» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 微点雷人的系统文件防修改    16   1/2   1   2   >  作者: 标题: 微点雷人的系统文件防修改 太挫了 新手上路 积分 3 发帖 3 注册 2009-1-25 #1  微点雷人的系统文件防修改 看到微点可以拦截RING3 常规的disk level文件删除和修改，并报警为 试图篡改系统文件，还以为有什么高招，例如FS解析等 分析了一下，原来是Hook了NtWriteFile,然后判断如果FileObject的FileName为空，然后驱动对象是disk或ftdisk（这个判断做得很啰嗦很山寨），就认为是篡改系统文件 ，这么不负责的判断，太雷人了~随便什么程序写写磁盘就是试图篡改系统文件的未知木马~ 这么乱判，还做什么主动防御~ 另外RING3程序还会获得一下Explorer.exe和Userinit.exe的磁盘簇位置，发现如果是在写这两个文件的簇就认为是机器狗，做一些特殊处理 这里也做得很雷人，微点认为Explorer.exe和Userinit.exe的磁盘簇分布一定是连续的，所以就设定了一个范围。。。 另外NtWriteFile的HOOK判断中还有一处也相当雷人的本地拒绝访问漏洞，稍候放出，话说微点的驱动，真是看哪个函数，哪个函数就有漏洞啊~ 其实绕过这个也很简单，不过要注意微点在atapi的internal dispatch上还有一处很挫的钩子~ ※ ※ ※ 本文纯属【太挫了】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-7 13:30 mamsds 银牌会员 积分 1373 发帖 1360 注册 2008-3-15 来自 乌克兰 #2   看你的语气，很像是当年“瑞星2008主动防御技术分析”那人 我说的对不对？ 看来微点技术还是很好的，当年瑞星的问题你说了整整几大页，微点的问题才区区几行................ 呵呵！ [ Last edited by mamsds on 2009-2-7 at 15:48 ] ※ ※ ※ 本文纯属【mamsds】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ Vi Veri Veniversum Vivus Vici. 2009-2-7 15:42 wsmurderer 高级用户 积分 676 发帖 668 注册 2008-11-21 #3   mj重出江湖 ※ ※ ※ 本文纯属【wsmurderer】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-7 16:48 dok2009 新手上路 积分 15 发帖 15 注册 2009-2-7 #4   嗯，问题确实存在，我们需要给微点时间成熟起来。 ※ ※ ※ 本文纯属【dok2009】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-7 19:43 mamsds 银牌会员 积分 1373 发帖 1360 注册 2008-3-15 来自 乌克兰 #5   这人就是mj？？？？ 太震惊了............. ※ ※ ※ 本文纯属【mamsds】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ Vi Veri Veniversum Vivus Vici. 2009-2-7 20:04 405016 高级用户 积分 695 发帖 691 注册 2009-1-29 #6   我想到装《飘雨系统修复》时，微点提示有木马，原来如此 ※ ※ ※ 本文纯属【405016】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-7 20:11 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #7     Quote: Originally posted by 405016 at 2009-2-7 20:11: 我想到装《飘雨系统修复》时，微点提示有木马，原来如此 请将该程序和微点的技术支持信息发送到：support@micropoint.com.cn ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2009-2-7 21:08 wewe205 新手上路 积分 1 发帖 1 注册 2008-5-12 #8   呵呵，果然厉害，微点还真牛 ※ ※ ※ 本文纯属【wewe205】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-8 23:55 hu1987 注册用户 积分 174 发帖 162 注册 2007-11-29 #9     Quote: Originally posted by mamsds at 2009-2-7 15:42: 看你的语气，很像是当年“瑞星2008主动防御技术分析”那人 我说的对不对？ 看来微点技术还是很好的，当年瑞星的问题你说了整整几大页，微点的问题才区区几行................ 呵呵！ [ Last edited by mam ... 支持。。！哪个软件没有漏洞啊？？ ※ ※ ※ 本文纯属【hu1987】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 我的良心。。天地可鉴！！ 2009-2-9 16:09 lao055902 新手上路 积分 43 发帖 43 注册 2007-3-23 #10   没漏洞的软件不是真正的软件吧 ※ ※ ※ 本文纯属【lao055902】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-11 00:13  16   1/2   1   2   >  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号