微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 微点的软肋-让你一朝死不瞑目【转帖】  

作者:
标题: 微点的软肋-让你一朝死不瞑目【转帖】
isidda
新手上路





积分 43
发帖 41
注册 2009-11-13
#1  微点的软肋-让你一朝死不瞑目【转帖】

微点的不足

1.感染性病毒拦截问题。 上面我说过了,微点用的是“触发机制”一旦满足这个机制它才会报警,这就是为什么有些测试样本运行时,一开始没什么反应,过一会就会报毒了。。。不是微点反应慢,而是只有病毒满足其规则的若干个条件时,才会触发“报警”机制,而微点恰恰就是在这方面存在漏洞,尤其是面对“感染型病毒”的时候,一般感染型病毒会通过修改文件和插入代码的方式来感染文件,这期间除了某些不慎的作者触动了敏感选项的注册表外,几乎不会碰到微点的“禁忌事项~”,没有服务创建,不会加载驱动,也不插入某些程序,只需些感染代码的批处理和自启动文件autorun就足够了,并且在感染后删除自身,微点根本就找不到病毒本体,其他程序虽然被感染,但因为其原本是正规程序,所以根本没有触发条件,微点自然就不会报警,所以说微点在这方面需要改进,目前微点对付感染型的病毒还是很弱的,基本上特征码能扫描出来的很多,都对付不了。

     2.结束进程问题。微点不同于国产杀软的“疯狂挂钩子”的方法,(尤其是江民,挂钩子的技巧简直能以变态来形容~)恢复SSDT表的话都差不多(江某除外~)也不采用国外的底层驱动保护和服务0秒重启的方式~(卡巴、麦咖啡和NOD32~)微点用的插入进程。。。(病毒的手法,多少有点猥琐~)插入每一个进程,这样即使自己的主要进程被结束,其他程序中插入的模块也会起到自动恢复的作用~杀是杀不觉得(。。。你总不能把所有进程都“结束”吧?~)因此大多木马都研究的是“过微点”。。。却没有打算强杀的,我本身不这么认为,1.强杀比免杀简单的多~效率也高 2.强杀的生存时间比免杀长 但是强杀就要有个强杀的方法,方法1很简单就是利用关闭关键字窗口的方法,关掉微点的界面使其出错~ 2.利用重启计算机的方式,重启后删除微点在系统盘下的sys序列号文件,一旦删除这个文件,微点再重启后会提示“获取序列号,失败”这样微点就完全启动不起来了,同样达到强杀的目的。

     3.批处理问题,微点因为没有扫描系统,而批处理恰恰又不容易触发微点报警,所以批处理方面完全是微点的软肋,像之前过微点的“著名”病毒,Trojan.Win32.IAgent 就是利用大量的VBS脚本和批处理文件来达到的,(启动方面还是我上面提到的autorun和系统的那个百年BUG,计划任务~)完全不会触发当时的微点报警机制~。。。所以今后如果微点一旦发达起来,没有配合扫描的微点,批处理将成为其劲敌!~

※ ※ ※ 本文纯属【isidda】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-11-16 13:36
查看资料  发送邮件  发短消息   编辑帖子
无量山
注册用户





积分 107
发帖 107
注册 2009-3-6
#2  

测试样本运行,过一会儿微点才报警,难道你不知道程序设计的时候可以设计延时操作吗? 比如我做了第一个动作,延时20S后再做第二个动作,这种延时动作也在很多的正常程序使用,不知道你是不是自己测试过感染型的样本,我自己测试了很久的微点,也在揣摩微点的判断规则,感染型病毒微点还真能拦住。不创建服务、不加载驱动,很多感染性的病毒都没有这些的,微点为什么给拦住了?


关闭微点主界面,微点的功能都还在吧,我就不信,你不打开微点的主界面微点就不报毒了,难道微点报毒的时候,我们都打开主界面了?  笑话!

你用个程序来删除下微点的文件试试看!

VBS微点不处理么?拜托,测试下先!不想多说了。楼主一个人纯在YY

[ Last edited by 无量山 on 2009-11-16 at 15:38 ]

附件 1: 微点报警VBS.PNG (2009-11-16 15:37, 50.5 K,下载次数: 37)


※ ※ ※ 本文纯属【无量山】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-11-16 15:10
查看资料  发送邮件  发短消息   编辑帖子
化外愚民
中级用户




积分 281
发帖 281
注册 2007-4-3
#3  

应该是凭想当然写的吧,没多大意思。

※ ※ ※ 本文纯属【化外愚民】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-11-16 16:16
查看资料  发短消息   编辑帖子
T-Bag
注册用户





积分 51
发帖 51
注册 2009-3-15
#4  

楼主说的几点,印象中在微点较早版本是处理得不好,

听说新版本有改进,支持对网马等的处理,本人没测试过,2楼对VBS报警也是第一次看到,

跟楼主一样,也希望微点不断地加强完善,让我们用得更放心

※ ※ ※ 本文纯属【T-Bag】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-11-16 17:49
查看资料  发送邮件  发短消息   编辑帖子
雄视王者
高级用户




积分 598
发帖 595
注册 2009-5-2
#5  

这个是转帖。而且这篇文章好像是很久以前的了。不知有多少年了。今儿个怎么就给翻出来了。

※ ※ ※ 本文纯属【雄视王者】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-11-16 18:57
查看资料  发短消息   编辑帖子
shambhala
注册用户





积分 115
发帖 115
注册 2008-6-20
#6  



  Quote:
Originally posted by 雄视王者 at 2009-11-16 18:57:
这个是转帖。而且这篇文章好像是很久以前的了。不知有多少年了。今儿个怎么就给翻出来了。

呵呵,微点真要是那么差,恐怕早就完蛋了。

※ ※ ※ 本文纯属【shambhala】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-11-16 21:42
查看资料  发送邮件  发短消息   编辑帖子
littlefritz
版主

微点帮帮团团长


积分 3505
发帖 3502
注册 2009-5-23
来自 微点帮帮团
#7  

微点不是不防,只是不是完全通过API监控来防。

※ ※ ※ 本文纯属【littlefritz】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

2009-11-16 23:46
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
lsj301
银牌会员




积分 1388
发帖 1382
注册 2009-3-16
来自 甘肃兰州
#8  

你们对招,我路过.

※ ※ ※ 本文纯属【lsj301】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

我们一直在默默支持微点!
2009-11-17 15:29
查看资料  发送邮件  发短消息  QQ   编辑帖子
f8312519
银牌会员




积分 2184
发帖 2169
注册 2008-10-27
来自 维创论坛
#9  

总的来说不能乱转.要有自己的见解.
二楼的解释很到位
自己测试了才知道强不强.不要一味的听风!

※ ※ ※ 本文纯属【f8312519】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

维创论坛免费软件园地欢迎您!http://herofw.haotui.com
2009-11-18 16:20
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号