微点交流论坛 - 微点软件使用交流 - ~~关于微点不防批处理最简单的方法~~

popo225
禁止发言

积分 103
发帖 103
注册 2009-4-26

#1 ~~关于微点不防批处理最简单的方法~~

在论坛很多朋友强烈要求微点拦截恶意批处理行为。

微点不是不防批处理，只是防的不全面。

批处理是什么，可以理解成用户行为，其本身就不好区分是不是病毒行为。

现在我除了发现微点拦截部分高危险的批处理之外，其他的传统杀毒软件没几个查杀的，而且想免杀太简单了。修改几个字符就可以了

而他们所谓的主动防御HIPS，动不动就是

动不动挂全局钩子、加载XX驱动、改写XXX/XXX/XXXX注册表，

写自启动、安装XX服务，dll注入

病毒会需要这些，但有的正常软件也会啊，但这样的提示有几个人可以看得懂？如果可以看懂你就可以不用杀毒软件了。

提示多，提示深奥不智能一般人也看不懂，没有微点智能，提示简单明了。

很多人都把这些所谓的主动防御直接关闭了，或者提示就选择放行。

【批处理_百度百科】

http://baike.baidu.com/view/80110.htm?fr=ala0_1_1

而且批处理不具备一些病毒有的特质，比如自我传播自我复制之类的功能。

但很多朋友说运行了恶意批处理..... 微点不管。

批处理一般都是明码的一般都可以看出来是不是恶意的。

而且批处理一般属于打命令形式的，原来没有windows系统的时候，在【DOS】系统下大家都是通过打命令完成操作的

可以理解成用户行为，其本身就不好区分是不是病毒行为。

比如你关机是不是要拦截？你卸载微点是不是要拦截？这些都可以做出批处理的，甚至批处理可以重装系统，格式化硬盘。

而且真正大规模爆发流行的病毒有几个是批处理？？

【计算机病毒】百度百科

http://baike.baidu.com/view/5339.htm?fr=ala0_1

其实想完全防御批处理方法太简单了。

@echo off
set pp=HKCU\Software\Policies\Microsoft\Windows\System
reg add %pp% /v DisableCmd /t REG_DWORD /d 1 /f
exit

建一个这样的批处理运行之后，之后就不能运行批处理和cmd了。

要解除，请在运行中输入：
reg add HKCU\Software\Policies\Microsoft\Windows\System /v DisableCmd /t REG_DWORD /d 0 /f

一般的人也不会去编写批处理，而且很多人使用不到这些东西

会编写能看懂的是不是恶意批处理他肯定看的出来。

[ Last edited by popo225 on 2010-3-13 at 08:52 ]

※ ※ ※ 本文纯属【popo225】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-13 08:40

饭桶小白
高级用户

积分 558
发帖 556
注册 2009-5-9

#2

最怕就是出现上次那个*星的那种情况~~打着无限使用微点的旗子搞破坏

※ ※ ※ 本文纯属【饭桶小白】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-13 10:14

scien
中级用户

积分 296
发帖 296
注册 2009-10-13

#3

我只是想说

现在用电脑的人当中，有多大的比例的人还能看懂那些命令行字符所表示的意思。

一行可以

两行还行

多了呢？

有谁愿意花了钱买防御软件，还要自己去学编程基础，分析程序行为？

而且，很多情况下，不是用户自己点击批处理本体，是某些程序或脚本自动生成并运行的，运行后删除。

行为判断！

批处理单独作为病毒体，可能很没有前途。

但是，如果他作为一个避免查杀的桥梁、手段呢，

作为病毒实现病毒行为的一种方法。

[ Last edited by scien on 2010-3-13 at 16:02 ]

※ ※ ※ 本文纯属【scien】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-13 15:59

雄视王者
高级用户

积分 598
发帖 595
注册 2009-5-2

Quote:

Originally posted by scien at 2010-3-13 15:59:
我只是想说

现在用电脑的人当中，有多大的比例的人还能看懂那些命令行字符所表示的意思。

一行可以

两行还行

多了呢？

有谁愿意花了钱买防御软件，还要自己去学编程基础，分析程序行为？

而且， ...

