微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 刚刚又安装了一下微点,来说说。  

 19  1/2  1  2  > 
作者:
标题: 刚刚又安装了一下微点,来说说。
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#1  刚刚又安装了一下微点,来说说。

嘿嘿,刚刚又Down了个微点的最新版本,来说说。
首先值得表扬的是,我记得我上次在哪里提了一下Image File Execution Options,现在在这个版本里真的看到这个项了,可见微点还是很负责任的。
我估计了一下,微点大概已经能够应付大约70%的国产木马了。不过估计以后的路可能不太好走,虽然大多数木马有很多共性,但是去除同质化严重的部分外(再加上现在多的是加壳狂人),剩下的就不好弄了(像什么COM替换、文件替换等)。而且微点现在的分析模式还比较单一,有待于提高。
虽然暂时不指望微点能够完美对付驱动级的东西,但是至少在用户态下要无敌吧。

[ Last edited by flo on 2006-10-3 at 10:00 ]

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-2 22:22
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

微点是以“程序行为自主分析判定法”为理论基础,其关键是从反病毒领域普遍遵循的计算机病毒的定义出发,采用动态仿真技术,依据专家分析程序行为、判定程序性质的逻辑,模拟专家判定病毒的机理,实现对新病毒提前防御。

所以对加壳,COM替换,文件替换,微点也会查出的

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2006-10-3 10:57
查看资料  发短消息   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#3  



  Quote:
Originally posted by Legend at 2006-10-3 10:57:
微点是以“程序行为自主分析判定法”为理论基础,其关键是从反病毒领域普遍遵循的计算机病毒的定义出发,采用动态仿真技术,依据专家分析程序行为、判定程序性质的逻辑,模拟专家判定病毒的机理,实现对新病毒提前 ...

好像COM替换可以PASS啊、文件替换似乎也能PASS(替换得诡异了一点...)。改天再看看,呵呵,再找找其它诡异的东西哈。

[ Last edited by flo on 2006-10-3 at 11:08 ]

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-3 10:59
查看资料  发短消息   编辑帖子
spacecraa
注册用户





积分 55
发帖 54
注册 2006-10-3
#4  

http://www.syssafety.com/files.html

我看你们都是井底之蛙,看看别人的软件在发表观点不迟

※ ※ ※ 本文纯属【spacecraa】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-3 15:45
查看资料  发短消息   编辑帖子
青豆
高级用户

超级发动机


积分 523
发帖 489
注册 2006-9-28
来自 汹涌澎湃浮沉混沌湍流
#5  

真正的高手没事做木马干啥,都是那些心术不正的人想弄点钱,才作木马的,他们也能发明或创造一些高级的木马?!

※ ※ ※ 本文纯属【青豆】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-3 18:53
查看资料  发短消息   编辑帖子
LjhEARTH
新手上路




积分 45
发帖 45
注册 2006-8-25
#6  



  Quote:
Originally posted by flo at 2006-10-2 22:22:
嘿嘿,刚刚又Down了个微点的最新版本,来说说。
首先值得表扬的是,我记得我上次在哪里提了一下Image File Execution Options,现在在这个版本里真的看到这个项了,可见微点还是很负责任的。
我估计了一下,微点 ...

正常程序也会有com替换和文件替换,被病毒文件利用是很危险啊,虽然这个是老办法。
弱弱的问一句:Image File Execution Options项在哪里??

※ ※ ※ 本文纯属【LjhEARTH】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 11:17
查看资料  发送邮件  发短消息   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#7  



  Quote:
Originally posted by LjhEARTH at 2006-10-4 11:17:

正常程序也会有com替换和文件替换,被病毒文件利用是很危险啊,虽然这个是老办法。
弱弱的问一句:Image File Execution Options项在哪里??

躲避行为分析当然就得行为越正常越好了,把它弄糊涂即可。
看这里吧:http://www.xfocus.net/articles/200205/396.html,一个很好玩的东西。

[ Last edited by flo on 2006-10-4 at 11:21 ]

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 11:20
查看资料  发短消息   编辑帖子
曙光
版主

版主



积分 1421
发帖 1420
注册 2005-11-1
#8  

微点是以“程序行为自主分析判定法”为理论基础,所以微点不只是监控单一的动作,同时如果楼主是用手工替换的微点是不会报警的!

※ ※ ※ 本文纯属【曙光】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

技服电话:0591-87569401、87516430、87539717
东方微点“反病毒技术交流”群:
       ·QQ群:630086 或 1471553 或 16998902
   
2006-10-4 11:22
查看资料  发短消息   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#9  



  Quote:
Originally posted by 曙光 at 2006-10-4 11:22:
微点是以“程序行为自主分析判定法”为理论基础,所以微点不只是监控单一的动作,同时如果楼主是用手工替换的微点是不会报警的!

我是搞了一个小程序(为了突出本质,有点猥琐),如果微点确实考虑了这些,那可能它还不够危险?够不上阀值?

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 11:26
查看资料  发短消息   编辑帖子
LjhEARTH
新手上路




积分 45
发帖 45
注册 2006-8-25
#10  



  Quote:
Originally posted by 曙光 at 2006-10-4 11:22:
微点是以“程序行为自主分析判定法”为理论基础,所以微点不只是监控单一的动作,同时如果楼主是用手工替换的微点是不会报警的!

如果“有害程序”这样的执行步骤:生成替换的批处理文件并执行。估计微点会报警吧。

※ ※ ※ 本文纯属【LjhEARTH】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 11:37
查看资料  发送邮件  发短消息   编辑帖子
 19  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号