微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 用微点实机试毒的后果!  

 11  1/2  1  2  > 
作者:
标题: 用微点实机试毒的后果!
martionhao
新手上路





积分 4
发帖 4
注册 2007-6-15
#1  用微点实机试毒的后果!

实机试毒的后果是什么呢?要看你用的是什么杀软!卡巴,免杀太多,红伞也有飘过的时候,那微点如何呢?
很多用了微点的兄弟慢慢都会喜欢上用微点实机试毒的感觉,双击一个样本,微点很快会报未知木马,然后把本体和衍生物通通删掉!
可是,实机试毒毕竟带有危险性!今天我就郁闷了两回!
第一回是样本区那个,运行了就等着关机重启吧的那个样本!这是个玩笑程序,运行了以后,进程不停的关闭重建,无法手动停止,并且进程越来越多,最后只好重启,我看野马兄发上去的截图有拦截,可是我的微点就是不拦截!
这也就算了,可是,等我吃完晚饭回来,又下载了几个样本,解压缩其中一个压缩包,里面的病毒文件是隐藏的,于是我想打开隐藏文件的显示,可是,点了很多次都无法正常显示隐藏文件!于是,第一个反映,中招了!打开任务管理器仔细查看进程,没有异常!打开冰刃,估计有可能有dll插入了explorer,于是检查explorer的模块信息,没有发现异常!用微点的自启动清理,删除了几个我觉得可疑的驱动,然后重启,问题依旧!
既然没有异常模块加载,也没有异常进程,那只有注册表文件被恶意修改了,于是去检查HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 下面的checkedvalue键值,发现果然被恶意修改为0000 01,删掉它,重建一个DWORD值,改为1,刷新一下,这个值正常了,可以设定显示所有文件了!但是显示受保护的系统文件这个选项仍然不正常!百度了一下,找到了这个键值,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\SuperHidden,CheckedValue和DefaultValue这两个键值应该设置成 0,而UncheckedValue应该设置成1~!在我的电脑上,UncheckedValue被设置成了0!改成正常值以后,刷新,设置恢复了,所有隐藏文件可以显示了!问题终于解决了!
虽然又学到了不少东西,可是实机试毒还是有一定风险的!微点虽然删掉了病毒和衍生物,但是还是不能做到完全的防护啊!
最好是微点能提供自己设定注册表保护的范围的功能,这样我们可以自己添加一些注册表项进行保护,就像卡巴的主动防御那样!

※ ※ ※ 本文纯属【martionhao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-28 13:33
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

请楼主将您提到的病毒样本送到virus@micropoint.com.cn,我们具体分析一下,随信请附上本帖链接,谢谢。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-6-28 13:40
查看资料  发短消息   编辑帖子
norman6810
版主





积分 3351
发帖 3303
注册 2007-4-4
#3  

看过在卡饭的帖子,楼主发到微点论坛啦,呵呵!
  实机试毒本来就很危险,况且也没有那个杀软能做到100%查杀!
不过楼主说的这个问题的确要引起注意,最好能把样本上报给微点病毒上报邮箱!
   还是超版快啊!!

※ ※ ※ 本文纯属【norman6810】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

灌水区版规
2007-6-28 13:41
查看资料  发短消息   编辑帖子
skydragon
注册用户





积分 144
发帖 144
注册 2007-4-25
#4  

提供RD功能,自定义MP目前的“注册表保护”:)不错,我记得之前也有同志提过!:)

※ ※ ※ 本文纯属【skydragon】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-28 13:41
查看资料  发短消息   编辑帖子
hortra
注册用户





积分 127
发帖 117
注册 2007-1-11
#5  

好像微点的记性比较好,杀过一会以后都能记住

※ ※ ※ 本文纯属【hortra】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-28 19:28
查看资料  发送邮件  发短消息   编辑帖子
干虾米哟
中级用户





积分 343
发帖 343
注册 2007-2-12
#6  

超版你真神速啊!

※ ※ ※ 本文纯属【干虾米哟】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-28 22:46
查看资料  发送邮件  发短消息   编辑帖子
牛行天下
注册用户




积分 169
发帖 169
注册 2007-5-26
#7  

引狼入室???

※ ※ ※ 本文纯属【牛行天下】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-28 23:40
查看资料  发送邮件  发短消息   编辑帖子
驾驭流星
中级用户

新手上路


积分 221
发帖 221
注册 2005-12-30
来自 中国!
#8  

要就用虚拟机测试病毒啊~

※ ※ ※ 本文纯属【驾驭流星】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-7-2 21:10
查看资料  访问主页  发短消息  QQ   编辑帖子
dsl5
高级用户




积分 578
发帖 520
注册 2007-6-16
来自 广州
#9  

哈哈!我都说了超版一定是这样回复的,果然猜对了!我是读心理学的哦!

※ ※ ※ 本文纯属【dsl5】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

该点饭点了叉烧饭
2007-7-3 10:59
查看资料  发送邮件  发短消息   编辑帖子
反黑先锋
版主

RUNWAY


积分 2901
发帖 2857
注册 2006-6-17
#10  

显示隐藏文件的问题 相信内测版已有针对性的保护功能

选项 锁定 保护

※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔
2007-7-3 12:12
查看资料  发短消息   编辑帖子
 11  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号