微点交流论坛 - 微点主动防御软件 - 网络假消息：比病毒还毒?微点为保护自身竟修改系统内核文件

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点主动防御软件 » 网络假消息：比病毒还毒?微点为保护自身竟修改系统内核文件

1/2

青豆
高级用户

超级发动机

积分 523
发帖 489
注册 2006-9-28
来自汹涌澎湃浮沉混沌湍流

#1 网络假消息：比病毒还毒?微点为保护自身竟修改系统内核文件

题目骇人听闻，一看就是乱写的，胡乱推测，断章取义。

网络这个是非之地，最喜欢的就是这类八卦消息，现在只有少部分论坛有转载，
估计马上就会铺天盖地的出现。

首先给一个百度的搜索链接：（相关结果19条，还没开始扩散）
关键词：比病毒还毒?微点为保护自身竟修改系统内核文件
链接：http://www.baidu.com/baidu?word= ... r_4_pg&ie=utf-8

其次PChome的转载：
http://club.pchome.net/topic_5_69_124602.html

接着是赛迪网的转载：
http://bbs.dev.ccidnet.com/read.php?tid=573769

转载内容如下：
近日，某安全论坛网友雨辰反映，他在同时安装东方微点和某款杀毒软件时，发现该款杀毒软件的部分功能失效。作为反病毒爱好者，他经过深入分析后发现一个惊人的秘密，东方微点为了保护自身进程，竟然直接修改了微软操作系统的内核文件，而该内核文件正是某款知名杀毒软件需要调用的，因此导致该款杀毒软件部分功能失效。
目前许多驱动型的病毒都具备了终止一些杀毒软件进程和插入线程的功能，于是杀毒软件纷纷开始加强自我保护，以避免被病毒终止。驱动级的杀毒软件一般是经过直接调用系统内核原始文件，以达到自我保护的目的，而通过修改系统的内核文件，从而使病毒无法调用，这无疑是一种偷懒的做法，因为该内核文件并不仅仅是病毒可能调用的，正常的驱动程序也可能会调用，这就严重影响了需要调用该程序的合法驱动程序的功能和使用。
《中华人民共和国计算机信息系统安全保护条例》第七条明文规定，“任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全”，东方微点直接修改系统内核文件，并间接影响了通过公安部权威检测许可销售的合法杀毒软件的使用，显然已经危害了计算机信息系统的安全，触犯了法律条文，无论从法律上还是情理上来说，都是不被允许的。

雨辰指出了东方微点修改系统内核涵数的详细技术资料。
一、东方微点为了保护自身进程，直接修改了NtTerminateProcess、PspTerminateProcess、NtOpenProcess三个内核文件；
二、东方微点为了保护自身线程，通过修改 PsTerminateSystemThread 将对 PspTerminateThreadByPointer 的调用改为对 HookOfPspTerminateThreadByPointer 的调用，大概是针对目前流行的搜索 PspTerminateThreadByPointer 地址的方法而采取的措施，因为这样修改后，其它驱动程序基本上就搜索不到 PspTerminateThreadByPointer 的地址了。比较奇怪的是，微点未对 PspTerminateThreadByPointer 进行挂钩，所以如果通过其它办法得到该地址，微点就防不住了。采取IAT钩子的办法，修改其它所有驱动程序的 KeInsertQueueApc 地址，使其不能直接在微点线程中插入APC。
业内人士认为，东方微点这种取巧的做法可能面临法律和市场的双重制裁，最终结果可能取决于东方微点改正的态度和速度，以及权益被侵害方是否会通过法律主张自己的权利。

[ Last edited by 青豆 on 2008-2-23 at 20:55 ]

※ ※ ※ 本文纯属【青豆】个人意见，与【微点交流论坛】立场无关※ ※ ※

积极主动！

2008-2-23 20:24

tustin
版主

积分 5092
发帖 5067
注册 2007-3-10
来自重庆

#2

超版说过，这不是真的，微点没有这样做过

※ ※ ※ 本文纯属【tustin】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-2-23 20:47

青豆
高级用户

超级发动机

积分 523
发帖 489
注册 2006-9-28
来自汹涌澎湃浮沉混沌湍流

#3

我知道这文章是别人乱写的。

超版知道就好，网络流言害死人....

※ ※ ※ 本文纯属【青豆】个人意见，与【微点交流论坛】立场无关※ ※ ※

积极主动！

2008-2-23 20:53

微点卫士
银牌会员

积分 1198
发帖 1176
注册 2006-6-19
来自上海市松江区

#4

路过下。转载的地方多么？

※ ※ ※ 本文纯属【微点卫士】个人意见，与【微点交流论坛】立场无关※ ※ ※

[img]http://v.t.qq.com/cgi-bin/signature?name=mpguard&sign=26fc347cc5c2e739a337896675ca533cb68324b6&type=2[/img]

2008-2-23 21:01

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#5

1.微点主动防御软件没有修改任何系统文件
2.杀毒软件相互不兼容是普遍现象
3.微点不允许其它程序以任何方式在微点软件内部创建线程，以免影响微点软件自身功能

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2008-2-23 21:01

神秘人
中级用户

积分 235
发帖 235
注册 2007-8-11

#6

管它呢，能保护好我们的电脑就行。管它真假。说这话的估计时别的杀毒软件的枪手，主动防御做的不好就诬陷别人。

[ Last edited by 神秘人 on 2008-2-23 at 21:03 ]

※ ※ ※ 本文纯属【神秘人】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-2-23 21:01

木吉它
注册用户

积分 165
发帖 165
注册 2008-2-6
来自重庆

#7

估计又是×星那些垃圾写的，N年前偶就不用那个垃圾软件了。

※ ※ ※ 本文纯属【木吉它】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-2-23 21:21

微点卫士
银牌会员

积分 1198
发帖 1176
注册 2006-6-19
来自上海市松江区

#8

http://hi.baidu.com/lgsj1/blog/item/8a37e51ea137951b403417c0.html
这篇文章很早就有了嘛

※ ※ ※ 本文纯属【微点卫士】个人意见，与【微点交流论坛】立场无关※ ※ ※

[img]http://v.t.qq.com/cgi-bin/signature?name=mpguard&sign=26fc347cc5c2e739a337896675ca533cb68324b6&type=2[/img]

2008-2-23 21:25

三好学生
注册用户

积分 69
发帖 69
注册 2007-9-26

#9

汗了，希望不是真的。不过想说的是，如果真有问题微点要敢于面对。

※ ※ ※ 本文纯属【三好学生】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-2-23 23:20

花正男
新手上路

积分 7
发帖 7
注册 2008-2-19

#10

杀软与杀软之间有冲突很平常，就像我的卡巴和一监控防火墙互相加入信任区域后都有冲突，况且没有一个软件是没有缺陷的，就连NOd32这么强的杀软都有处理不了的问题，独占式的软件不会长久的，除非是无与伦比了~~~~~~~~~卡巴不也有自我保护嘛，我机器里啥软件都有，也没发现不能使用的情况。相信一个想要长久发展的公司是不会傻到那种程度的。

[ Last edited by 花正男 on 2008-2-24 at 00:19 ]

※ ※ ※ 本文纯属【花正男】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-2-24 00:14

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号