微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 微点最怕驱动级木马病毒(zt)  

 18  1/2  1  2  > 
作者:
标题: 微点最怕驱动级木马病毒(zt)
qbnnq1000
高级用户




积分 851
发帖 853
注册 2008-7-17
#1  微点最怕驱动级木马病毒(zt)

微点允许未知程序加载驱动 然后再进行程序行为判断!
发现病毒行为 再逆转回来! 把病毒和其衍生物一起载掉..

这跟微点运行的机理有关
举个例子
木马有三个行为,分别abc
行为a对微点来说威胁性指数2分,b是3分,c是5分
而只要一个进程的威胁性超过6分的话微点就报警
木马展现行为a,调用系统正常进程,比如wscript.exe、cmd.exe,微点不理;
木马继续展现行为b,加载驱动,部分替换正常驱动,微点不理;
木马继续展现行为c,恶意行为,总分数=10>6,微点才拦截

病毒和衍生物可以被杀掉
但是正常的驱动程序有可能已经被替换了

※ ※ ※ 本文纯属【qbnnq1000】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[img]http://bbs.micropoint.com.cn/attachments/month_0706/fanheixianfeng_mcUcoKYvXe3n.gif[img]
2009-8-24 15:40
查看资料  发短消息   编辑帖子
qbnnq1000
高级用户




积分 851
发帖 853
注册 2008-7-17
#2  

不知道大家怎么看?这个刚在卡饭看到的。

※ ※ ※ 本文纯属【qbnnq1000】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[img]http://bbs.micropoint.com.cn/attachments/month_0706/fanheixianfeng_mcUcoKYvXe3n.gif[img]
2009-8-24 15:41
查看资料  发短消息   编辑帖子
凡间幽灵
银牌会员




积分 1329
发帖 1295
注册 2008-11-27
#3  

当时也在卡饭看到了,貌似那里差点引起口水战。。。。。。

※ ※ ※ 本文纯属【凡间幽灵】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

杀毒软件洗洗睡吧,上帝不会为难头脑简单的孩子
2009-8-24 15:47
查看资料  发送邮件  发短消息   编辑帖子
寻找飞鹰
银牌会员





积分 3138
发帖 3142
注册 2009-6-30
#4  

如果微点有还原技术或者能够预先获取处理指令应该就没事,不清楚

※ ※ ※ 本文纯属【寻找飞鹰】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-24 16:06
查看资料  发送邮件  发短消息   编辑帖子
qbnnq1000
高级用户




积分 851
发帖 853
注册 2008-7-17
#5  

记得微点是有回退技术的。如果可以回退,就算被修改了也不是什么问题。

※ ※ ※ 本文纯属【qbnnq1000】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[img]http://bbs.micropoint.com.cn/attachments/month_0706/fanheixianfeng_mcUcoKYvXe3n.gif[img]
2009-8-24 16:15
查看资料  发短消息   编辑帖子
lsj301
银牌会员




积分 1388
发帖 1382
注册 2009-3-16
来自 甘肃兰州
#6  

我是菜鸟

※ ※ ※ 本文纯属【lsj301】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

我们一直在默默支持微点!
2009-8-24 16:28
查看资料  发送邮件  发短消息  QQ   编辑帖子
dhl88888
银牌会员





积分 4215
发帖 4218
注册 2009-5-16
来自 哈尔滨
#7  

这个应该深入研究一下,很有必要呀

※ ※ ※ 本文纯属【dhl88888】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-24 20:11
查看资料  发短消息  QQ   编辑帖子
HONEY0806
高级用户




积分 587
发帖 578
注册 2009-7-28
#8  

貌似还没想过这个问题 有兴趣的朋友可以深入测试研究哈

※ ※ ※ 本文纯属【HONEY0806】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-24 21:42
查看资料  发送邮件  发短消息   编辑帖子
tjanie
新手上路





积分 10
发帖 10
注册 2006-7-28
#9  

这个问题其实很早就有萌芽了,不过我相信官方会想到方法解决的。

※ ※ ※ 本文纯属【tjanie】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-24 21:47
查看资料  发短消息   编辑帖子
mj0011_2
禁止发言





积分 86
发帖 109
注册 2008-12-14
#10  

微点的冻结驱动只针对notify routine , dev ctl,ssdt hook ,system thread等,比较没效用,驱动编写者很容易躲过

另外微点认为ssdt hook比ssdt restore的权级要低,这个有点搞笑

※ ※ ※ 本文纯属【mj0011_2】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-24 22:15
查看资料  发送邮件  发短消息   编辑帖子
 18  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号