微点交流论坛 - 微点茶室 - 1个黑客眼中的国产杀软→微点

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点茶室 » 1个黑客眼中的国产杀软→微点

15842835205
中级用户

积分 232
发帖 232
注册 2009-8-28
来自湖南银宝科技发展有限公司

#1 1个黑客眼中的国产杀软→微点

东方微点：技术亮点分析：
1.主动防御：本身就是作为微点的“卖点”来做的，独撑门户的技术，其实就是，动态监视所运行程序调用各种应用程序编程接口（API函数）的动作，如果说木马病毒、蠕虫盗号，想要运行但不调用系统API函数是不可能的，所以自然逃不过侦测~（当然，调用的方式千差万别，躲避侦测的方式也是花样百出，不可能100%的完全侦测，所有杀软都一样，不存在100%的检测率），再根据行为库进行判断，比起特征码查杀的过时性，以及主防弹出让莫名的窗口由用户自己判断这个动作是否具有威胁，要好的多，更加傻瓜化，不升级也能防御某些新病毒的秘诀就在于此。
2.智能病毒分析技术：不同于云安全的“集中收集”—“自动上报分析”—升级客户端的方法，形象的说就像人体的免疫系统一样，遭遇病毒入侵后会产生抗体消灭，而消灭病毒后，人体就会自动记下这种抗体，以便以后再遇到这种病毒时能轻松应对，这个技术就是采用这个原理，在病毒运行后自行产生“特征码”，在不知不觉中，毒库就自动“本地升级”了，所以实在说不出，微点到底有多少数量的 “病毒库”
3.强大的病毒清除能力：用微点不同与其他杀软会出现“重启后再清除”或者被“隔离”、“禁止访问”微点几乎全是清除和删除，原因就在于，微点用的是内核级对抗（和冰刃的文件删除是一个原理），不采用windows本身的删除机制（windows的删除机制是，如果文件被占用，则无法删除），更底层的删除方式就可以完全无视这种机制，轻而易举删除病毒文件。
4.溢出攻击防护能力：测试了下，虽然微点没有说明，但根据结果来看，这个溢出防护不是现在网页挂马流行的0day或者Flash溢出漏洞,而是针对系统本身的远程溢出攻击，如果再早个几年的话，这个技术确实非常实用~几乎可以代替当时windows所有的安全补丁，不过现在就老套多了，基本上很少有蠕虫病毒和黑客会对本地计算机采用“远程溢出攻击”了~（注入网站、入侵数据库的除外）现在可是木马横行的时代。
5.病毒衍生物/攻击源侦测：因为是动态监视API函数（用过OD的都清楚）所以步骤都会了如指掌，这也正是动态分析技术的优势所在，马上就可以分析出病毒都产生了哪些衍生物和危险文件，从而清理的更彻底。。。不过呢，对于系统没有危害的衍生物。。。（例如展位文件等）就有可能不被清除而残留下~如果中毒多了，也是件很郁闷的事。

※ ※ ※ 本文纯属【15842835205】个人意见，与【微点交流论坛】立场无关※ ※ ※

[color=red][url=http://www.kafan.cn/zhidao/]杀毒软件百问→驯服你的杀毒软件！！！杀毒软件百问→驯服你的杀毒软件！！！[/url][/color]

