11

hgzfzq
新手上路

积分 43
发帖 43
注册 2006-7-4

#11

Quote:

Originally posted by linzheng129 at 2007-3-11 03:36:
楼主真厉害啊~！也算是为微点做贡献了~！！

呵呵，我这也算是回报微点吧，当初我去申请预升级序列号的时候，当天晚上填写的申请，结果第 2 天上午微点就给我提供了一个预升级序列号，这让我非常感动，所以我下定决心，一定对微点支持到底哈！

※ ※ ※ 本文纯属【hgzfzq】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-3-11 12:21

LjhEARTH
新手上路

积分 45
发帖 45
注册 2006-8-25

#12

嘿嘿，楼主在过微点的构思上和利用timestop永久使用Vista的构思异曲同工，高人啊，都是很好的利用软件那些不是BUG的BUG。
微点的进程自我保护规则中，只允许用户手动打开系统的任务管理器来停止微点进程，现在看来微点对程序自身应该扩充一个这样的规则：只允许用户手动对微点的操作，否则，均拒绝执行。

※ ※ ※ 本文纯属【LjhEARTH】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-3-11 12:43

linovo
中级用户

积分 346
发帖 334
注册 2006-12-9

#13

楼主的思路、方法非常新颖和独特，通过自动点击报警窗口的放行按钮来突破微点的网络防火墙拦截。但假如微点的主界面和报警窗口增加类似冰刃的标题栏随机字符串生成功能——就是标题栏不再使用报警几个字，而是象冰刃那样随机生成字符串【现在smallfrogs最新版的 System Repair Engineer (SREng) 小软件也应用了此技术】，那么想冲破微点防御体系的难度就增加了。
我在网上搜索到一些有关冰刃的材料供有兴趣的人读读：

Quote:

冰刃可谓独特，它显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”，而不是通常所见的软件程序名。这就是IceSword独有的随机字串标题栏，用户每次打开这把冰刃，所出现的字串都是随机生成，随机出现，都不相同(随机五位/六位字串)，这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外，你可以试着将软件的文件名改一下，比如改为killvir.exe，那么显示出来的进程名就变为了killvir.exe。现在你再试着关闭一下IceSword，是不是会弹出确认窗口？这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮，也不能结束IceSword的运行了，只能在IceSword的面前乖乖就范了。

还有，楼主目前的方法虽然突破了微点防火墙这一关，但如果种到用户电脑里的木马破坏行为给微点识别的话还是会给微点干掉，除非病毒有新的行为微点无法识别抑或木马突破微点网络防火墙并且又把微点的进程也干掉几个——把MPmon.exe留下，其他微点进程杀掉，任务栏的实时监控图标还会存在，这种情况下用户不会发觉，

Quote:

就自动点击“跳过”按钮，整个过程不超过半秒钟，用户根本来不及反应。

我自己有个习惯，就是空闲和无聊时会打开微点的主界面的进程查看窗口看看有没有可疑进程，如果楼主能把病毒进程隐藏得微点查不出来，我就更加佩服你了。^_^
自己读大学读的是中文专业，不是计算机相关，对反病毒知识一知半解，说错了，烦请高手指正了。

[ Last edited by linovo on 2007-3-12 at 09:59 ]

※ ※ ※ 本文纯属【linovo】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-3-11 14:44

linovo
中级用户

积分 346
发帖 334
注册 2006-12-9

#14

我对楼主的编写的病毒非常有兴趣，方便的话，楼主能否把该病毒发到我的电子邮箱里：hope200222@yahoo.com.cn,很想研究研究一下

[ Last edited by linovo on 2007-3-11 at 14:56 ]

※ ※ ※ 本文纯属【linovo】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-3-11 14:51

471795251
银牌会员

九三学社

积分 3818
发帖 3882
注册 2007-2-4
来自山西省阳泉市晋东化工厂

#15

我一般不开杀软，基本没有病毒敢来捣乱

※ ※ ※ 本文纯属【471795251】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-3-11 15:43

weizg
中级用户

积分 434
发帖 430
注册 2006-11-25
来自广西南宁

#16

关注一下，
12楼的说得有道理

※ ※ ※ 本文纯属【weizg】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-3-11 23:24

cnshlyh
新手上路

积分 16
发帖 16
注册 2007-3-10

#17

中了也没什么吓人的......马儿也总要运行,分析下,手动删就行了....

※ ※ ※ 本文纯属【cnshlyh】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-3-11 23:36

onemoretouch
中级用户

积分 362
发帖 354
注册 2007-2-9

#18

看完楼主和13楼的讨论真是受益匪浅啊，楼主提出的问题的确是对能搞定未知病毒的微点的一个挑战，而且编程难度并不算大，不过13楼的对策也是很有成效的，我有个问题：如果按楼主的设计思路，再增加一条，在查看所有窗口时，不管是什么标题，都自动去尝试点“不删除”或“跳过”，那是不是就算窗口有随机字符串也同样会被干掉呢？我编程功底不够深，不知道这个说法是不是能实现

※ ※ ※ 本文纯属【onemoretouch】个人意见，与【微点交流论坛】立场无关※ ※ ※

支持国产，做个有良知的中国人！

2007-3-12 09:30

hgzfzq
新手上路

积分 43
发帖 43
注册 2006-7-4

#19

Quote:

Originally posted by onemoretouch at 2007-3-12 09:30:
看完楼主和13楼的讨论真是受益匪浅啊，楼主提出的问题的确是对能搞定未知病毒的微点的一个挑战，而且编程难度并不算大，不过13楼的对策也是很有成效的，我有个问题：如果按楼主的设计思路，再增加一条，在查看所有 ...

可以是可以，但是这样可能会照成对方电脑的资源占用过高，不过对于 13 楼兄弟提出的方法，我自有我的对策，呵呵，要是没想到点其他对付微点的方法，你以为我会把这个方法公布出来吗~~~

※ ※ ※ 本文纯属【hgzfzq】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-3-12 11:48

lem586
注册用户

积分 113
发帖 113
注册 2007-3-7

#20

这个的确是微点的一个疏忽，但如果在安装时，默认为自动处理，而不是询问，那这个方法就行不通了哟~~~~需要“询问”的可以自己更改，而那些“询问”用户的肯定是有点水平的，自己机器里多了什么东西应该是知道的.........

※ ※ ※ 本文纯属【lem586】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-3-12 14:46

102

2/11

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号