微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点软件使用交流 » 瑞星、微点……进程保护谁最强?  

 139  1/14  1  2  3  4  5  6  7  8  >  >| 
作者:
标题: 瑞星、微点……进程保护谁最强?
linovo
中级用户




积分 346
发帖 334
注册 2006-12-9
#1  瑞星、微点……进程保护谁最强?

最近看到有一些用户说,微点可以轻易给冰刃杀掉进程(《mp自我保护也不是那么的强啊!》http://bbs.micropoint.com.cn/showthread.asp?tid=5565&fpage=1),冰刃是何方神圣了,不敢相信,眼见为实,下载了冰刃,对费尔防火墙、瑞星、微点等做了一个进程保护测试。
测试环境:windows xp  sp2
冰刃  1.20
瑞星杀毒2007  19.06.20
瑞星防火墙2007  19.06.10
费尔防火墙V7  2007/01/01 日发布版本
微点主动防御软件【测试版  程序版本: 1.2.10564特征版本: 1.4.199.070116更新时间: 2007-01-17 08:46:53】
(瑞星、江民、金山2007正版的杀毒软件我都买了,江民2007有一段时间没装(漏洞多,不稳定,不想用了)、金山2007只在家里有装,所以暂时不对江民、金山的进程保护做测试,有兴趣的人可帮我补上)

     测试中发现用冰刃确实可以轻松把微点的几个进程逐一杀掉。瑞星防火墙的进程保护做得最好,我之前用微点对它进行过测试,跟用冰刃的测试结果一样:就是杀掉rfwmain.exe、.rfwsrv.exe进程,又会自动重新生成一个,无法把瑞星防火墙进程杀死(看来有金刚不败之身^_^,我暂时还找不到能彻底杀死瑞星防火墙的程序)。但不知道为什么,瑞星没把这个技术应用到瑞星杀毒的实时监控里,用冰刃能杀掉瑞星实时监控进程。
      费尔托斯特安全V7的进程保护做得很差,我用金山毒霸系统清理专家就可轻易杀掉它的进程,更不用说什么冰刃、火刃之类。
      微点是驱动级(系统核心层)的安全软件,以服务形式启动,所以权限大,但进程却给冰刃这个只有大约700KB的小程序干掉,让人有老猫烧须的感觉。看了冰刃的帮助文档,说“IceSword使用大量新颖的内核技术”,无须什么驱动编程、重新启动就可把微点这个巨无霸砍下。我觉得微点的研发人员应该把冰刃的工作原理剖析一下。既然冰刃可以杀掉微点的进程,其他一些病毒也可以应用冰刃的原理先把微点干掉,然后再破坏系统。
     通过这次简单的测试,我觉得微点的行为判断还是有不少漏洞,微点的帮助文档有这样的文字:“分布在操作系统的众多探针,动态监视所运行程序调用各种应用编程接口(API)的动作,自动分析程序动作之间的逻辑关系,自动判定程序行为的合法性”。用冰刃杀微点的进程,就相当于把微点的探针干掉,而杀微点其中任何一个进程,应该是属于危险行为了,可是微点程序均没有拦、没报警,任人宰割,似乎各大探针的互动性做得不太好了。我想,微点应该做些改进:
     借鉴瑞星防火墙的做法,发现有程序杀微点进程,允许它杀,但杀完之后,又马上自动重新加载;加强各大探针之间的联动,任何一个探针给杀掉,就应该试图修复,不能修复的向用户报警。杀掉微点一两个进程,微点在任务栏的图标是不会消失的(若杀了mpmon.exe进程,微点任务栏图标的小球会立即停止转动,监控图标随之消失。除了这个进程,逐一杀微点其他进程,那个小球都会一直在转,但已经如同虚设了。),而这足可以影响微点的监控能力了,图标不退出,用户是不会发觉有异常的,病毒可能会为所欲为了。另外,微点要是全部进程给干掉,想重新打开微点是不可能的,必须重新启动,而瑞星就算你把它所有进程都杀光,还可以重新打开实时监控。

[ Last edited by linovo on 2007-4-9 at 07:56 ]

附件 1: 457.JPG (2007-1-17 16:09, 192.8 K,下载次数: 36)


※ ※ ※ 本文纯属【linovo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-17 16:08
查看资料  发短消息  QQ   编辑帖子
lfliuy
注册用户





积分 100
发帖 100
注册 2006-12-22
#2  

记得以前的讨论说可以用icesword/任务管理器的界面来结束微点的进程,但不能通过命令行结束。。。

※ ※ ※ 本文纯属【lfliuy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-17 16:43
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#3  

谢谢楼主的意见及支持,正是您的这些意见及支持使东方微点具有强大的前进动力。微点主动防御软件仍在不断发展与完善的,欢迎您继续做深入的测试使用,提供更多的意见建议,我们都会认真考虑并在后期版本中更新可行的建议的。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-1-17 16:59
查看资料  发短消息   编辑帖子
yzxiaowu
注册用户




积分 138
发帖 138
注册 2006-6-7
#4  

楼主厉害啊 !