2010-1-30 14:12

15842835205
中级用户

积分 232
发帖 232
注册 2009-8-28
来自湖南银宝科技发展有限公司

#2

卡饭转载过来的！！！

微点不用我说了，常玩杀软的应该都知道，以“主动防御”著称，口号是，无需升级防杀新型病毒，无需等待扫描，占用资源低（因为采用的监控是触发式。。。所以不用总在后台扫描文件~）。。。而且也总结了些经验，最近打算出扫描器（就是特征码扫描，据说还采用了虚拟机的方式。。学江民么？，看那个扫描版扫描时CPU狂飙我就不禁冷笑。。。。）以解决之前的微点的一个重大弱点，那就是没法解决没有发作病毒的隐患~这样的话，在配合其主动防御做为的“检控”出个安全套装的话，实力非同小可~无非又给骇客们带来了新的挑战，因此我总结下微点的几个不足的地方，纯技术交流，误做它用~
1.感染性病毒拦截问题。上面我说过了，微点用的是“触发机制”一旦满足这个机制它才会报警，这就是为什么有些测试样本运行时，一开始没什么反应，过一会就会报毒了。。。不是微点反应慢，而是只有病毒满足其规则的若干个条件时，才会触发“报警”机制，而微点恰恰就是在这方面存在漏洞，尤其是面对“感染型病毒”的时候，一般感染型病毒会通过修改文件和插入代码的方式来感染文件，这期间除了某些不慎的作者触动了敏感选项的注册表外，几乎不会碰到微点的“禁忌事项~”，没有服务创建，不会加载驱动，也不插入某些程序，只需些感染代码的批处理和自启动文件autorun就足够了，并且在感染后删除自身，微点根本就找不到病毒本体，其他程序虽然被感染，但因为其原本是正规程序，所以根本没有触发条件，微点自然就不会报警，所以说微点在这方面需要改进，目前微点对付感染型的病毒还是很弱的，基本上特征码能扫描出来的很多，都对付不了。
2.结束进程问题。微点不同于国产杀软的“疯狂挂钩子”的方法，（尤其是江民，挂钩子的技巧简直能以变态来形容~）恢复SSDT表的话都差不多（江某除外~）也不采用国外的底层驱动保护和服务0秒重启的方式~（卡巴、麦咖啡和NOD32~）微点用的插入进程。。。（病毒的手法，多少有点猥琐~）插入每一个进程，这样即使自己的主要进程被结束，其他程序中插入的模块也会起到自动恢复的作用~杀是杀不觉得（。。。你总不能把所有进程都“结束”吧？~）因此大多木马都研究的是“过微点”。。。却没有打算强杀的，我本身不这么认为，1.强杀比免杀简单的多~效率也高 2.强杀的生存时间比免杀长但是强杀就要有个强杀的方法，方法1很简单就是利用关闭关键字窗口的方法，关掉微点的界面使其出错~ 2.利用重启计算机的方式，重启后删除微点在系统盘下的sys序列号文件，一旦删除这个文件，微点再重启后会提示“获取序列号，失败”这样微点就完全启动不起来了，同样达到强杀的目的。
3.批处理问题，微点因为没有扫描系统，而批处理恰恰又不容易触发微点报警，所以批处理方面完全是微点的软肋，像之前过微点的“著名”病毒，Trojan.Win32.IAgent 就是利用大量的VBS脚本和批处理文件来达到的，（启动方面还是我上面提到的autorun和系统的那个百年BUG，计划任务~）完全不会触发当时的微点报警机制~。。。所以今后如果微点一旦发达起来，没有配合扫描的微点，批处理将成为其劲敌！~
。。。。说道底，微点不是那么不容易过，也不是那么不容易杀，只是现在还没有“树大招风”起到一个“免疫”的作用，如果微点成为将来的卡巴或者瑞星，骇客们把眼光集中到微点上，很快就会出现一大堆意想不到的漏洞，（就像微点写病毒报告的时候总有某些病毒的行为是遍历安全软件进程然后杀之。。。然而这个遍历安全软件的进程中，却很少有微点的名字~说明很多病毒作者根本还没把微点纳入眼里~）微点的用户范围还不够广，市场也不够大，现实情况是，微点很缺钱，（没钱你连广告都打不起，打不起广告又怎么让人了解和知道你？~）在金融海啸的危机前，不禁让我怀疑这样下去微点能否“坚持”下去？，让我怀疑起了微点病毒的上报处理能力，（微点有多少反病毒工程师？瑞星

[ Last edited by 15842835205 on 2010-1-30 at 14:16 ]