是这样的

※ ※ ※ 本文纯属【雄视王者】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-13 16:26

popo225
禁止发言

积分 103
发帖 103
注册 2009-4-26

Quote:

比如你关机是不是要拦截？你卸载微点是不是要拦截？这些都可以做出批处理的，甚至批处理可以重装系统，格式化硬盘。

而且批处理和病毒有这着本职区别。

真正大规模爆发流行的病毒有几个是批处理？？

@echo off
set pp=HKCU\Software\Policies\Microsoft\Windows\System
reg add %pp% /v DisableCmd /t REG_DWORD /d 1 /f
exit

建一个这样的批处理运行之后，之后就不能运行批处理和cmd了。

要解除，请在运行中输入：
reg add HKCU\Software\Policies\Microsoft\Windows\System /v DisableCmd /t REG_DWORD /d 0 /f

一般的人也不会去编写批处理，而且很多人使用不到这些东西

会编写能看懂的是不是恶意批处理他肯定看的出来。

※ ※ ※ 本文纯属【popo225】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-13 20:00

lxy95951
注册用户

积分 161
发帖 159
注册 2010-3-5

#6

希望版主说句话

※ ※ ※ 本文纯属【lxy95951】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-13 22:33

疯狂的石头
禁止发言

积分 33
发帖 33
注册 2010-2-27

Quote:

你所谓的

批处理单独作为病毒体，可能很没有前途。

但是，如果他作为一个避免查杀的桥梁、手段呢，

这只是一个假设，如果你有类似的病毒可以提交【微点官方】或者【点饭】测试

如果批处理也算病毒？世界上估计都是病毒了，同问有几个流行的病毒是批处理的？

而且你的任何点击操作行为都可以用批处理形式展现出来

比如你关机是不是要拦截？你卸载微点是不是要拦截？这些都可以做出批处理的，甚至批处理可以重装系统，格式化硬盘。

如果想禁用批处理可以按照楼主说的方法，一般人也使用不到。

※ ※ ※ 本文纯属【疯狂的石头】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-13 23:28

四大
注册用户

积分 94
发帖 94
注册 2009-12-31

Quote:

单纯的批处理根本无法区别，他就是用户行为，
你的鼠标点击行为就可以用批处理展示出来。而且如果批处理加载所谓的病毒木马，微点能够有效拦截病毒和木马。

【下面复制超版回答】

微点软件以对程序行为的实时监控判断判断为主，特征判断为辅的第三代反病毒软件，当您浏览文件时，微点软件会先以特征码判断进行识别，符合病毒特征直接报警已知病毒并提示您删除处理，当病毒不在特征识别范围内时，一旦病毒运行发生病毒行为，微点软件将采用行为判断进行识别，对病毒行为及时拦截并明确报警告诉您属于哪种类型的未知病毒，提示您删除处理。请您放心使用！

微点杀毒软件目前处于公开测试阶段，也是在不断的测试与研究中进步完善。欢迎您继续做深入的测试使用，并提供更多可行性的建议与意见，共同完善微点杀毒软件。

微点主动防御软件是一款以程序行为判断病毒为主的第三代反病毒软件，并辅助有防火墙功能。安装微点后，它会对您的系统和网络进行实时监控，一旦发现里面的程序有病毒行为，微点主防即会主动拦截和查杀，并给与您相关提示，您按照推荐操作即可，故无需您进行手动去扫描。单装微点即可有效保护您的系统。

微点杀毒软件是一款以特征码扫描技术为核心的第二代杀毒软件，它和微点主防具有良好的兼容性，根据您的使用习惯，您可以使用它与微点主防结合使用。

感谢楼主对微点的支持。

如果你有过微点的病毒或者破坏微点的程序可以提交官方检测。

※ ※ ※ 本文纯属【四大】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-13 23:34

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号