微点交流论坛 - 微点软件使用交流 - 转帖一篇对微点的质疑，请大家讨论。

1/4

bobgod2000
新手上路

积分 30
发帖 30
注册 2007-5-24

#1 转帖一篇对微点的质疑，请大家讨论。

这些话不得不说，前一段时间网上抨击了用易语言写的木马杀客那个软件，说这个软件只会判断文件名、文件MD5码等等来定义一个文件是否是病毒，今天我就想来说一说北京微点主动防御软件的一些看法
在网上看到说微点软件是如何的厉害，今天有兴也下了一个，安装完成后升级，呵呵，可以免费用3个月，看到这里心里还是比较喜欢的，安装完成后，马上对该软件做了测试，因为电脑上还安装了卡巴，但是这两个软件并不冲突，这点很好，我在网上找了几个最新最流行的病毒样本，然后依次在电脑上做了测试，首先测试的是一个MYPLAYER.COM的一个最新变种蠕虫病毒，用卡巴扫描了一下，晕，居然没报病毒，难免有点失望，卡巴暂停保护，试试微点，然后自己动手运行了一下，拦截了
微点提示：
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\测试\MYPLAYER.COM
木马程序生成以下文件:
1) C:\WINDOWS\SYSTEM32\ALXRES070530.EXE
2) C:\WINDOWS\SYSTEM32\SCRSYS070530.SCR
3) C:\WINDOWS\SYSTEM32\WINSYS32_070530.DLL
4) C:\WINDOWS\SYSTEM32\SCRSYS16_070530.SCRUR
5) C:\WINDOWS\SYSTEM32\WINSYS16_070530.DLL
是否删除木马程序及其衍生物?
这个提示是未知木马，当然我是点了删除，不然就亏大了。
在此有点佩服它，居然能识破它是木马？厉害，好了继续测试，暂停微点，在该木马程序的尾部加了1个字节，启动微点，居然没反应了，怎么回事，难道是MD5判断文件是否是病毒？这次没暂停微点软件，直接把追加的那1个字节删掉，保存，结果又报病毒，在此我可以下一个定义了，微点是利用一个文件的MD5码来判断一个文件是否是木马的，如果你运行了一个程序，微点在病毒库里没有搜到该文件的MD5值，他是不会提示的，但是只要这个程序要在硬盘上建立一些文件，微点会提示的，不过只是一些不太熟悉的软件才会提示！想证明我的这一点是否正确，我自己写了一个程序来对他进行了测试，开始的时候只是在硬盘里随机生产了几个10几字节的文件，微点没有提示，接着再修改程序，把生成文件大小改成了30几K，当然有可执行的文件头，然后再在注册表里写入该生成文件的启动项目，好了，过了大约一分钟，微点终于提示了，说我生成的文件是未知木马，我终于恍然大悟，原来微点判断能自动生成文件的程序都是提示未知木马。为什么卡巴没识别到呢？因为这个病毒加了壳，这个壳还没有脱壳软件，况且手动脱壳都要花时间的。
我对他的主动防御进行了测试，自己写的测试程序运行后都生成完几个文件，注册表里也添加了项目，微点在大约1分钟后才报了木马，想想看，这一分钟我可能都把这些程序分解改名隐藏等等操作了。总之，这个软件跟木马杀客没有什么本质区别，只是不会以文件名来判断病毒就是了，我觉得还是需要有一套独立的杀毒引擎是最好的，不要再欺骗我们中国人了，软件是好就是好，不好就不好，不是我不支持本国的软件，而是本国的软件要让我们信任才行啊，至少你要诚实的告诉我们，说说你的软件具体是什么功能，以什么来判断他是木马的，这些又不是商业机密，大家测试一下就知道了的，但是这些东西都要隐藏，然后大吹自己是如何厉害，这就是我们的国产杀毒软件的软肋
最后在说两句，这种监视文件创建和目录监视的源代码到处都是，写出来还要卖我们的钱，简直把我们当猴耍，我希望广大的朋友在选择一款杀毒和防毒的软件时，一定要对该软件进行测试，免得上当受骗。
我说的这些，大家下去都可以测试的，图我就不贴了，如果你们测试后不是我说的这样你们可以打我耳光！!

