微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 我想知道微点怎么对付与微点拥有相同权限的驱动木马  

 16  1/2  1  2  > 
作者:
标题: 我想知道微点怎么对付与微点拥有相同权限的驱动木马
leadingtheway
新手上路





积分 16
发帖 12
注册 2007-10-2
#1  我想知道微点怎么对付与微点拥有相同权限的驱动木马

(很多人都有疑问)好像微点是放任木马加载,然后才对木马进行行为判断,判断为木马后才来个惊天大逆转,清除病毒

这样的话,如果拥有同等权限的木马一旦加载后,微点想清楚木马恐怕不是一件容易的事吧,让木马加载驱动后就很棘手了,强行清除的话恐怕系统也有可能崩溃吧

※ ※ ※ 本文纯属【leadingtheway】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-9 19:31
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

微点会监控所有进程的动作,当发现有危害系统的动作微点会及时拦截。请放心使用

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-1-9 19:34
查看资料  发短消息   编辑帖子
xiahe1
新手上路





积分 43
发帖 43
注册 2008-1-6
#3  

同样级别的也可以监听吗?
那不是要抢了.......看谁动作快了...........

※ ※ ※ 本文纯属【xiahe1】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-9 19:44
查看资料  发送邮件  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#4  

这贴很有潜力 我也有疑问担心 微点如何AntiRootkit? 前沿技术大家都研究
好比让国外军队开近国土 不 是开进国土.. 突然微点发现对方驱动怀有敌意病毒行为  艺高人胆大的微点再进行拦截判断清除 大家都是平等权限 清除难度不小  卡巴主防没微点这么牛叉强悍 就不这么干 老毛子蛮有自知之明

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-9 19:46
查看资料  发送邮件  访问主页  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#5  

向卡巴致敬 干脆微点添上卡巴那损招  驱动加载我先来个拦截报警 让用户选择
用户选错了 没关系 微点不是卡巴 半驱动全驱动病毒微点主动防御照样有效行为判断
用户选对了 更好  降低安全风险还能提高效率降低cpu系统资源 一般除了微点已识别的安全软件 误报应该不会很多

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-9 19:56
查看资料  发送邮件  访问主页  发短消息   编辑帖子
gxrsprite
新手上路





积分 12
发帖 12
注册 2007-11-23
#6  

这样的病毒绝对不多

阻止病毒提升权限

如果已经提升到了同级别  
PK的话大概就蓝屏了

※ ※ ※ 本文纯属【gxrsprite】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-9 20:48
查看资料  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#7  

最近校园非常流行的xorer病毒  利用windows消息驱动机制发垃圾信息 双进程感染行为 驱动删除服务等 破坏卡巴微点江民主防  微点内测版很强大已经解决近期升级给预升级  但相信大多数微点测试者头一回感觉到压力,处在"不设防”状态真的不好过  这病毒让大家仿佛又回到了以前的杀软过期药时代 我看见磁碟机马上藏起来远远的 不敢运行  
希望微点添加驱动加载报警  未来的驱动病毒肯定越来越多 比xorer更变态的肯定不少
  

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-9 21:56
查看资料  发送邮件  访问主页  发短消息   编辑帖子
gudan
高级用户





积分 605
发帖 579
注册 2007-7-20
#8  

如果把驱动所调用的函数集合启发出来判断一下就好了,不过似乎不简单阿

※ ※ ※ 本文纯属【gudan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-10 22:11
查看资料  发短消息   编辑帖子
7ctt
新手上路




积分 17
发帖 17
注册 2007-12-24
#9  微点在驱动级防护应该是采用特征码

自己的观点,不代表微点:
微点在驱动级防护应该是采用特征码,在用户级采用的是行为判断!

※ ※ ※ 本文纯属【7ctt】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

杀毒软件中我一直支持微点!
2008-1-12 15:35
查看资料  发送邮件  发短消息   编辑帖子
dsl5
高级用户




积分 578
发帖 520
注册 2007-6-16
来自 广州
#10  

个人认为在未有更底层的突破之前,还是拦截一下驱动加载比较好,一些病毒木马已经有全驱执行的趋势。。。就是前期什么行为都没,一开始就加载驱动。。。然后后面的行为全部由驱动抹去。。。

其实个人认为可以细化判断方式。。。例如正常的软件一开始肯定要先对系统进行检测,检测环境再决定是否加载驱动。。。如果一个程序不检测就直接加载,可以当作异常加载拦截。。。。

个人愚见,又或者。。。一加载后马上挂钩一些相关的内核函数作掩护用途的,或者不检测字节长度直接盲目覆盖来hook的,可以拦截下来。。。。

[ Last edited by dsl5 on 2008-1-13 at 09:49 ]

※ ※ ※ 本文纯属【dsl5】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

该点饭点了叉烧饭
2008-1-13 09:46
查看资料  发送邮件  发短消息   编辑帖子
 16  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号