微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 【转帖】 [讨论]微点的软肋-让你一朝死不瞑目!!  

 14  1/2  1  2  > 
作者:
标题: 【转帖】 [讨论]微点的软肋-让你一朝死不瞑目!!
江浸月
中级用户





积分 353
发帖 350
注册 2009-4-18
#1  【转帖】 [讨论]微点的软肋-让你一朝死不瞑目!!

[讨论] 微点的软肋-让你一朝死不瞑目!!

总结下微点的几个不足的地方,纯技术交流,误做它用~

     1.感染性病毒拦截问题。 上面我说过了,微点用的是“触发机制”一旦满足这个机制它才会报警,这就是为什么有些测试样本运行时,一开始没什么反应,过一会就会报毒了。。。不是微点反应慢,而是只有病毒满足其规则的若干个条件时,才会触发“报警”机制,而微点恰恰就是在这方面存在漏洞,尤其是面对“感染型病毒”的时候,一般感染型病毒会通过修改文件和插入代码的方式来感染文件,这期间除了某些不慎的作者触动了敏感选项的注册表外,几乎不会碰到微点的“禁忌事项~”,没有服务创建,不会加载驱动,也不插入某些程序,只需些感染代码的批处理和自启动文件autorun就足够了,并且在感染后删除自身,微点根本就找不到病毒本体,其他程序虽然被感染,但因为其原本是正规程序,所以根本没有触发条件,微点自然就不会报警,所以说微点在这方面需要改进,目前微点对付感染型的病毒还是很弱的,基本上特征码能扫描出来的很多,都对付不了。

     2.结束进程问题。微点不同于国产杀软的“疯狂挂钩子”的方法,(尤其是江民,挂钩子的技巧简直能以变态来形容~)恢复SSDT表的话都差不多(江某除外~)也不采用国外的底层驱动保护和服务0秒重启的方式~(卡巴、麦咖啡和NOD32~)微点用的插入进程。。。(病毒的手法,多少有点猥琐~)插入每一个进程,这样即使自己的主要进程被结束,其他程序中插入的模块也会起到自动恢复的作用~杀是杀不觉得(。。。你总不能把所有进程都“结束”吧?~)因此大多木马都研究的是“过微点”。。。却没有打算强杀的,我本身不这么认为,1.强杀比免杀简单的多~效率也高 2.强杀的生存时间比免杀长 但是强杀就要有个强杀的方法,方法1很简单就是利用关闭关键字窗口的方法,关掉微点的界面使其出错~ 2.利用重启计算机的方式,重启后删除微点在系统盘下的sys序列号文件,一旦删除这个文件,微点再重启后会提示“获取序列号,失败”这样微点就完全启动不起来了,同样达到强杀的目的。

     3.批处理问题,微点因为没有扫描系统,而批处理恰恰又不容易触发微点报警,所以批处理方面完全是微点的软肋,像之前过微点的“著名”病毒,Trojan.Win32.IAgent 就是利用大量的VBS脚本和批处理文件来达到的,(启动方面还是我上面提到的autorun和系统的那个百年BUG,计划任务~)完全不会触发当时的微点报警机制~。。。所以今后如果微点一旦发达起来,没有配合扫描的微点,批处理将成为其劲敌!~

此贴摘自点饭:http://www.mpfans.org/thread-34811-1-1.html

※ ※ ※ 本文纯属【江浸月】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-5 03:56
查看资料  发送邮件  发短消息   编辑帖子
师傅的徒弟
新手上路





积分 9
发帖 9
注册 2009-6-5
#2  

无语,哪里是“点饭”的帖子,点饭转载别人的帖子也不说明下,分明是大侠“黑暗的浪漫”在百度博客里写的,见http://hi.baidu.com/%BA%DA%B0%B5 ... 6c05cc51da4b7b.html 转载别人的帖子就好好说明下!

※ ※ ※ 本文纯属【师傅的徒弟】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-5 17:24
查看资料  发送邮件  发短消息   编辑帖子
mamsds
银牌会员




积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
#3  

没有序列号,微点貌似还是可以工作,只是托盘不动吧?

※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.
2009-6-5 18:05
查看资料  发送邮件  发短消息  QQ   编辑帖子
qq8752088
中级用户




积分 237
发帖 237
注册 2009-4-11
来自 揭阳
#4  

如果真的是3楼所得那样   微点不用经营了

※ ※ ※ 本文纯属【qq8752088】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

  [size=5] 东方骄傲[/size] [size=4]→[/size] [b][size=8] Micropoint![/size][/b]
2009-6-5 20:15
查看资料  发送邮件  发短消息  QQ   编辑帖子
zd025ma
新手上路




积分 39
发帖 39
注册 2008-11-27
#5  真的是这样么?

我好怕怕啊

※ ※ ※ 本文纯属【zd025ma】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-5 20:20
查看资料  发送邮件  发短消息   编辑帖子
bzhxz
注册用户





积分 186
发帖 180
注册 2008-5-29
#6  

确实有道理,自己碰到过

※ ※ ※ 本文纯属【bzhxz】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-5 20:57
查看资料  发送邮件  发短消息   编辑帖子
江浸月
中级用户





积分 353
发帖 350
注册 2009-4-18
#7  

我的微点过期了,但是托盘还在转动呀

※ ※ ※ 本文纯属【江浸月】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-6 08:57
查看资料  发送邮件  发短消息   编辑帖子
师傅的徒弟
新手上路





积分 9
发帖 9
注册 2009-6-5
#8  



  Quote:
Originally posted by 江浸月 at 2009-6-6 08:57:
我的微点过期了,但是托盘还在转动呀

你们自己去师傅“黑暗的浪漫”的百度博客看原文,并不是序列号过期就不能用,原文的意思是删除C盘下的一个微点记录序列号的SYS文件,如果这个文件被删除,重启计算机后微点会提示“获取序列号信息”失败,从而就无法正常启动了。(我觉得出于安全着想没把那个SYS文件名字写出来)转载的东西就是不行

※ ※ ※ 本文纯属【师傅的徒弟】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-6 15:04
查看资料  发送邮件  发短消息   编辑帖子
fausto
中级用户




积分 204
发帖 204
注册 2009-3-14
#9  

所以现在微点开始开发特征码了

※ ※ ※ 本文纯属【fausto】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-6 16:33
查看资料  发送邮件  发短消息   编辑帖子
tcjgdw@163.com
中级用户





积分 223
发帖 216
注册 2007-12-26
#10  

我相信微点今年会推出超前主防,克服智能主防的一些缺点。

※ ※ ※ 本文纯属【tcjgdw@163.com】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-6 16:39
查看资料  发送邮件  发短消息   编辑帖子
 14  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号