[ Last edited by bobgod2000 on 2007-6-4 at 23:15 ]

※ ※ ※ 本文纯属【bobgod2000】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-6-4 23:13

a393310872
新手上路

积分 42
发帖 42
注册 2006-11-22

#2

我对他的主动防御进行了测试，自己写的测试程序运行后都生成完几个文件，注册表里也添加了项目，微点在大约1分钟后才报了木马，想想看，这一分钟我可能都把这些程序分解改名隐藏等等操作了。

如果你是这么认为的....那你就错了.你最好再用下去.然后再看看你的结论对不对.暂不发表任何意见.

另外说一句.你说微点是靠MD5来判断.那么请你为灰鸽子做个免杀.简单的即可(能过一个杀软就行).那样MD5肯定变了然后你再运行下试试.微点能杀不?

同志.下次发贴记住把资料说的更详细些.

[ Last edited by a393310872 on 2007-6-4 at 23:31 ]

※ ※ ※ 本文纯属【a393310872】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-6-4 23:29

jaber
版主

使用与技巧区版主

积分 2861
发帖 2835
注册 2006-6-6

#3

嘿嘿好像这个是转贴！

※ ※ ※ 本文纯属【jaber】个人意见，与【微点交流论坛】立场无关※ ※ ※

XP2（原版未打补丁）
单独微点预升级

2007-6-4 23:31

a393310872
新手上路

积分 42
发帖 42
注册 2006-11-22

#4

恩...一开始没注意....只是觉得光靠这个来判断是不是有点武断了....

※ ※ ※ 本文纯属【a393310872】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-6-4 23:32

WndProc
注册用户

积分 69
发帖 69
注册 2006-9-21

#5

任何如果一个文件被修改过,它的MD5码也将随之改变。

这个人连这基本的知识都不知道。

※ ※ ※ 本文纯属【WndProc】个人意见，与【微点交流论坛】立场无关※ ※ ※

更加卓越的微点，需要您的建议，以及热情的支持。

2007-6-4 23:34

bobgod2000
新手上路

积分 30
发帖 30
注册 2007-5-24

#6

是转的，呵呵。
作者的意思就是改变下病毒文件的MD5，微点就杀不出来了！
希望大家在技术上多多讨论。

※ ※ ※ 本文纯属【bobgod2000】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-6-4 23:45

wkwx
中级用户

新手上路

积分 341
发帖 341
注册 2005-12-4

#7

这篇文章胡编烂造的可能性是100%！！

具体情形大家有能力可以自己试试！你会发现微点的强大的！

※ ※ ※ 本文纯属【wkwx】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-6-5 00:04

a393310872
新手上路

积分 42
发帖 42
注册 2006-11-22

Quote:

Originally posted by bobgod2000 at 2007-6-4 23:45:
是转的，呵呵。
作者的意思就是改变下病毒文件的MD5，微点就杀不出来了！
希望大家在技术上多多讨论。

他的这篇文章本身就不够详细.且判断方式太过武断了

※ ※ ※ 本文纯属【a393310872】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-6-5 00:12

a393310872
新手上路

积分 42
发帖 42
注册 2006-11-22

Quote:

Originally posted by bobgod2000 at 2007-6-4 23:45:
是转的，呵呵。
作者的意思就是改变下病毒文件的MD5，微点就杀不出来了！
希望大家在技术上多多讨论。

他的这篇文章本身就不够详细.且判断方式太过武断了

※ ※ ※ 本文纯属【a393310872】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-6-5 00:12

bobgod2000
新手上路

积分 30
发帖 30
注册 2007-5-24

#10

希望在理论上能有个强有力的说法。

※ ※ ※ 本文纯属【bobgod2000】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-6-5 00:15

1/4

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号