微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点软件使用交流 » 瑞星、微点……进程保护谁最强?  

 139  9/14  |<  <  5  6  7  8  9  10  11  12  13  >  >| 
作者:
标题: 瑞星、微点……进程保护谁最强?
lailai1
新手上路





积分 10
发帖 10
注册 2007-1-11
#81  

都是高手啊!学习了!

※ ※ ※ 本文纯属【lailai1】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-10 01:39
查看资料  发短消息   编辑帖子
linovo
中级用户




积分 346
发帖 334
注册 2006-12-9
#82  

今天发现一个挂了病毒的网页,该病毒十分厉害,能一转眼便把微点的实时监控关闭,它是通过把MPMon.exe进程干掉而达到击溃微点防御体系的目的,并且此病毒不断尝试杀瑞星防火墙的进程,瑞星进程保护这次还能经得起考验,没被击破,杀瑞星进程,杀了又重生,从截图可以看到任务栏的托盘有三个瑞星防火墙图标,就是进程保护在起作用了。
        这次中毒经历验证了我一个想法,就是无须把微点所有进程干掉,只需杀MPMon.exe,就算微点其余进程能活下来,微点的防御体系已经崩溃了。
        此次还让我发现微点一个问题:第一次访问该挂毒网页,病毒会中在用户电脑里并运行,在微点进程查看窗口的其他进程里出现该病毒,微点识别不了,奇怪的是,我把该病毒进程杀掉,提取出来压缩上报给微点后,在压缩包里把病毒激活,微点能识别为未知间谍,这种情况下,微点应该已经即时提取了该病毒的特征码,并更新了本地特征库,但我在打开微点实时监控的情况下,再次访问挂毒网页,微点还是让病毒成功运行,当然,微点照例还是给关闭了,也就是说,微点虽然更新了本地未知病毒特征库了,仍未能杀此病毒,这应该是微点的一个漏洞。

[ Last edited by linovo on 2007-3-7 at 11:25 ]

附件 1: 11.jpg (2007-3-7 11:17, 134.96 K,下载次数: 74)


附件 2: 22.jpg (2007-3-7 11:18, 81.38 K,下载次数: 31)


※ ※ ※ 本文纯属【linovo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-7 11:17
查看资料  发短消息  QQ   编辑帖子
linovo
中级用户




积分 346
发帖 334
注册 2006-12-9
#83  

把最近萌生的几条建议一起向微点提了:
1、许多用户都提到,微点发现病毒时,询问用户是否删除,其实微点是把病毒隔离了。微点“删除”这种说法确实不太严谨,瑞星、金山、江民划分比较细,好像有清除、删除、隔离。微点应该把处理病毒的方式定义得更严格、科学一些。
2、微点截获未知病毒有“自动传送和智能询问处理”功能,我一直怀疑微点这个功能不完善、有漏洞。理由就是我把截获未知病毒样本设置成智能询问后,进行病毒测试时,很多病毒微点都报未知(遇到这种情况大概有20次了),但只有两次询问我是否传送,数量似乎少了一点。我觉得费尔V7的病毒上报比微点设计得好一些,传送时会弹出传送界面,有进度条显示,而微点比较粗糙,传送是否成功、传送进度、上报者的联系方式等都没有,建议改进。还有,不知道微点自动传送是否支持断点续传功能,支持传送文件的大小有没有限制,能否超过2M?
3、微点有程序生成和注册表变更日志记录功能,建议在此基础上增加某个程序在同一时间修改的项目用同一颜色高亮度显示,不同程序所修改的项目用不同颜色区分,这样便于用户发现问题和对比。注册表变更日志窗口,双击项目能定位到注册表,建议双击程序生成项目时也能定位到程序文件夹,这样查找程序就更容易,或者增加一个路径复制功能,便于寻找生成的文件。
4、再次强烈建议微点增加System Repair Engineer的智能扫描功能,上次提过这个建议,但给Legend版主枪毙掉了^_^,微点虽然有日志记录功能,但有些项目没有System Repair Engineer详细,微点不想增加此功能也无所谓,反正smallfrogs这个小软件现在还免费,但假如微点有此功能就省去用户到处跑了^_^。
5、微点的“系统自启动信息查看”功能亦非常强大,其中一个功能设计得很好,就是对启动项目有校验功能,如果项目所指向的文件不存在会“提示不存在”。但这个启动信息查看功能有一个缺点:就是没有对启动项目进行分类排列,应该按启动方式如“服务、驱动、SPI”等相同项目放在一起,不存在项目也排在一起,这就更人性化。
6、“运行冰刃,卡巴有不少提示,例如释放驱动获取对系统完全访问、修改注册表等动作,可以说有病毒特征”,而微点对冰刃释放驱动这一动作并没有拦,这是对的,毕竟冰刃不是病毒,而且如果微点拦了,类似这种情况的会有不少,这样报警提示就非常多了。但微点不拦也不全对,倘若病毒像冰刃这样通过释放驱动,工作在内核,一成功就能轻易干掉微点了,那时候想拦就太晚啦。当然,病毒要达到冰刃的境界,编程有点难道,然而不排除没有。因此,我建议微点在目前的监控模式下增加一种“增强型的行为监控”,就是对程序行为监控更敏感、监控范围更广,肯定这种模式误报会更多。此增强模式由用户决定是否打开,它较适合有一定水平的高级用户。微点其中一个设计宗旨就是尽量减少报警提示,以免给用户带来恐慌和不便,但我认为想杀更多未知病毒,频繁报警、误报就在所难免,这是不可调和的矛盾。频频报警与什么都不报,我坚决选前者。
7、78楼的newgnay说得好,冰刃强大的反调试功能确实很值得微点借鉴,如果给黑客通过调试破解了微点工作原理和源代码,不仅微点公司危险,微点的用户也很危险。倘若微点也像冰刃那样一调试就重启,那黑客想破解的难度也大大增加了。

