» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 微点＆金山   作者: 标题: 微点＆金山 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  微点＆金山 看过铁军那篇“窝里斗”的文章虽然有许多不解，不过先说明几个前提吧 主动防御的概念无非是凡是动彻先机、敌不动我不动，完全通过程序行为判断是否为具有危害性的程序，至于“秀剑”所说的运行病毒后在启动微点已经偏离了主动防御的概念 杀毒软件的概念则不同，在我的个人愚见方面则是通过内存特征、广谱特征对文件进行监视并筛选，得出的结果只有０和１，是０直接放过、１则跳到杀毒引擎上面处理。 从以上两点完全可以看到这两种程序没有可比性，因为是两个不同概念的衍生物，所以一堆人在这里争执哪个好哪个坏却没有一个最终点、没有一个好坏的依据、对付磁碟机什么叫做好又什么叫做坏呢？ 两个出发点： 一、不被感染：通过有效识别系统调用发现磁碟机的行为并有效的阻止，使得用户系统不会被恶意代码感染，对于病毒主线程已经被结束，那么一切都会变得很安静。 二、修复感染：当用户系统已经被恶意代码感染的时候，既要通过杀毒软件的清除引擎对其进行特征匹配、如果匹配的是病毒原特征，那么就直接删除；如果是包含病毒特征，那么就根据特征版本号调用相关算法在内存中将染毒文件进行清除，映射出被清除文件到原位置。 通过以上驳“微点占用资源高的问题” 如图：被选中的是微点的主进程程序，资源问题的指标都显示在里面了。 微点主动防御软件没有扫描引擎，所以不会把大量文件同时读入自身内存，然后进行特征、广谱识别，而只是在其他进程插入特定线程进行程序行为识别了，试比一下究竟是对其他进行插入一个线程占用资源高还是将大量文件读入自身内存占用资源高？所以这个根本没有可比性，因为机制不一样。 驳“中毒后无法进行处理的问题” 首先附上微点对磁碟机的病毒分析报告： 磁碟机Virus.Win32.Xorer.aex http://bbs.micropoint.com.cn/showthread.asp?tid=30196 通过以上病毒分析报告可以看出，病毒一旦启动运行后会对微点的进程发送大量垃圾消息、对包含微点的窗口进行关闭操作、对微点注册的win32服务进行删除操作，这又何以见得“   Quote: 一个任务管理器就把微点搞掉了，之所以那个东东能活下来，是病毒作者没有拿它当对手。 ”呢？反过来讲既然病毒作者没有把微点当作对手为什么要开发出变态的双进程感染机制，一读一写绕过主动防御，为什么要对微点的进程发出windows消息攻击，又为什么通过恢复系统服务分发表删除掉微点的服务使得微点开机无法启动？如果微点对磁碟机不能够构成威胁那么病毒作者又何苦浪费大量的代码这么做？对于任务管理器可以结束微点的进程完全是人性化设计，不相信你可以试试ＩＳ、ＲＫＵ等进程管理工具对微点的作用，或者试试金山自己的进程管理模块是否可以杀死微点的进程。通过看报告还可以看出有“病毒、杀毒、微点”的字样，事实就是事实、事实是不可否认的，在磁碟机运行的情况下微点目前是无法正常安装的，因为在解压缩包的时候任何正规的安全软件都不会丢驱动出来保护安装程序，所以窗口被病毒发现从而关闭；那么我想试问一下金山或者其他的杀毒软件是否能够安装，如果有杀软可以安装上了，要么是这个杀软保护能力太强，就连安装包也要用驱动保护着，要么就是病毒作者根本没有看得起，没把它的窗口放进去。 最后驳录像中的磁碟机突破微点 不知是否可以告知微点的版本信息，如果微点程序版本是当天最新试用版， 病毒版本都无所谓，我二话不说以后再不踏进“爱毒霸社区”一步，但是我曾经是用微点测试版（现在的试用版）在微点官方发布那天测试过磁碟机的，那时候行为拦截还不是完美，病毒虽然无法动作但是计算机会重启，因为病毒调用ExitWindowsEx这个函数并加上了强制重启参数，后来这个ｂｕｇ解决了，也就是磁碟机的强制重启被微点拦截了下来，我想不通就是铁军你测试的微点为什么会被磁碟机重启计算机？我知道调用ZwShutdownSystem或NtShutdownSystem是直接熄火式关机的，根本不会出现注销画面，我想不通既然XXShutdownSystem和ExitWindowsEx都被排除了那么病毒如何在新的微点版本中重启计算机？莫非是自己写了原生系统调用，去通过特殊机制中断CPU关机了？ 疑问了好多，因为没有样本，所以这些疑惑不得其解，知道样本对于杀软公司是很重要的数据资料，不敢奢求，但只想知道我自己这几个疑问的正确解释，不然就算我不想去知道了也会有很多朋友耿耿于怀吧 我虽然是个马甲，但希望你们也可以自重，人活着不就是活个明明白白么？ＱＳ长ＱＳ短那些都没用……我只想知道事实 [ 本帖最后由 孤单每一天 于 2008-3-22 02:24 编辑 ] http://bbs.duba.net/viewthread.p ... ;extra=&page=13 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-3-22 09:54 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #2   病毒名称 Virus.Win32.Xorer.aex 捕获时间 2008-03-20 病毒症状 　　该程序是使用VC编写的病毒程序，由微点主动防御软件自动捕获，采用UPX加壳方式试图躲避特征码扫描，加壳后长度为94,208字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件感染、移动存储介质方式传播。 病毒分析 动作一： 该样本程序被执行后,查找窗口名或类名为如下字符的窗口，试图通过API函数GetWindowThreadProcessId、OpenProcess、TerminateProcess将其关闭，同时发送大量的垃圾消息，造成含有如下窗口的进程无法处理消息自行退出；创建名为“cdocuments and settingsadministrator桌面setupsetupexe”的互斥体，防止系统中有多个病毒进程在运行。   