※ ※ ※ 本文纯属【15842835205】个人意见，与【微点交流论坛】立场无关※ ※ ※

[color=red][url=http://www.kafan.cn/zhidao/]杀毒软件百问→驯服你的杀毒软件！！！杀毒软件百问→驯服你的杀毒软件！！！[/url][/color]

2010-1-30 14:12

15842835205
中级用户

积分 232
发帖 232
注册 2009-8-28
来自湖南银宝科技发展有限公司

#3

卡饭反驳LS的 ：

1.感染性病毒拦截问题。上面我说过了，微点用的是“触发机制”一旦满足这个机制它才会报警，这就是为什么有些测试样本运行时，一开始没什么反应，过一会就会报毒了。。。不是微点反应慢，而是只有病毒满足其规则的若干个条件时，才会触发“报警”机制，而微点恰恰就是在这方面存在漏洞，尤其是面对“感染型病毒”的时候，一般感染型病毒会通过修改文件和插入代码的方式来感染文件，这期间除了某些不慎的作者触动了敏感选项的注册表外，几乎不会碰到微点的“禁忌事项~”，没有服务创建，不会加载驱动，也不插入某些程序，只需些感染代码的批处理和自启动文件autorun就足够了，并且在感染后删除自身，微点根本就找不到病毒本体，其他程序虽然被感染，但因为其原本是正规程序，所以根本没有触发条件，微点自然就不会报警，所以说微点在这方面需要改进，目前微点对付感染型的病毒还是很弱的，基本上特征码能扫描出来的很多，都对付不了。

按照以上说法，那么这个“病毒”也不用管了，根本就不切实际的东西！破坏系统吗？没有！盗窃用户信息吗？没有！
姑且当你是间接由加插的代码完成，那么加插的代码一定奏效？非系统程序修改文件加插代码会不列为可疑？修改一个文件就算了，修改N个文件会不可疑？修改完后还要替那被感染的文件加个autorun？看似迂回战术不触发报警，实际上这迂回根本就是动作太多了！实话说，非系统程序为其它非自身文件创建启动项，就已经是一条可疑程序的行为！另外，在没有创建窗口的条件下，非白名单程序修改文件加入代码，也是明显的可疑程序行为！

2.结束进程问题。微点不同于国产杀软的“疯狂挂钩子”的方法，（尤其是江民，挂钩子的技巧简直能以变态来形容~）恢复SSDT表的话都差不多（江某除外~）也不采用国外的底层驱动保护和服务0秒重启的方式~（卡巴、麦咖啡和NOD32~）微点用的插入进程。。。（病毒的手法，多少有点猥琐~）插入每一个进程，这样即使自己的主要进程被结束，其他程序中插入的模块也会起到自动恢复的作用~杀是杀不觉得（。。。你总不能把所有进程都“结束”吧？~）因此大多木马都研究的是“过微点”。。。却没有打算强杀的，我本身不这么认为，1.强杀比免杀简单的多~效率也高 2.强杀的生存时间比免杀长但是强杀就要有个强杀的方法，方法1很简单就是利用关闭关键字窗口的方法，关掉微点的界面使其出错~ 2.利用重启计算机的方式，重启后删除微点在系统盘下的sys序列号文件，一旦删除这个文件，微点再重启后会提示“获取序列号，失败”这样微点就完全启动不起来了，同样达到强杀的目的。

搭载线程插入到每一个进程是真，但不完全是自保需要，一般来说自保的话足够底层的驱动可以胜任，插入每一个进程也是为了监视它们的动作的需要，原本挂钩的话也是可以的，但是钩挂多了，就会和其它同样挂钩的软件产生相互覆盖，以及因为字节长度的差异发生出错蓝屏的事。强杀微点的病毒不是没，磁碟机就是一个经典，但是如果说强杀的生存时间比免杀长，这就超奇怪了，强杀会导致一系列出错以及由于根深蒂固的驱动顺带出现的系统异常，除非该病毒想大张旗鼓只为破坏杀软，否则相信没一个病毒作者想让用户察觉异常，后面的那两个手法非常过时和想当然，就算成功也很容易修复，就不说了。

