微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点杀毒软件 » 微点杀毒软件的监控问题  

 18  1/2  1  2  > 
作者:
标题: 微点杀毒软件的监控问题
zyxone
新手上路





积分 47
发帖 47
注册 2007-3-9
#1  微点杀毒软件的监控问题

微点杀毒软件,手动扫描和右键扫描“扫描压缩文件”设置中文件大小均未限制。
本人有一个CrazyMouse的恶作剧程序,无壳情况下微点杀毒报为joke.win32.LockMouse.a。
原文件经aspack、asprotect1.23、北斗等十余款加壳后,微点杀毒均报为joke.win32.mouse.waa,将其中之一加壳文件如aspack,压缩为zip或rar压缩文件,用微点杀毒扫描却无法识别,扫描结果为零。
为了比较,我又将06年的一个老病毒rose.exe,微点识别为Trojan.win32.vb.als,压缩zip、rar,扫描均能识别。但我不确定微点杀毒是否对其他病毒文件也会有像CrazyMouse一样的遗漏。

例外!比较严重的一个问题,虽然微点杀毒的监控对于压缩包内直接运行的原版CrazyMouse可以识别并阻止运行;但是,直接运行同样压缩包内的aspack加壳的CrazyMouse,微点杀毒在监控为“自动处理情况下”却无法识别直接无视,在“询问后处理”时只是提示,也无法阻止其运行。
虽然直接解压后监控能识别加壳文件,但这个bug还是希望能得到解决,CrazyMouse可以直接用alt+E在任务管理器中结束,但是如果是恶性病毒呢?...

第二个问题
在实时监控设置中,“启用虚拟机”下勾选完“监控文件被执行”还未保存设置即系统自动重启。

貌似论坛不能上传压缩包,不然可以提供CrazyMouse和加壳文件以供验证。

[ Last edited by zyxone on 2010-5-22 at 19:14 ]

※ ※ ※ 本文纯属【zyxone】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-5-10 22:19
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

感谢您反馈的这个情况,希望您能协助我们,将本文中提到的方便提供的样本文件都各复制一份,压缩后发送到support@micropoint.com.cn我们测试分析看看。
发送完毕后请通过论坛消息私聊留一个您的邮箱地址给我,方便帮您查收处理,谢谢。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2010-5-10 22:22
查看资料  发短消息   编辑帖子
zyxone
新手上路





积分 47
发帖 47
注册 2007-3-9
#3  

重启系统后,微点杀毒在监控为“询问后处理”后依然无法阻止直接运行的加壳文件,但“自动处理”时可以阻止其运行并自动删除。附件已发support@micropoint.com.cn

※ ※ ※ 本文纯属【zyxone】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-5-10 22:36
查看资料  发短消息   编辑帖子
littlefritz
版主

微点帮帮团团长


积分 3505
发帖 3502
注册 2009-5-23
来自 微点帮帮团
#4  

这个问题的确有,不少但非所有微点认识的病毒在压缩之后微点就不认识了,包括但不限于rar,7z格式

※ ※ ※ 本文纯属【littlefritz】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

2010-5-11 07:52
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
我心激扬
版主

杀毒软件负责人



积分 1578
发帖 1578
注册 2009-5-9
#5  

建议楼主升级微点杀毒软件最新版本测试,同时请楼主查找C:\Windows目录下是否有MEMORY.DMP文件或者minidump,如果有,请您使用QQ邮箱超大附件的形式或添加微点在线管理员 QQ:383154254或466248167 ,传送给他们。如果没有,请您做如下设置:
具体设置如下:
设置成功的要求:
1.虚拟内存的保存空间要设置在系统盘
2.虚拟内存的空间大小要大于物理内存
1) 设置生产蓝屏文件:我的电脑-〉右键属性-〉高级-〉启动和故障恢复-〉将\"写入调试信息\"改为“完全内存转储”,并勾掉\"系统失败\"中的“自动重新启动”。
2) 在出现蓝屏时请等待蓝屏文件写入100%完成后重启,将c:\\windows\\MEMORY.DMP压缩发给我们。
3)需要发送时,请您通过论坛短消息联系我们索要具体的发送方式。或者直接联系微点技术交流QQ群的管理员(383154254、466248167)在线传输,请您在联系管理员时附上本帖链接。

※ ※ ※ 本文纯属【我心激扬】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

微点杀毒软件安装、注册等常见问题汇总
http://bbs.micropoint.com.cn/showthread.asp?tid=69682
2010-5-11 12:40
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#6  

