» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点软件使用交流 » 关于“终结微点的样本（附录像）”之我见   作者: 标题: 关于“终结微点的样本（附录像）”之我见 mamsds 银牌会员 积分 1373 发帖 1360 注册 2008-3-15 来自 乌克兰 #1  关于“终结微点的样本（附录像）”之我见 http://bbs.micropoint.com.cn/showthread.asp?tid=47396&fpage=1 原帖如上 首先我认为，这个事件完全是在可以贬低微点——样本不公开来，就有很大的作假机会——即使视频也可以作假。 我说一条思路（已测试）： 首先，将windows目录下explorer.exe加入微点的受信程序，接着到微点目录下试着删除微点文件，你会发现，这时的提示已经是“文件被写保护‘而不是”找不到元素“，你接着试，就会发现已经有一部分微点目录下非dll、exe后缀名的文件可以被删除。然后，试着修改文件名，发现全部文件的后缀名都可以改！于是我们把exe后缀全部改成abc，然后重启——这时微点进程已经不能启动，然后只要对着Micropoint文件夹右键——删除，就可以把整个文件夹删，这样就可以做到视频做的效果，可是怎样变成程序? =======================以上是亲自测试部分============== ======================由于时间不足，没时间验证，以下是猜测部分================= 同样我们也可以把windows\system32下的cmd.exe加入微点受信，就可以用批处理做到删除文件，重命名等等， 至于关机，原帖中提到了是”强制关机“，实际上，微点根本不会阻止计算机自动关机，用批处理命令         shutdown -s -t 0 重启命令                  shutdown -r -t 0 即使不把cmd.exe加入受信也可以实现批处理关机重启 而通过c语言也很容易把批处理编程程序，利用 #include<stdlib.h> 的头文件，在程序中嵌入dos命令，然后把这个c程序也加入受信即可 ======================================== 没错，这都是猜测。但是，如果真的有终结微点的样本请此贴楼主发出样本供大家测试，要不然，我觉得是恶意贬低微点的可能性很高！毕竟利用行为作为判定标准的微点不应该就这样被窝囊的干掉——再者一般屏蔽杀软的病毒只是让杀毒软件失效，也没有听过哪个病毒会完全删除杀毒软件——这也可以证明这个所谓的样本是专门做到删除干净微点以给人以心灵震撼，而根本不是病毒............ 我认为，这个转自卡饭的帖子已经误导了很多人，希望众点饭能把我的想法告诉更多的人 [ Last edited by mamsds on 2009-2-5 at 22:54 ] ※ ※ ※ 本文纯属【mamsds】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ Vi Veri Veniversum Vivus Vici. 2009-2-5 22:40 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #2   谢谢楼主的反馈和支持，我们会根据您的描述具体测试分析。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2009-2-5 22:56 micky 注册用户 积分 59 发帖 59 注册 2007-9-7 #3   其实那个样本说白了就是卸载微点，真的是病毒吗？我看不一定 ※ ※ ※ 本文纯属【micky】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-6 10:37 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号