Quote: 免疫 江民 杀毒 病毒 Avast TtabSheet 进程管理 TpageControl Copylock TsuiForm 版 墙 云 防 Frame 狙剑 微点 AfxControlBar42s Tapplication 费尔 Antivir ThunderRT6Timer thunderrt6formdc 升级 木 thunderrt6main eset mcafee afx: arp avg facelesswndproc bitdefender ewido 具诊 #32770 Monitor Onit Afet Yst mcagent.escan firewall dr.web metapad mozillauiwindowclass cabinetwclass ieframe diskgen dummycom xorer 磁碟机 pagefile.pif smss.exe lsass.exe 360安全 修改如下注册表键值隐藏病毒文件使其不能被显示出来、开启Windows自动播放功能利用其传播病毒。   Quote: 项：HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced\ 键值：ShowSuperHidden 指向数据：00 项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ 键值：NoDriveTypeAutoRun 指向变量：95 删除如下注册表项实现突破映像劫持、组策略的免疫方式：   Quote: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy Objects" 删除安全模式对应的键值使用户不能通过安全模式删除病毒文件和修复系统：   Quote: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} 通过API函数GetSystemDirectoryA、GetUserNameA获取系统目录与当前用户名，调用Cacls .exe为系统目录下com子目录赋予当前用户的完全控制权限，如果存在与病毒名相同的文件或文件夹则删除；在目录C:\下释放驱动文件NetApi000.sys，修改文件属性为隐藏和系统；添加SeDebugPrivilege特权令牌，获取调试权限，使得任务管理器无法将其结束；调用SCM写注册表项将NetApi000.sys注册成名为NetApi000的服务，通过相关函数启动被注册的服务加载驱动，加载成功后使用API函数DeleteService将服务NetApi000删除，通过驱动恢复系统分发表将所有系统服务重置，从而使多种病毒监控程序失效；   Quote: 项：HKLM\SYSTEM\CurrentControlSet\Services\NetApi000\ 键值：DisplayName 指向数据：NetApi000 项：HKLM\SYSTEM\CurrentControlSet\Services\ NetApi000\ 键值：ImagePath 指向文件：\??\C:\NetApi000.sys 项：HKLM\SYSTEM\CurrentControlSet\Services\ NetApi000\ 键值：Start 指向数据：03 遍历有如下字符串的进程将其关闭：   Quote: Kmailmon Guard Scan Kissvc Watch Kv Twister Avp rav 调用API函数SHDeleteKeyA将如下服务删除；拷贝自身到%ALLUSERSPROFILE%\「开始」菜单\程序\启动目录下，重命名为~.exe.*******.exe；添加SeShutdownPrivilege特权令牌，获取关机权限，使用API函数ExitWindowsEx强制关机重启。   Quote: MPSVCService AntiVirService AVP KWatchSvc Ekrn SymEvent PAVSRV Tmmbd McShield RsRavMon EQService KSysMon 动作二： ~.exe.*******.exe运行后，创建名为“cdocuments and settingsall userswinnt「开始」菜单程序启动~exe3706156exe ”的互斥体，防止系统中有多个病毒进程在运行；删除注册表自启动项以使系统中安全软件不能一起随系统启动；将自身拷贝到%systemroot%\system32\com目录下，重命名为lsass.exe；通过API函数CreateProcessA运行lsass.exe。之后执行自删除操作，当系统注销时再次将lsass.exe的拷贝复制到启动目录下，实现下次病毒自启动。 动作三： %systemroot%\system32\com\lsass.exe运行后，创建名为“cwinntsystem32comlsassexe”的互斥体，防止系统中有多个病毒进程在运行；检测文件夹下是否存在免疫文件，如果存在执行“动作一”中相关动作删除免疫；在com目录下释放文件netcfg.000、netcfg.dll与smss.exe；在%systemroot%\system32目录下释放动态库dnsq.dll，通过regsvr32.exe /s /c将dnsq.dll注册，并将dnsq.dll添加到AppInit_DLLs键值下，当创建进程时被自动加载，安装全局钩子，以独占方式打开boot.ini与host文件，使得其它线程无法操作这两个文件；之后重复“动作一”中相关动作。   