3.批处理问题，微点因为没有扫描系统，而批处理恰恰又不容易触发微点报警，所以批处理方面完全是微点的软肋，像之前过微点的“著名”病毒，Trojan.Win32.IAgent 就是利用大量的VBS脚本和批处理文件来达到的，（启动方面还是我上面提到的autorun和系统的那个百年BUG，计划任务~）完全不会触发当时的微点报警机制~。。。所以今后如果微点一旦发达起来，没有配合扫描的微点，批处理将成为其劲敌！~
。。。。说道底，微点不是那么不容易过，也不是那么不容易杀，只是现在还没有“树大招风”起到一个“免疫”的作用，如果微点成为将来的卡巴或者瑞星，骇客们把眼光集中到微点上，很快就会出现一大堆意想不到的漏洞，（就像微点写病毒报告的时候总有某些病毒的行为是遍历安全软件进程然后杀之。。。然而这个遍历安全软件的进程中，却很少有微点的名字~说明很多病毒作者根本还没把微点纳入眼里~）微点的用户范围还不够广，市场也不够大，现实情况是，微点很缺钱，（没钱你连广告都打不起，打不起广告又怎么让人了解和知道你？~）在金融海啸的危机前，不禁让我怀疑这样下去微点能否“坚持”下去？，让我怀疑起了微点病毒的上报处理能力

VBS脚本文件毕竟只是Ring3层面的东西，破坏力有限，以还原软件为例，除了一些非常专业的人，根本没几个人可以做到无驱动穿还原，掌握这技术的人也不用沦落到去写病毒，一个可以对付机器狗和磁碟机这些有强大驱动的病毒的安全软件，想干掉几个VBS和批处理，还是很小儿科的事情。有时候也不要低估病毒作者的见识，写软件也好写病毒也罢，都需要进行很多环境下的测试，熟悉和掌握绝大多数安全软件是一个病毒作者必须的，连太平洋投票榜上有名的安全软件都不下来测试一遍，是不符合逻辑的，遍历安全软件进程然后杀之只是顺带的侥幸从简的写法，可以无视。微点的用户范围还不够广，市场也不够大，很缺钱打不起广告是事实，但是，一个好的上报收集和处理机制，不在于规模，而在于灵活的技术创新。。

[ Last edited by 15842835205 on 2010-1-30 at 14:16 ]

※ ※ ※ 本文纯属【15842835205】个人意见，与【微点交流论坛】立场无关※ ※ ※

[color=red][url=http://www.kafan.cn/zhidao/]杀毒软件百问→驯服你的杀毒软件！！！杀毒软件百问→驯服你的杀毒软件！！！[/url][/color]

2010-1-30 14:13

magicface
中级用户

积分 340
发帖 347
注册 2009-3-8
来自首都

#4

评楼主签名：微点+小红伞=多余

※ ※ ※ 本文纯属【magicface】个人意见，与【微点交流论坛】立场无关※ ※ ※

创世之初，天是混沌，大地是黑暗。神的灵游于水面，神说：“要有光。”就有了光。

2010-1-30 21:36

理想未来
禁止发言

积分 386
发帖 382
注册 2008-12-10

#5

支持一下楼主，人家喜欢用什么是人家的自由。

※ ※ ※ 本文纯属【理想未来】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-1-31 00:00

HomeSGerMine
银牌会员

■■微点护卫队队长■■

积分 4888
发帖 4785
注册 2009-3-8
来自哪里有微点，哪里就有我

#6

要是这个变成微点的宣传语就好了

※ ※ ※ 本文纯属【HomeSGerMine】个人意见，与【微点交流论坛】立场无关※ ※ ※

东方之荣耀，中华之微点！---Microp●int

2010-1-31 19:42

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号