» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 绕过微点主动防御可行性的分析[转帖]   作者: 标题: 绕过微点主动防御可行性的分析[转帖] 左文字 新手上路 积分 14 发帖 14 注册 2007-10-2 来自 地球 #1  绕过微点主动防御可行性的分析[转帖] 绕过微点主动防御可行性的分析 转载注明  http://hi.baidu.com/zqinyan/ 微点的主动防御确实是一种对付免杀病毒，变种病毒，家族病毒乃至未知病毒的一种行之有效的方法。 此方法抛弃了传统的特征码对比识别的落后局面  对于病毒编写者来说  无疑是巨大的打击 主动防御是对付病毒的杀手锏  那么是否就是完美的防御手段了呢？它都有那些特点呢？它是不是也有一些不足之处能够被恶意利用呢？ 1、在实际使用微点的过程中可以发现，在识别病毒时，微点总是在病毒已经运行了一会后，才弹出来提示框。也就是说，微点在拦截到某程序的前后一系列API动作后，需要将拦截到的动作与行为知识库中的记录进行对比，用以判断该程序是否为病毒。 也就是说从拦截程序的API动作到行为识别之间有一个时间差   2、通过大量实验可以得出 微点具有一个临时规则的功能 并且该功能生成的临时规则在计算机重启之前都能一直生效 用过微点的用户都知道，当微点通过主动防御发现一个病毒后，会有询问框出现，让用户选择是允许还是阻止，当选择阻止后，会出现询问框让用户选择是删除还是不删除。 不论是选择阻止/删除 还是 允许/不删除，微点都会将此选择添加为临时规则    如果是选择阻止/删除，那么在重启之前，遇到相同路径和hash值的文件都会阻止或者删除；如果是选择 允许/不删除，那么在重启之前，遇到相同路径和hash值的文件就都会放行 并且微点还会记录下父进程，如果同一父进程，第一次的操作没报，但是如果第二次的操作是有害的，那么如果在第二次选择删除的话，那么微点会把在第一次操作生成的文件连同父进程一起让用户选择删除。 这真是一个很神奇的功能    也许也是一个不足之处 3、微点之所以能够发现未知病毒  是建立在大量的对病毒行为分析的基础之上的   比如auto类病毒，都需要通过autorun.inf这个文件来运行，然后对系统进行破坏    那么一个程序  如果具有以下auto类病毒的常见动作  既可被微点报为auto病毒  哪怕这个病毒是微点还为收集到的  也就是未知的病毒 1、通过autorun.inf文件运行    2、向系统目录创建文件    3、向本地磁盘跟目录创建文件  4、修改一些注册表（如启动项 服务） 但是别忘了，微点是通过一系列动作的对比来确定是否为病毒的  所以这也是正规光盘在自启动时不会被报病毒的原因所在 那么，如果将病毒的一系列行为拆散，使之不能联贯；或者将动作减少，使之与行为分析库中的动作对不上号 那么 微点还能报病毒么？    事实是，对于这类单一的动作而言，微点不会报病毒，但是有可能会报危险动作（重要单一API动作报警） ＝＝＝＝＝＝＝＝＝＝＝ 于是，可以结合以上所发现的不足之处  来绕过微点主动防御的监控。 可参见以下2贴 http://bbs.deepin.org/htm_data/207/0710/342647.html http://bbs.kafan.cn/viewthread.php?tid=139077&extra=page%3D1 如以上贴中所录制的视频既是利用了上面所分析的不足之处 里面的那个vbs脚本的作用就在于无窗口运行spbic.exe  （利用的第三点）    运行成功后，未等微点将拦截到的动作与行为库里的记录对比便立即重启（利用的第一点）  所以该病毒能够绕过微点的主动防御并存活下来 如果继续对该病毒的破坏动作进行修改，那么，重启之后  由于无法与现有行为库里的行为进行有效对比，那么微点也会对该病毒放行 （利用第三点）   希望微点官方能够重视并设法弥补以上的不足之处。 ※ ※ ※ 本文纯属【左文字】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-10-4 23:31 gucheng21 新手上路 积分 30 发帖 30 注册 2007-5-28 #2   上述分析不错!不过好象没有效果!记得AV终结者出来时我们应该是第一批中该病毒的机了!那时网上还没有解决方法!只是偶尔搜到一些关于该病毒的的求助贴!那时我用的为NOD32,监控中心打不开!开机不能运行!那时在正常模式上装不了微点!可能刚病毒出来有BUG吧!在任务管理器中可以把某些进程结束掉然后就装了微点!开机杀了一堆未知病毒木马!请问这怎么解析呢?微点的启动是快人一步的!如果你做出来的东西能比它启动得要快的一定过微点!呵呵! ※ ※ ※ 本文纯属【gucheng21】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ [url=www.alimama.com/membersvc/promotion/tjyj.htm]月收入过万不是梦[/url]   2007-10-4 23:55 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #3   谢谢楼主的转贴，微点主动防御软件仍在不断完善过程中，欢迎大家的广泛建议和反馈，使主动防御技术不断完善发展。同样欢迎大家继续做深入的测试使用。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2007-10-5 00:53 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号