Quote: 项：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ 键值：AppInit_DLLs 指向数据：dnsq.dll 动作四： 枚举磁盘类型将所有分区下autorun.inf删除；在各分区释放autorun.inf文件，通过API函数CreateProcessA执行cmd.exe /C %systemroot%\system32\com\smss.exe %systemroot%\system32\com\lsass.exe ^|C:\pagefile.pif在各分区中以覆盖形式释放隐藏病毒文件pagefile.pif，使用Windows自动播放功能来传播病毒；拷贝lsass.exe为~.exe到启动目录下，通过调用API函数CreateProcessA将smss.exe作为模块名，运行%ALLUSERSPROFILE%\「开始」菜单\程序\启动\~.exe；实现进程互守；枚举磁盘跳过操作系统分区查找所有文件类型，对exe；rar、zip；js等类型文件进行感染，感染方式如下： 1、判断文件扩展名为exe时，将病毒体写入到com目录下临时文件“~”中，再将待感染文件以88k和4k经过Xor指令加密后的数据交替追加到临时文件“~”中，最后再次把病毒体读入内存，取4k代码写入临时文件“~”中，感染过程完毕，通过API函数CreateProcessA执行cmd.exe /C %systemroot%\system32\com\smss.exe %systemroot%\system32\com\~ ^|（待感染文件）.exe将文件覆盖实现感染。 2、判断文件扩展名为zip或rar的时候，查找注册表相关键值取得rar.exe的绝对路径，调用rar命令行参数将文件解压后重复1感染动作，感染完毕后再打包压回。 3、判断扩展名为js的文件时，在文件内插入包含“h**p://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%6%73%701”的框架，解密后为h**p://js.k0102.com/01.asp。                                               Autorun.inf文件内容如下：   Quote: [AutoRun] open=pagefile.pif shell\open=打开(&O) shell\open\Command=pagefile.pif shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=pagefile.pif 动作五： 将如下两个网址作为参数，通过API函数CreateProcessA访问这两个网站显示广告信息。   Quote: h**p://d.gxlgdx.com /html/qb2.html h**p:// f.gxlgdx.com /html/dg2.html 感染对象 Windows 2000/Windows XP/Windows 2003 传播途径 网页木马、文件感染、移动存储介质 安全提示 　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）； 磁碟机Virus.Win32.Xorer.aex http://bbs.micropoint.com.cn/showthread.asp?tid=30196&fpage=1 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-3-22 10:14 terminus 中级用户 积分 221 发帖 218 注册 2007-2-11 来自 Mp.G #3   顶 很长,坚持看完了 ※ ※ ※ 本文纯属【terminus】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ [color=blue]不能給她幸福 就不要妨礙別人給她幸福[/color] 2008-3-22 12:12 北风独自凉 新手上路 积分 7 发帖 7 注册 2008-3-21 #4   已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马      我机子没木马，还没测试到 ※ ※ ※ 本文纯属【北风独自凉】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 我们一定要解放台湾~ 2008-3-22 12:15 xcyyy505 新手上路 积分 17 发帖 17 注册 2008-3-13 #5   我是菜鸟，高深的看不懂，只知道微点运行将近一年，还没有中过招。 ※ ※ ※ 本文纯属【xcyyy505】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-3-22 16:17 木吉它 注册用户 积分 165 发帖 165 注册 2008-2-6 来自 重庆 #6   事实胜过所有口水话！ 今天看到瑞星的广告，“国内唯一主动防御”，真寒呀。。。。。 ※ ※ ※ 本文纯属【木吉它】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-3-23 19:56 mp2007 中级用户 积分 315 发帖 313 注册 2006-12-30 #7   事实证明一切！ ※ ※ ※ 本文纯属【mp2007】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-3-25 13:57 yiyefuwei 注册用户 积分 195 发帖 188 注册 2007-4-20 #8   我想说的是，微点占用资源少，并有将其他程序写入内存的，用过WM虚拟机的人都应该知道，电脑自从 装上那东西就会很卡，然而，我们通常所用的杀软，都采用了启发戒杀毒技术，也是采用了虚拟机技术，虚拟一个系统环境对程序进行分析，这就会占用大量系统资源，而虚启发式杀毒技术，是微点所没用到的 而雷军却占用资源问题推到扫描引擎上来，那不是笑话么 ※ ※ ※ 本文纯属【yiyefuwei】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-4-7 13:16 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号