微点交流论坛 - 主动防御 - 研究微点主防规则一例（附行为分析）微点秘密原来在此？

微点交流论坛 » 主动防御 » 研究微点主防规则一例（附行为分析）微点秘密原来在此？

1/2

一键还缘
禁止发言

积分 91
发帖 91
注册 2010-1-7

#1 研究微点主防规则一例（附行为分析）微点秘密原来在此？

首先用EQ跑一跑，看看有什么行为
2010-01-27 11:33:09 运行应用程序    操作:允许
进程路径:C:\WINDOWS\EXPLORER.EXE
文件路径:E:\msn\msn.exe
触发规则:应用程序规则->系统进程保护规则->%windir%\explorer.exe->*.*

2010-01-27 11:33:09 创建文件    操作:允许
进程路径:E:\msn\msn.exe
文件路径:C:\Documents and Settings\xu\Local Settings\Temp\nst9.tmp\System.dll
触发规则:所有程序规则->文件类型记录规则->*.dll

2010-01-27 11:33:10 创建文件    操作:允许
进程路径:E:\msn\msn.exe
文件路径:C:\Documents and Settings\xu\Local Settings\Temp\143.exe
触发规则:所有程序规则->文件类型记录规则->*.exe

2010-01-27 11:33:10 运行应用程序    操作:允许
进程路径:E:\msn\msn.exe
文件路径:C:\Documents and Settings\XU\Local Settings\Temp\143.exe
命令行:8228
触发规则:所有程序规则->程序进程记录规则->*.exe

2010-01-27 11:33:10 创建文件    操作:允许
进程路径:C:\Documents and Settings\XU\Local Settings\Temp\143.exe
文件路径:C:\Documents and Settings\xu\Local Settings\Temp\nszC.tmp\System.dll
触发规则:所有程序规则->文件类型记录规则->*.dll

2010-01-27 11:33:10 创建文件    操作:允许
进程路径:C:\Documents and Settings\XU\Local Settings\Temp\143.exe
文件路径:C:\WINDOWS\Windows7\Print32.dll
触发规则:所有程序规则->文件类型记录规则->*.dll

2010-01-27 11:34:10 创建注册表值    操作:允许
进程路径:C:\Documents and Settings\XU\Local Settings\Temp\143.exe
注册表路径:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{296AB1C7-FB22-4D17-8834-064E2BA0A6F0}
注册表名称:[Key]
触发规则:所有程序规则->恶意程序防护规则->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\*

2010-01-27 11:34:36 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\XU\Local Settings\Temp\143.exe
文件路径:C:\WINDOWS\System32\regsvr32.exe
命令行:"C:\WINDOWS\Windows7\Print32.dll" /s
触发规则:所有程序规则->可疑进程阻止规则->%windir%\system32\regsvr32.exe
再看看微点的记录日志

下载 (28.5 KB)
2010-1-27 11:41

键 HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{296AB1C7-FB22-4D17-8834-064E2BA0A6F0}
名称 (Default)
原数据
新数据
创建者C:\WINDOWS\WINDOWS7\PRINT32.DLL

下载 (57.56 KB)
2010-1-27 11:41

分析：
1、EQ记录中是143.exe创建了注册表；微点记录中是PRINT32.DLL创建了注册表；
2、推想微点规则：C:\WINDOWS\*.dll创建注册表BROWSER HELPER OBJECTS为未知木马程序，EQ是不可能实现微点的这点功能，所以说微点不是HIPS，至于微点是如何实现的，我就不知道了。
3、微点进程运行记录中记录了PRINT32.DLL文件的执行情况，看来微点的一些秘密就在于此。

※ ※ ※ 本文纯属【一键还缘】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-4-2 01:38

王子的天下
禁止发言

积分 126
发帖 126
注册 2010-3-24

#2

微点的原理如果这么容易就被你知道了，那么可以说人人都可以制作出微点了？

超越微点？那么为什么微点依然继续领跑主动防御领域？是那些杀毒软件厂商人的技术问题还是别的？

看看这个：http://bbs.micropoint.com.cn/sho ... &highlight=HIPS

※ ※ ※ 本文纯属【王子的天下】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-4-2 14:38

方丹得而达
禁止发言

积分 24
发帖 28
注册 2010-4-2

#3

积分 12

没见过的病毒，怕怕····

※ ※ ※ 本文纯属【方丹得而达】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-4-4 17:16

mamsds
银牌会员

积分 1373
发帖 1360
注册 2008-3-15
来自乌克兰

#4

微点的判断方法有点像反病毒领域里的图灵测试~

※ ※ ※ 本文纯属【mamsds】个人意见，与【微点交流论坛】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.

2010-4-5 10:26

市公司
新手上路

积分 43
发帖 43
注册 2010-4-5

#5

没见过的病毒，怕怕····

※ ※ ※ 本文纯属【市公司】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-4-6 17:29

市公司
新手上路

积分 43
发帖 43
注册 2010-4-5

#6

恶意程序防护规则->

※ ※ ※ 本文纯属【市公司】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-4-6 18:59

tcjgdw@163.com
中级用户

积分 223
发帖 216
注册 2007-12-26

#7

看来你还有前途,慢慢研究,后面还有许多不为人知的东西.

※ ※ ※ 本文纯属【tcjgdw@163.com】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-4-6 23:56

美丽明天
注册用户

积分 155
发帖 153
注册 2010-2-28
来自乌托邦

#8

怎么又是自问自答，直接说不就得了。。

[ Last edited by 美丽明天 on 2010-4-21 at 22:07 ]

※ ※ ※ 本文纯属【美丽明天】个人意见，与【微点交流论坛】立场无关※ ※ ※

来吧来吧

2010-4-7 21:02

f8312519
银牌会员

积分 2184
发帖 2169
注册 2008-10-27
来自维创论坛

#9

这样如果能测出来微点早就不用份了

※ ※ ※ 本文纯属【f8312519】个人意见，与【微点交流论坛】立场无关※ ※ ※

维创论坛免费软件园地欢迎您!http://herofw.haotui.com

2010-4-9 00:01

046569
版主

第五城市市长

积分 190
发帖 196
注册 2007-8-13

#10

微点的实现比这复杂的多,如果楼主有新发现,不妨发出来看看,也许大家讨论下会有收获呢

※ ※ ※ 本文纯属【046569】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-4-11 13:34

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号