※ ※ ※ 本文纯属【yzxiaowu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-17 19:24
查看资料  发送邮件  发短消息   编辑帖子
浪花
新手上路





积分 20
发帖 20
注册 2007-1-17
#5  

佩服!

※ ※ ※ 本文纯属【浪花】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-17 23:17
查看资料  发送邮件  发短消息   编辑帖子
国伟
注册用户




积分 60
发帖 60
注册 2007-1-13
#6  

不错,较大的贡献啊……

※ ※ ※ 本文纯属【国伟】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-17 23:59
查看资料  发短消息   编辑帖子
zqrsc
版主

反病毒区版主


积分 1133
发帖 1118
注册 2005-11-22
来自 .net
#7  

微点的自我保护 可以说极其严密....
楼主的测试走入了自我为中心的误区..
楼主不妨换个思维角度.模拟您在系统入侵..试试看怎么样杀掉微点....
你自己在本机手动杀掉进程的话.何必麻烦冰刃..用任务管理器足以....
试试看在入侵条件下.你怎样来完成系统控制和远程调用冰刃,再来杀试试.

※ ※ ※ 本文纯属【zqrsc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~
2007-1-18 08:57
查看资料  发短消息  QQ   编辑帖子
yehuagen
新手上路





积分 10
发帖 10
注册 2007-1-16
#8  

呵呵.版主说对了.在自己机器上用得着这些吗???如果要用这些才能关掉那微点也可以算是病毒了.

※ ※ ※ 本文纯属【yehuagen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-18 11:03
查看资料  发送邮件  发短消息   编辑帖子
yehuagen
新手上路





积分 10
发帖 10
注册 2007-1-16
#9  

瑞星我敢肯定是个大垃圾.随随便便一个病毒就能把它的监控给关了.有时装了之后只能看到鼠标进不了桌面.要用任务管理器结束了explorer.exe进程再开启这个进程才能进入桌面.刚装的系统啊.瑞星2005的弄得我火大了.2006也装过不少机子.总之一句话垃圾一个.

※ ※ ※ 本文纯属【yehuagen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-18 11:07
查看资料  发送邮件  发短消息   编辑帖子
linovo
中级用户




积分 346
发帖 334
注册 2006-12-9
#10  



  Quote:
Originally posted by zqrsc at 2007-1-18 08:57:
你自己在本机手动杀掉进程的话.何必麻烦冰刃..用任务管理器足以.. ...

我的测试确实有点极端和苛刻了,微点又不是神……^_^。然而,个人认为,软件特别是安全软件的测试又需要极端,这样可以粗略评估软件性能去到什么程度,便于发现软件的问题和不足。
      我之前也早知道,任务管理器可以结束微点的进程,但不能通过命令行结束。微点进程的自我保护在众多杀毒软件当中确实做得十分好。为了增加灵活性,方便用户管理,微点的进程是允许系统任务管理器结束的,应该在软件设计的时候定义允许这样做,而瑞星杀毒、费尔等是不允许用户在任务管理器关闭它们的进程。但我想,微点的开发人员当初应没有想到冰刃居然也能像任务管理器那样,也可轻松结束微点的进程,显然冰刃因为使用了它所说的“新颖的内核技术”,骗过了微点,或者是通过系统底层的操作,微点想拦都拦不了,由此联想,假如一些厉害的病毒制造者也用冰刃的内核技术,并作进一步改良,杀掉微点的进程也不是什么难事了。我一楼的帖子已经说过,微点的进程杀灭能力亦强悍,但却是通过驱动编程,服务启动来使得权限大来实现的,而冰刃无须什么服务启动,就有这么强劲的能力干掉微点、瑞星等的进程。还有,我用微点杀风云防火墙进程(版本:个人版1.23),第一次杀不了,第二次杀掉,但造成微点程序有些故障了,而冰刃对风云防火墙照样轻易就拿下了,说明冰刃作者的编程水平有点道行^_^。
    刚才又用冰刃对瑞星防火墙进行测试,发现如果只简单地结束rfwmain.exe、.rfwsrv.exe这两个进程,就算你来回杀好几遍,都是无法彻底杀掉瑞星防火墙的,但若把先把瑞星杀毒全部进程杀掉,再去拿瑞星防火墙开刀,可以彻底干掉瑞星防火墙。另外,发现一个较奇特的现象,就是杀掉全部瑞星的进程,重新开启瑞星的实时监控,打开系统任务管理器,不少进程的颜色变成蓝色,连微点的几个进程都给瑞星影响到,也变成蓝色了。

[ Last edited by linovo on 2007-1-18 at 14:06 ]

附件 1: fgfh.jpg (2007-1-18 11:14, 171.37 K,下载次数: 50)


※ ※ ※ 本文纯属【linovo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-18 11:10
查看资料  发短消息  QQ   编辑帖子
 139  1/14  1  2  3  4  5  6  7  8  >  >| 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号