[ Last edited by linovo on 2007-3-7 at 16:38 ]

附件 1: sdf.jpg (2007-3-7 11:21, 81.17 K,下载次数: 42)


※ ※ ※ 本文纯属【linovo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-7 11:18
查看资料  发短消息  QQ   编辑帖子
100000
版主

灌水区华南水务使


积分 3285
发帖 3250
注册 2007-2-26
来自 深圳
#84  

楼主好勤快!佩服!

是哪个网,告诉一下,可以么?

单独关闭mpman微点照样杀毒,可以解压一个微点报已知的试下,刚试过了!

[ Last edited by 100000 on 2007-3-7 at 11:30 ]

※ ※ ※ 本文纯属【100000】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

日出东方 微点先行 主动防御 快人一步
2007-3-7 11:25
查看资料  发送邮件  发短消息   编辑帖子
mom09
注册用户




积分 101
发帖 101
注册 2007-1-20
#85  

瑞星、江民、金山2007正版的杀毒软件都买了。楼主真是有钱人。

※ ※ ※ 本文纯属【mom09】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-7 11:31
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#86  

linovo
方便的话请提供您的具体网址请用论坛短消息发给我;
谢谢您的建议和支持,我们已经收录并会认真考虑。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-3-7 11:36
查看资料  发短消息   编辑帖子
100000
版主

灌水区华南水务使


积分 3285
发帖 3250
注册 2007-2-26
来自 深圳
#87  

linovo可否再登陆看下,我这边发现不了那个东西。
春节期间 flo 在绅博有发布过一个与您描述相似的东西“[砖头]一个穿墙能力不错的...”

附件 1: 1.jpg (2007-3-7 12:26, 193.66 K,下载次数: 46)


附件 2: 2.jpg (2007-3-7 12:27, 169.63 K,下载次数: 25)


※ ※ ※ 本文纯属【100000】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

日出东方 微点先行 主动防御 快人一步
2007-3-7 12:26
查看资料  发送邮件  发短消息   编辑帖子
starfish
新手上路




积分 36
发帖 36
注册 2007-3-4
#88  

莫说微点了,就是咖啡也逃不过这种命运……

※ ※ ※ 本文纯属【starfish】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-7 13:07
查看资料  发送邮件  发短消息   编辑帖子
100000
版主

灌水区华南水务使


积分 3285
发帖 3250
注册 2007-2-26
来自 深圳
#89  

绅搏的样本
http://bbs.hypost.cn/read.php?tid-124538-fpage-3.html

※ ※ ※ 本文纯属【100000】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

日出东方 微点先行 主动防御 快人一步
2007-3-7 13:10
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#90  

经我们测试,没有出现您反映关闭MPMON.exe的情况。
第一次运行微点报“发现未知间谍软件”并处理成功;
第二次再运行,微点直接拦截并处理成功。
方便的话请描述您的具体测试环境及相关信息。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-3-7 13:22
查看资料  发短消息   编辑帖子
 139  9/14  |<  <  5  6  7  8  9  10  11  12  13  >  >| 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号