微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点软件使用交流 » 微点的软肋-让你一朝死不瞑目!!  

作者:
标题: 微点的软肋-让你一朝死不瞑目!!
龙啸天下
禁止访问





积分 218
发帖 218
注册 2008-9-23
#1  微点的软肋-让你一朝死不瞑目!!

总结下微点的几个不足的地方,纯技术交流,误做它用~

     1.感染性病毒拦截问题。 上面我说过了,微点用的是“触发机制”一旦满足这个机制它才会报警,这就是为什么有些测试样本运行时,一开始没什么反应,过一会就会报毒了。。。不是微点反应慢,而是只有病毒满足其规则的若干个条件时,才会触发“报警”机制,而微点恰恰就是在这方面存在漏洞,尤其是面对“感染型病毒”的时候,一般感染型病毒会通过修改文件和插入代码的方式来感染文件,这期间除了某些不慎的作者触动了敏感选项的注册表外,几乎不会碰到微点的“禁忌事项~”,没有服务创建,不会加载驱动,也不插入某些程序,只需些感染代码的批处理和自启动文件autorun就足够了,并且在感染后删除自身,微点根本就找不到病毒本体,其他程序虽然被感染,但因为其原本是正规程序,所以根本没有触发条件,微点自然就不会报警,所以说微点在这方面需要改进,目前微点对付感染型的病毒还是很弱的,基本上特征码能扫描出来的很多,都对付不了。

     2.结束进程问题。微点不同于国产杀软的“疯狂挂钩子”的方法,(尤其是江民,挂钩子的技巧简直能以变态来形容~)恢复SSDT表的话都差不多(江某除外~)也不采用国外的底层驱动保护和服务0秒重启的方式~(卡巴、麦咖啡和NOD32~)微点用的插入进程。。。(病毒的手法,多少有点猥琐~)插入每一个进程,这样即使自己的主要进程被结束,其他程序中插入的模块也会起到自动恢复的作用~杀是杀不觉得(。。。你总不能把所有进程都“结束”吧?~)因此大多木马都研究的是“过微点”。。。却没有打算强杀的,我本身不这么认为,1.强杀比免杀简单的多~效率也高 2.强杀的生存时间比免杀长 但是强杀就要有个强杀的方法,方法1很简单就是利用关闭关键字窗口的方法,关掉微点的界面使其出错~ 2.利用重启计算机的方式,重启后删除微点在系统盘下的sys序列号文件,一旦删除这个文件,微点再重启后会提示“获取序列号,失败”这样微点就完全启动不起来了,同样达到强杀的目的。

     3.批处理问题,微点因为没有扫描系统,而批处理恰恰又不容易触发微点报警,所以批处理方面完全是微点的软肋,像之前过微点的“著名”病毒,Trojan.Win32.IAgent 就是利用大量的VBS脚本和批处理文件来达到的,(启动方面还是我上面提到的autorun和系统的那个百年BUG,计划任务~)完全不会触发当时的微点报警机制~。。。所以今后如果微点一旦发达起来,没有配合扫描的微点,批处理将成为其劲敌!~

※ ※ ※ 本文纯属【龙啸天下】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-8 03:22
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

微点对于病毒(感染型)的拦截效果很好,对于被插入其他进程的模块也可以很好的防御,对于autorun之类的病毒同样可以在其运行后删除。如果楼主可以提供具体的样本,相信这样的讨论将更有意义。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2009-6-8 07:16
查看资料  发短消息   编辑帖子
snhao
银牌会员




积分 1791
发帖 1782
注册 2007-6-12
#3  

批处理!批处理!

※ ※ ※ 本文纯属【snhao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方微点论坛
2009-6-8 08:21
查看资料  发短消息   编辑帖子
灵动水滴
新手上路





积分 8
发帖 8
注册 2008-9-14
#4  

到现在为止,我对微点还是90%满意的。
在很多方面,微点都要比其他杀毒软件好得多。

※ ※ ※ 本文纯属【灵动水滴】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[url=http://www.jeemoon.cn/]笔记本电池[/url]与http://www.0374seo.cn/
2009-6-8 09:06
查看资料  发送邮件  发短消息   编辑帖子
LHQ0332
高级用户





积分 773
发帖 771
注册 2009-2-25
#5  

我还是觉得微点绝对比特征码的杀软好

※ ※ ※ 本文纯属【LHQ0332】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-9 10:55
查看资料  发短消息   编辑帖子
御剑是我弟弟
新手上路





积分 24
发帖 24
注册 2009-4-9
#6  

你丫的就不能发点自己原创的帖子?老拿着别人的老帖子到处发,真烦人,鄙视你这种很“御剑们”的人

※ ※ ※ 本文纯属【御剑是我弟弟】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-9 11:16
查看资料  发送邮件  发短消息   编辑帖子
408983504
银牌会员

此用户已被禁言


积分 1271
发帖 1238
注册 2007-1-6
来自 广东
#7  

用了微点多年了,一直觉得微点真的不错,比某星的N95口罩广告要好了~!

※ ※ ※ 本文纯属【408983504】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

三用户版续费真TM的便宜啊!
2009-6-9 13:24
查看资料  发送邮件  发短消息  QQ   编辑帖子
江上钓雪
注册用户





积分 92
发帖 92
注册 2008-6-20
#8  

呵呵,没遇到过这种情况,微点顶起!

※ ※ ※ 本文纯属【江上钓雪】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-9 19:29
查看资料  发送邮件  发短消息   编辑帖子
xxxx99
注册用户





积分 85
发帖 85
注册 2007-2-14
#9  

某星的广告很贴切其宣传的杀毒软件,一个男人戴个大口罩就万毒不侵了?
要真用了某星的产品,不是在睡觉的时候蒙死,就是在醒的时候喘不过气来。。。

※ ※ ※ 本文纯属【xxxx99】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-10 14:23
查看资料  发短消息  QQ   编辑帖子
wangfei007
中级用户





积分 329
发帖 329
注册 2008-5-18
#10  



  Quote:
Originally posted by 御剑是我弟弟 at 2009-6-9 11:16:
你丫的就不能发点自己原创的帖子?老拿着别人的老帖子到处发,真烦人,鄙视你这种很“御剑们”的人

是啊,最奇怪的是,这个帖子就是御剑发的,只不过是他的一个马甲罢了,而且还是老帖子,竟然还会有很多人回帖!

※ ※ ※ 本文纯属【wangfei007】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-15 09:16
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号