微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点主动防御软件 » 微点的特大漏洞  

 16  1/2  1  2  > 
作者:
标题: 微点的特大漏洞
xor
新手上路





积分 16
发帖 16
注册 2006-12-1
#1  微点的特大漏洞

微点对于用themida1.8    asprotect 2.3ske加壳后的程序无法拦截,这两种壳应该都有反api hook,两种壳算是目前最强的,用户很多,希望微点尽快改进!

[ Last edited by xor on 2006-12-2 at 20:36 ]

※ ※ ※ 本文纯属【xor】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-12-2 10:27
查看资料  发送邮件  发短消息  QQ   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

微点是依据程序行为判断病毒的,程序有了病毒的行为微点就会处理它的;
请问您具体是怎么测试的?
请问您测试时具体的环境,您的操作系统版本?微点的具体版本?
请把您的这个样本发到virus@micropoint.com.cn我们具体测试分析下。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2006-12-2 10:30
查看资料  发短消息   编辑帖子
xor
新手上路





积分 16
发帖 16
注册 2006-12-1
#3  



  Quote:
Originally posted by Legend at 2006-12-2 10:30:
请问您测试时具体的环境,您的操作系统版本?微点的具体版本?
请把您的这个样本发到virus@micropoint.com.cn我们具体测试分析下。

那个程序是个我自己做的测试程序是注入explorer进程的,没加壳前微电报告为木马,加了上面两种壳后就拦不到了

环境为winxpsp1  

微点最新版
本程序版本: 1.2.10513
特征版本: 1.4.169.061201
更新时间: 2006-12-01 18:33:54

[ Last edited by xor on 2006-12-2 at 10:37 ]

※ ※ ※ 本文纯属【xor】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-12-2 10:35
查看资料  发送邮件  发短消息  QQ   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#4  

请把您的这个样本发到virus@micropoint.com.cn我们具体测试下

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2006-12-2 10:40
查看资料  发短消息   编辑帖子
david1126103
版主




积分 723
发帖 721
注册 2006-9-17
来自 美国
#5  



  Quote:
Originally posted by xor at 2006-12-2 10:35:


那个程序是个我自己做的测试程序是注入explorer进程的,没加壳前微电报告为木马,加了上面两种壳后就拦不到了

环境为winxpsp1  

微点最新版
本程序版本: 1.2.10513
特征版本: 1.4.169.061201
更新 ...

早就1.2.10517了、、、、

※ ※ ※ 本文纯属【david1126103】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-12-2 11:11
查看资料  发短消息   编辑帖子
xor
新手上路





积分 16
发帖 16
注册 2006-12-1
#6  



  Quote:
Originally posted by david1126103 at 2006-12-2 11:11:

早就1.2.10517了、、、、

昨天才升了,现在微点还没有更新,我试过了还是1.2.10513

[ Last edited by xor on 2006-12-2 at 11:26 ]

※ ※ ※ 本文纯属【xor】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-12-2 11:22
查看资料  发送邮件  发短消息  QQ   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#7  



  Quote:
Originally posted by xor at 2006-12-2 10:27:
微点对于用themida1.8    asprotect 2.3skt加壳后的程序无法拦截,这两种壳应该都有反api hook,两种壳算是目前最强的,用户很多,希望微点尽快改进!

呵呵,对themida印象深刻,非常规进Ring0,然后疯狂AntiDebugger,然后又涂IDT又涂SDT,还会Patch内核函数。如果用OllyDbg,themida会利用其BUG让它崩溃...
不过话说回来这种BT壳,正常程序不会用的...如果查到这个壳,90%有问题...

[ Last edited by flo on 2006-12-2 at 11:50 ]

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-12-2 11:48
查看资料  发短消息   编辑帖子
xor
新手上路





积分 16
发帖 16
注册 2006-12-1
#8  

现在不带壳的毒少了,建议微点仔细研究一下这些变态壳~~相信你们的汇编能力!

※ ※ ※ 本文纯属【xor】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-12-2 12:24
查看资料  发送邮件  发短消息  QQ   编辑帖子
xor
新手上路





积分 16
发帖 16
注册 2006-12-1
#9  



  Quote:
Originally posted by flo at 2006-12-2 11:48:
不过话说回来这种BT壳,正常程序不会用的...如果查到 ...

梦幻西游就是用themida加的壳的,看下面的保护选项简直无敌~~
感觉根本就不像正当软件,poly meta 都用上了

附件 1: 未命名.JPG (2006-12-2 17:26, 81.84 K,下载次数: 40)


※ ※ ※ 本文纯属【xor】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-12-2 17:26
查看资料  发送邮件  发短消息  QQ   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#10  

xor
您的邮件已经收到;
经官方测试你发的样本在运行时自身存在bug没有成功运行,所以微点没有报警;

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2006-12-2 17:34
查看资料  发短消息   编辑帖子
 16  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号