楼主您好!如您方便请将微点杀毒软件升级至最新版本测试一下问题是否存在,如问题复现请您及时与我们联系。

目前微点杀毒软件的最新版本为:程序版本: 1.2.10582.0185

[ Last edited by Legend on 2010-5-11 at 13:31 ]

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2010-5-11 13:26
查看资料  发短消息   编辑帖子
zyxone
新手上路





积分 47
发帖 47
注册 2007-3-9
#7  

微点杀毒软件   
程序版本: 1.2.10582.0185
特征版本: 2.1.21707.100511
升级时间: 2010-05-11 14:38:59

升级好了。我发现规律了,“发现病毒处理方式”选择为“询问后处理”,在rar或zip压缩包中直接运行“aspack加壳的CrazyMouse”或者解压缩后微点杀毒报警后等待用户作出选择之时直接运行解压出的“aspack加壳的CrazyMouse”——微点杀毒都无法阻止其运行,如果是恶意病毒的话系统已经over了;而“发现病毒处理方式”选择为“自动处理”则无提示默默把病毒删除了。对比无壳的CrazyMouse,无论如何运行,微点都能阻止并杀除。

总结为:微点杀毒在“发现病毒处理方式”选择为“询问后处理”时,在用户作出选择之前,对于某些加壳病毒的“阻止机制”会无效。我感觉这个后果比较严重吧。
除了aspack之外,其他微点可正常解的壳结果一样。
版本升级后对于压缩包中的加壳CrazyMouse已经能够扫描识别。

另外提个建议:在“自动处理”方式中,最好加入提示“于xxx地点发现xxx病毒并已经清除(删除)”,不然如果遇到误杀,连个提示都没有会给用户造成麻烦损失。

[ Last edited by zyxone on 2010-5-11 at 18:49 ]

※ ※ ※ 本文纯属【zyxone】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-5-11 18:45
查看资料  发短消息   编辑帖子
zyxone
新手上路





积分 47
发帖 47
注册 2007-3-9
#8  

经过测试,发现使用曾经流传甚广的黑防专版灰鸽子,经过了Themida和nspack的加壳之后,制作为压缩包或者自解压自运行的压缩包(完全可以骗取用户点击运行或者网页挂马自动运行),可以代替上文中的“aspack加壳的CrazyMouse”,虽然微点杀毒提示删除了临时文件夹和系统目录下的病毒文件,但是鸽子依然成功上线!!
ps:自解压压缩包微点杀毒无法扫描病毒(非自解压可以扫描)。

启用虚拟机,虚拟机设置无法勾选“监控文件被执行”即系统自动重启,所以勾选另两个;启发式为一般启发。
以上在“询问后处理”设置下有效,在自动处理下鸽子文件无法成功安装。

※ ※ ※ 本文纯属【zyxone】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-5-11 21:18
查看资料  发短消息   编辑帖子
zyxone
新手上路





积分 47
发帖 47
注册 2007-3-9
#9  

我猜测,只要满足“询问后处理”(阻止不及时)+“原版病毒加某些壳”两个条件,即可使病毒得到运行...只是猜测

且貌似和微点杀毒“对于加壳文件”的监控类型为“磁盘写入型监控”(对于未加壳文件监控为读取型+写入型)有关。

微点对于加壳病毒的扫描、监控,采用的是“启发式”报的是吧!
发现把启发关了就不报病毒了。所以,应该是微点杀毒对于无壳文件的读取式实时监控采用的是病毒库+虚拟机+启发式,对于加壳文件的读取型实时监控采用的是病毒库(+虚拟机)无启发式,启发式在写入型监控中使用(所以已经存在磁盘上的加壳病毒只要不运行,微点是不会发现的,运行即可被磁盘写入监控中的启发式发现,但是阻止滞后,依然可以运行)
在设置为“询问后处理”时启发式反应本身并不滞后(正常报毒),病毒却依然能够运行(阻止滞后)。为什么?

[ Last edited by zyxone on 2010-5-11 at 22:03 ]

※ ※ ※ 本文纯属【zyxone】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-5-11 21:27
查看资料  发短消息   编辑帖子
zyxone
新手上路





积分 47
发帖 47
注册 2007-3-9
#10  

需要的话,我可以提供一个自己弄的自解压运行的aspack加壳的CrazyMouse。在实时监控“发现病毒处理方式”选择为“询问后处理”时可以运行试试看。(Themida+nspack壳的鸽子体积很大,挂马不实用,但是用来试验还是行的,肉鸡可以上线)

※ ※ ※ 本文纯属【zyxone】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-5-11 23:49
查看资料  发短消息   编辑帖子
 18  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号