» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » [探讨]新型安防软体微点主防使用的一些花絮   作者: 标题: [探讨]新型安防软体微点主防使用的一些花絮 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  [探讨]新型安防软体微点主防使用的一些花絮 tychke于2009发表的 【原创】对08年过微点主动的一点想法!!!!天鹰姐姐出现了..... : 时间飞逝，已经有大半年没来坛子里逛游了，这大半年里面，估计粉丝们想我了吧，这半年很忙，都没怎么跟16联系，16哥，对不起了啊....     上次我发表了一篇， 《【原创】与王者的较量---再次轻松绕过微点主动防御》 ，让某些论坛的SB，很质疑。他们测试不通过，就说不行。。。然后就在论坛，说这说哪，让人很烦人。还好04兄的了解我，经过04兄弟的权威测试，得到了04兄弟的认可。但是上次的文章有个细节，就是过了微点的主动防护，但是不穿微点的防火墙！这一点，最后还是04兄解决了。    下面就是来总结下，08年过微点的一点经验吧，顺便把04兄弟利用我的方法，在加上他的方法过微点防火墙的方法透露下,方法其实很简单，就是模拟正常的用户，结束alg这个进程，然后把木马复制到windows\system32 下，改名为alg.exe此时，木马不写注册表和不注册服务都能上线，因为我们现在是把系统的exe文件给替换了，windows会把我们的木马当成是他原来的alg。exe运行。所以不用写注册表和注册服务，同样能够从新启动计算机，木马正常上线。这是个关键。默认情况下，例如瑞星的个人防火墙。对alg这个进程是不拦截的，所以在大多数防火墙里木马改成alg。exe的话，就会穿墙。微点貌似想到了这点，对进程控制的很谨慎。没有对alg.exe进行白名单处理，自然微点的防火墙 会拦截。 04兄弟是怎么处理的微点的呢，早期微点的黑白名单有个bug，只要把木马程序写到微点的白名单里面去，微点就不报警，我记得是04兄弟又一次在黑防投稿的文章，但是由于某些原因，貌似没发出来。。。具体原因不明。04兄弟在看到我去年发的文章后，很有感触，又从新研究了下，黑白名单，又发现了个bug，在我说的替换alg.exe的基础上。把文件路径再次写入微点的白名单内。实现了，过微点主动同时，穿透微点的防火墙。 今年我再次测试微点的时候，用同样的办法，依然过了微点主动防护，大概木马上线10秒钟左右，微点突然报警了，这让我很惊讶。到底是什么原因呢，到现在也没弄明白（ 没深入研究了），最大的可能性就是，微点拦截木马的通信数据包了，因为已经过了主动防护，而且也没有进行任何的操作，唯一的行为就是，当前木马在对外发送数据包，我想可能微点拦截了灰鸽子的数据包。 同时发现利用alg.exe这个进程一个最大的致命弱点，就是alg.exe默认情况下是local serverice 权限，权限极低。我们把木马利用alg.exe运行后，木马会继承这个服务的权限，也就是说当前我们的木马也是local serverice 的权限，虽然能够上线，但是无法对远程计算机，进行相应的操作，只能够读取，不能够写。很是郁闷。这是我上期写的稿子，最大的疏忽。哈哈，估计04兄弟也没注意到这点。今天就写到这里吧，露个脸。。。哈哈！ 不望他山: “当前木马在对外发送数据包，我想可能微点拦截了灰鸽子的数据包。” 这正说明微点确实具有行为监控评判功能的---对于原始的过墙方式并没有过多或特定的限制，估计这样做主要还是为了相关的一些兼容问题吧--------即使这样也是难免存在误报的那。 佚名网友 : 我觉得你说的不对,行为监控？何来的行为？主动都过了，就是对外发送数据包，主动防护就是行为监控阿！要彻底通过数据包来监控木马，除非安装网络过滤驱动，否则就没有任何的意义....目前。国内的防火墙，个人防火墙，都是基于scoket的 ......不往下说了..... 不望他山： “主动防护就是行为监控阿！” 对于概念的问题，“我始终含混不清。”曾记得 毒眼 在刚出来时候总谈到和微点的区别---什么纵深防御，我也始终没能清晰理解过； 对于微点的特性其实我也不能明了，不过微点的一些实际应用当中的特色我还是比较欣赏的，微点的 系统分析 和 网络分析 是如何互补关联的我也没能具体考究过---不过这两个功能项目下面的子项的进程综合信息啦系统自启动信息啦。。。进程网络信息啦端口流量啦等侦探信息，是否的逻辑关联分析---并产生个信息结论，并判断结果，我想有可能就是我理解的行为监控吧。对于网络入侵或代码或程序或病毒的进入系统过程，估计这方面微点主要还是靠黑白名单规则的了---我只是这样的来理解微点---也不知真的对了或错了，关键感觉它还是蛮有效的，当然并非它完美。在非我用自己的机器时候还是开设权限心里更踏实，现在我辅助用墨者了。 tychke: 每个杀毒软件出来什么新功能，都会忽悠一把！什么虚拟机查杀，什么搞启发查杀，骨子里有着相似的地方，大同小异。总之都是杀木马。其实我们就是个软件的使用者，不需要了解他的技术，能用，就行。