» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点主动防御软件 » mp的防火墙有和没有一样？！    20   1/2   1   2   >  作者: 标题: mp的防火墙有和没有一样？！ mecal 新手上路 新手上路 积分 10 发帖 10 注册 2005-12-16 #1  mp的防火墙有和没有一样？！ 原程序被修改以后，仍然能够使用以前的规则穿过防火墙，而没有任何提示。  这样的防火墙有和没有不是一样吗？我建议应该对设置规则的程序和运行的程序进行比对，看是否是原文件，如果不是则提示用户，询问是否通过！虽然也是杀毒软件，但是在不能保证能100%的杀毒成功率的情况下，对防火墙的设置应该有所加强，虽然mp对程序的修改是有提示，但是当原来的程序被删除，或者重命名，移动的情况下，而在其所在文件夹中出现一个新的程序，但是和防火墙规则里面的名字一样的话，不是很危险吗？？  我可能说的不太明白，下面有个例子  我设置程序c:/正常程序/a .exe允许通过防火墙 ip any 端口 80，3124  而木马程序b.exe却把a.exe给删除，并重新生成一个新的木马程序命名为a.exe并且也是使用和正常程序a.exe一样的端口，但是mp却没有发现木马，并且在生成的木马程序a.exe穿过防火墙的时候，没有任何提示，后果。。。。。。。。。。。。 [ Last edited by mecal on 2007-1-18 at 17:21 ] ※ ※ ※ 本文纯属【mecal】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-18 16:06 david1126103 版主 积分 723 发帖 721 注册 2006-9-17 来自 美国 #2   首先你那个b.exe却把a.exe给删除。。这个过程。。要过微点 [ Last edited by david1126103 on 2007-1-18 at 16:17 ] ※ ※ ※ 本文纯属【david1126103】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-18 16:14 david1126103 版主 积分 723 发帖 721 注册 2006-9-17 来自 美国 #3   如果第一次XXX程序访问网络。然后永远放行。。一条规则建立 然后木马XXX程序删除XXX程序并替换。。。。这个过程首先就过不了微点 ※ ※ ※ 本文纯属【david1126103】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-18 16:18 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #4   楼主的情况可以把您的样本发到virus@micropoint.com.cn我们具体测试分析下 微点主动防御软件是依据程序行为判断病毒的，程序有了病毒的行为微点就会处理他的。 微点主动防御软件提供的“智能防火墙”是通过微点主动防御软件的动态仿真反病毒专家系统，自动对系统中进程的网络访问行为进行分析判断，对于正常进程访问网络的行为，直接放行，而只是对于可疑进程访问网络的行为，微点主动防御软件才会弹出异常网络访问报警窗口，询问用户是否允许该进程访问网络。大大减少用户参与，也减少用户的恐慌。 微点主动防御软件提供的“传统防火墙”是属于传统的包过滤防火墙，同时提供5个默认的规则包供用户选择，用户也可以自定义规则包。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2007-1-18 16:22 mecal 新手上路 新手上路 积分 10 发帖 10 注册 2005-12-16 #5   这个样本是没用，但是一个exe程序删除另一个exe程序，mp是绝对不会报的，没有实践，就没有发言权，你们自己用windows优化大师删除一个程序，用改名程序改个exe程序，试验一下就知道了，强烈bs那些不懂装懂的人，我知道，修改软件mp是报的，但是删除，和重命名，mp是绝对不会报的，至少现在如此！这样就会出现很多的漏洞，mp在不能保证100%的病毒拦截的情况下，对已经通过检测的程序，不在进行二次检测，实在是让了不能放心！传统的东西也要借鉴啊，至少在文件变化之后应该提示，而不是简单的以文件名，来计算！ ※ ※ ※ 本文纯属【mecal】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-18 16:36 david1126103 版主 积分 723 发帖 721 注册 2006-9-17 来自 美国 #6     Quote: Originally posted by mecal at 2007-1-18 16:36: 这个样本是没用，但是一个exe程序删除另一个exe程序，mp是绝对不会报的，没有实践，就没有发言权，你们自己用windows优化大师删除一个程序，用改名程序改个exe程序，试验一下就知道了，强烈bs那些不懂装懂的人，我 ... 别人用榔头砸你的电脑，你一定会阻止，如果你自己拿把榔头砸自己的电脑，没人会管你。。。 微点是厂里的门卫。。。厂长自己偷了东西出厂，顺便把玻璃砸了。门卫管还是不管？门卫心里知道。我是门卫，他是厂长，我没他权力大。。。 [ Last edited by david1126103 on 2007-1-18 at 16:44 ] ※ ※ ※ 本文纯属【david1126103】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-18 16:40 mecal 新手上路 新手上路 积分 10 发帖 10 注册 2005-12-16 #7   主要是mp不能保证对病毒的100%查杀，如果出现了这样的程序，吃亏的还不是用户！ mp就像是个保安，当别人那浪头砸主人的电脑，他是会阻止，但是当他连主人和外人的分不清的时候，他却不阻止。--（程序修改后仍能通过防火墙）这样就不对了！这样的保安不要也罢！ ※ ※ ※ 本文纯属【mecal】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-18 16:47 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #8   按照微点软件的防御机理楼主所说的情况，是可以正常防御的。 欢迎您继续做深入的测试使用。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2007-1-18 16:48 a393310872 新手上路 积分 42 发帖 42 注册 2006-11-22 #9   按照LZ你这么说.那危险是永无止境的. 你这个问题很牵强.谈不上什么危险.别人怎么会知道你的程序访问网络的策略?而且连名字也知道的清清楚楚.端口也清楚?再者.即使真知道了也替换了.假如他是正常程序那没事.反之.一个木马程序你觉得要过微点有多容易? 所以.最后想对LZ说.不要再提这种无意义的意见了.要真按你这么说.我用记事本写东西都要频繁报了. ※ ※ ※ 本文纯属【a393310872】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-18 16:50 mecal 新手上路 新手上路 积分 10 发帖 10 注册 2005-12-16 #10   不是没用意义，主要是修改过的程序，想通过防火墙的时候，应该提示一下吧。你们好像都把修改程序当成重点了，我说的重点，是亡羊补牢，在程序修改之后，通过防火墙的时候，应该提示！ ※ ※ ※ 本文纯属【mecal】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-18 16:56  20   1/2   1   2   >  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号