微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 微点主动防御之不能完成的任务  

 16  1/2  1  2  > 
作者:
标题: 微点主动防御之不能完成的任务
maozi778631
新手上路





积分 6
发帖 6
注册 2008-9-8
#1  微点主动防御之不能完成的任务

微点主动防御软件对于常规病毒,可以达到99%的查杀率,可是最近的评测中却可以看到微点检测率最低仅仅85%左右,这是为什么?

本人用影子冒着危险测试了2天的微点,第一天是所有的病毒,一一打开了,把其中不能查杀的病毒提取了,行为测试,可以发现,这些病毒基本不加载什么驱动,也不在系统安装目录中复制文件,甚至不设置自动启动,可以说一运行就直取首级。最典型的就是盗QQ号的木马了,一旦微点的特征码没有查出来,运行后直接在QQ文件夹里驻扎,运行QQ后病毒运行,记录下账号信息。每每微点都是栽在这种木马手里。这种病毒对于特征码为主的杀毒软件,和其他木马几乎没什么2样,可是对于主动防御软件,就有苦说不出了。

这时有人说了,把这个行为也加入行为库里啊?加入行为库就完美无缺了吗?难道在QQ文件夹里生成、替换一个文件,你就说他是木马?这样QQ还怎么更新?网游还怎么更新?甚至登个新QQ都要被报QQ.exe是木马了。

电脑程序毕竟不是人,没有人这种判断能力,这也是微点、智能HIPS之弊端,可以说是不能完成的任务。如果仅仅使用特征码追踪,那他就违背了刘旭当初出微点主动防御软件的初衷了。

这时只有一个办法,就是——微点出高启发扫描引擎。微点主动防御软件和高启发式引擎,看似不是一条路线,可他们却有实质上的相同点,即都可以防御未知木马病毒,也都印证了刘旭的初衷——防御未知木马病毒。

微点没有扫描,仅仅是一只老虎,一旦出了高启发引擎,就是真正意义上的如虎添翼!让我们一起期待微点高启发扫描引擎的到来!

PS:本帖属原创,请于本区另外一帖《主动防御不可完成的任务(-)》 区别

※ ※ ※ 本文纯属【maozi778631】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-7 20:46
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

请楼主将样本发送到:virus@micropoint.com.cn  我们会详细测试。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2009-2-7 21:04
查看资料  发短消息   编辑帖子
mamsds
银牌会员




积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
#3  

如果一个病毒他不随机自启,貌似就没什么意思了.............

※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.
2009-2-7 21:16
查看资料  发送邮件  发短消息  QQ   编辑帖子
wsmurderer
高级用户





积分 676
发帖 668
注册 2008-11-21
#4  

确实是,现在很多病毒针对微点,不往系统盘写东西,不写入注册表,微点基本没有办法。现在微点越来越受人关注,微点真正的挑战来了。。。,看微点如何应对。。。

※ ※ ※ 本文纯属【wsmurderer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-7 21:41
查看资料  发送邮件  发短消息   编辑帖子
hds_ss
银牌会员





积分 1105
发帖 1101
注册 2007-2-26
#5  

微点对扫描太慎重了,看来微点对扫描的要求相当高,不是精品也应该是一级品,但我觉得微点不应该总是闭门造车,还是需要在一定的范围内(小一点)进行测试,然后在大范围进行测试。

※ ※ ※ 本文纯属【hds_ss】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

系统为:XP Professional 版本为 2002 Sercice Pack 2
Intel946GZ+1G+PD820
预升级用户
2009-2-7 23:01
查看资料  发送邮件  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#6  

纯粹钓鱼微点目前不设防  其他杀软也防不了 黑客没有隐形没有替换qq登陆窗口 没有产生病毒行为  只能靠自己仔细判别

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2009-2-8 00:31
查看资料  发送邮件  访问主页  发短消息   编辑帖子
maozi778631
新手上路





积分 6
发帖 6
注册 2008-9-8
#7  



  Quote:
Originally posted by mamsds at 2009-2-7 21:16:
如果一个病毒他不随机自启,貌似就没什么意思了.............

是的,可是木马的目的如果仅仅是盗QQ号,他的自启动也会没什么意义,直接把QQ.exe替换成 假的那种,微点也没办法

※ ※ ※ 本文纯属【maozi778631】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-8 09:21
查看资料  发送邮件  发短消息   编辑帖子
snhao
银牌会员




积分 1791
发帖 1782
注册 2007-6-12
#8  

正常的程序行为能让用户遭受损失是防还是不防呢?

※ ※ ※ 本文纯属【snhao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-8 12:22
查看资料  发短消息   编辑帖子
化外愚民
中级用户




积分 281
发帖 281
注册 2007-4-3
#9  

但它怎么盗呢?还不得往外发?针对这点行为做一系列综合判断也是可以的。如果它不往外发,尽管让它复制就是,它爱复制,谁管得着(当然,如果老是复制个不停地玩儿,另当别论)。

※ ※ ※ 本文纯属【化外愚民】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-9 11:02
查看资料  发短消息   编辑帖子
micky
注册用户





积分 59
发帖 59
注册 2007-9-7
#10  

这个需要有具体的样本来说话!

※ ※ ※ 本文纯属【micky】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-11 18:13
查看资料  发送邮件  发短消息   编辑帖子
 16  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号