我都不装杀毒软件的，本机器只上个QQ什么的，虚拟机里面打开网页.还算安全 qianlilv【讨论】微点貌似不像传说中那么好使 : 其实一开始用微点是冲着他的传奇故事开始使用的，另外就是论坛里几乎所有人都在说这个杀软多么神奇，我以我也装了，而且现在电脑上装的还是他，用了这么长时间（两个月吧），发现他除了占内存小外好像没什么明显的优点，电脑很容易中毒，而且他也没提示，中毒了因为不能扫描也不知道怎么办，我一般都再下载个dr.web来解决问题。他们说是拦截不用扫描，可是如果我是菜鸟，一些看不懂是否有害，或者它拦不住，那么我中毒了连挽救的机会都没。今天又给中毒了，让我比较郁闷的是，最终用清理助手搞定了。其实用了这么多杀软，工具，发现还是清理助手好用，我也搞不明白。反正觉得微点不是那么深化 一视同仁: 老兄，微点是主动防御，不是杀毒软件。病毒不运行，微点是不管的。不运行的病毒有害吗？ 另外对于新型病毒的拦截率，现在还没有安全软件可以超越微点！包括EQ之类的hips。 不望他山:     关于微点的防御能力，在经过这么几年的实际考验当中，表现的还是很值得称道的；对于绝对我看哪个也不是可能的，目前我们思想当中对于病毒的定义也不要片面或狭隘的理解认识了，其实这个认识也是很重要的，对于一些明确干扰系统运行的程序或代码或软件间的一些兼容相克问题，其实有时是应该区分开来的；不要笼统的都称之为病毒行为，关于开发那些程序或代码或软件是否恶意无意或别有用心更是要区分开来的；就微点的防御形式经过实践还是很值得肯定的；lz关于windows清理助手所解决的问题可能和微点的安全形式还是有很大区别的---关于这些适合你的安全工具哪个更顺手就用哪个，工具都有用处的局限性，对于某项问题很多是应该选择适合处理某项问题的工具来解决的。 太子: 现在微点名声大了过微点的病毒也随之产生不想法过安全软件怎么能达到自己的目的那，所以不是微点不还使是现在的病毒太猛了，我这里说的病毒包括木马什么的，这个仅是个人观点，大家别拍我，谢谢 tcjgdw【原创】微点“智能”主动防御初探 : 微点主动防御软件，是北京东方微点信息技术有限责任公司自主研发的具有完全自主知识产权的新一代反病毒产品，在国际上首次实现了主动防御技术体系，并依此确立了反病毒技术新标准。微点主动防御软件最显著的特点是，除具有特征值扫描技术查杀已知病毒的功能外，更实现了用软件技术模拟反病毒专家智能分析判定病毒的机制，自主发现并自动清除未知病毒。     一、微点对程序行为捕获主要是通过分布在操作系统的众多探针        1、文件监控：实时监控文件的修改、注入、创建等操作;        2、应用程序监控：实时监控程序运行、消息窃听、内核操作、刻意隐藏等操作;        3、注册表监控：实时监控注册表修改、创建、删除等操作; 4、API监控：实时监视所运行程序调用各种应用程序编程接口（API）的动作; 5、联网监控：结合主动防御和白名单，对不能识别的程序联网动作进行提示。 二、微点自动准确判定新病毒是在通过程序行为捕获基础上对病毒行为综合总结，自创一套病毒行为判断规范，对捕获的行为与自创的一套病毒行为判断规范在一个给定的范围和置信度下，判断相关操作是否为合法。微点对病毒行为分为单一动作报警和组合动作报警，并对病毒进行了详细分类，每种类病毒都有判断的必备条件和可选条件。像对于消息窃听、内核操作、刻意隐藏等行为就可单一动作报警。有些应用程序和病毒行为类似，为了减少误报，对病毒种类进行科学分类，可疑程序应运而生。 三、微点的防护：一是自身的防护；二是对于系统的防御。当微点判断一程序为病毒时，通过文件监控对程序生成物进行删除提示，对注册表进行修复，微点在病毒修改、创建注册表前对注册表变动部分进行数据备份，当微点确认为病毒后在删除病毒同时用备份注册表变动部分进行修复。微点还能自动提取病毒特征值，防止同类病毒运行，强化微点安全防护。 以上仅是个人初步探索,还待进一步验证。终极目标是找出微点对病毒行为判断规则。 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2010-1-14 14:03 173659857 中级用户 积分 327 发帖 330 注册 2009-5-22 #2   呵呵 都有道理 但是 谁是王道 就不知道了 呵呵 ※ ※ ※ 本文纯属【173659857】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-1-14 14:38 f8312519 银牌会员 积分 2184 发帖 2169 注册 2008-10-27 来自 维创论坛 #3   非常不错 值得深思 ※ ※ ※ 本文纯属【f8312519】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 维创论坛免费软件园地欢迎您!http://herofw.haotui.com 2010-1-14 19:17 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号