微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点软件使用交流 » 转载精睿的一篇文章  

 18  1/2  1  2  > 
作者:
标题: 转载精睿的一篇文章
chenxiaorou
新手上路





积分 44
发帖 44
注册 2009-10-1
#1  转载精睿的一篇文章

微点不用我说了,常玩杀软的应该都知道,以“主动防御”著称,口号是,无需升级防杀新型病毒,无需等待扫描,占用资源低(因为采用的监控是触发式。。。所以不用总在后台扫描文件~)。。。而且也总结了些经验,最近打算出扫描器(就是特征码扫描,据说还采用了虚拟机的方式。。学江民么?,看那个扫描版扫描时CPU狂飙我就不禁冷笑。。。。)以解决之前的微点的一个重大弱点,那就是没法解决没有发作病毒的隐患~这样的话,在配合其主动防御做为的“检控”出个安全套装的话,实力非同小可~无非又给骇客们带来了新的挑战,因此我总结下微点的几个不足的地方,纯技术交流,误做它用~
    1.感染性病毒拦截问题。 上面我说过了,微点用的是“触发机制”一旦满足这个机制它才会报警,这就是为什么有些测试样本运行时,一开始没什么反应,过一会就会报毒了。。。不是微点反应慢,而是只有病毒满足其规则的若干个条件时,才会触发“报警”机制,而微点恰恰就是在这方面存在漏洞,尤其是面对“感染型病毒”的时候,一般感染型病毒会通过修改文件和插入代码的方式来感染文件,这期间除了某些不慎的作者触动了敏感选项的注册表外,几乎不会碰到微点的“禁忌事项~”,没有服务创建,不会加载驱动,也不插入某些程序,只需些感染代码的批处理和自启动文件autorun就足够了,并且在感染后删除自身,微点根本就找不到病毒本体,其他程序虽然被感染,但因为其原本是正规程序,所以根本没有触发条件,微点自然就不会报警,所以说微点在这方面需要改进,目前微点对付感染型的病毒还是很弱的,基本上特征码能扫描出来的很多,都对付不了。
    2.结束进程问题。微点不同于国产杀软的“疯狂挂钩子”的方法,(尤其是江民,挂钩子的技巧简直能以变态来形容~)恢复SSDT表的话都差不多(江某除外~)也不采用国外的底层驱动保护和服务0秒重启的方式~(卡巴、麦咖啡和NOD32~)微点用的插入进程。。。(病毒的手法,多少有点猥琐~)插入每一个进程,这样即使自己的主要进程被结束,其他程序中插入的模块也会起到自动恢复的作用~杀是杀不觉得(。。。你总不能把所有进程都“结束”吧?~)因此大多木马都研究的是“过微点”。。。却没有打算强杀的,我本身不这么认为,1.强杀比免杀简单的多~效率也高 2.强杀的生存时间比免杀长 但是强杀就要有个强杀的方法,方法1很简单就是利用关闭关键字窗口的方法,关掉微点的界面使其出错~ 2.利用重启计算机的方式,重启后删除微点在系统盘下的sys序列号文件,一旦删除这个文件,微点再重启后会提示“获取序列号,失败”这样微点就完全启动不起来了,同样达到强杀的目的。
     3.批处理问题,微点因为没有扫描系统,而批处理恰恰又不容易触发微点报警,所以批处理方面完全是微点的软肋,像之前过微点的“著名”病毒,Trojan.Win32.IAgent 就是利用大量的VBS脚本和批处理文件来达到的,(启动方面还是我上面提到的autorun和系统的那个百年BUG,计划任务~)完全不会触发当时的微点报警机制~。。。所以今后如果微点一旦发达起来,没有配合扫描的微点,批处理将成为其劲敌!~
。。。。说道底,微点不是那么不容易过,也不是那么不容易杀,只是现在还没有“树大招风”起到一个“免疫”的作用,如果微点成为将来的卡巴或者瑞星,骇客们把眼光集中到微点上,很快就会出现一大堆意想不到的漏洞,(就像微点写病毒报告的时候总有某些病毒的行为是遍历安全软件进程然后杀之。。。然而这个遍历安全软件的进程中,却很少有微点的名字~说明很多病毒作者根本还没把微点纳入眼里~)微点的用户范围还不够广,市场也不够大,现实情况是,微点很缺钱,(没钱你连广告都打不起,打不起广告又怎么让人了解和知道你?~)在金融海啸的危机前,不禁让我怀疑这样下去微点能否“坚持”下去?,让我怀疑起了微点病毒的上报处理能力,(微点有多少反病毒工程师?瑞星有600+ ~微点呢?~)。。。自然会担心起微点的能力了。。。总之,没有谁是救世主。。。。。。不存在只有一面的硬币~

※ ※ ※ 本文纯属【chenxiaorou】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-1-16 21:35
查看资料  发送邮件  发短消息   编辑帖子
GodFather
注册用户




积分 77
发帖 77
注册 2010-1-14
来自 北京
#2  

自从微点出扫描后我更怀疑微点的工程师够不够用了。

[ Last edited by GodFather on 2010-1-16 at 23:26 ]

※ ※ ※ 本文纯属【GodFather】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

创世之初,天是混沌,大地是黑暗。神的灵游于水面,神说:“要有光。”就有了光。
2010-1-16 23:16
查看资料  访问主页  发短消息  QQ   编辑帖子
超级版主
禁止访问





积分 10
发帖 10
注册 2010-1-17
#3  

分析的很透彻。

※ ※ ※ 本文纯属【超级版主】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-1-17 01:30
查看资料  发送邮件  发短消息   编辑帖子
yncong1
新手上路





积分 1
发帖 1
注册 2010-1-17
#4  

有道理

※ ※ ※ 本文纯属【yncong1】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-1-17 01:51
查看资料  发送邮件  发短消息   编辑帖子
lgjlgj
高级用户




积分 990
发帖 990
注册 2008-8-30
#5  

微点也不是神

※ ※ ※ 本文纯属【lgjlgj】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

八掌柜
2010-1-17 10:38
查看资料  发短消息   编辑帖子
雄视王者
高级用户




积分 598
发帖 595
注册 2009-5-2
#6  

打酱油,路过。
顺便,关注。

※ ※ ※ 本文纯属【雄视王者】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-1-17 12:55
查看资料  发短消息   编辑帖子
597276199
新手上路





积分 9
发帖 9
注册 2009-5-20
#7  

分析的很透彻。

※ ※ ※ 本文纯属【597276199】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-1-17 14:56
查看资料  发送邮件  发短消息   编辑帖子
我爱长发飘飘
注册用户




积分 125
发帖 125
注册 2009-12-12
#8  

希望微点强大,年前买新电脑,再买个微点。

※ ※ ※ 本文纯属【我爱长发飘飘】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

醒着的时候觉得自己在做梦,做梦的时候觉得自己在醒着
2010-1-17 22:08
查看资料  发送邮件  发短消息   编辑帖子
理想未来
禁止发言





积分 386
发帖 382
注册 2008-12-10
#9  

这个贴子很老了,老早以前都看过了,而且希望楼主以后发帖整理一下,很乱 看的累。

※ ※ ※ 本文纯属【理想未来】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-1-18 01:14
查看资料  发送邮件  发短消息   编辑帖子
zh3695153
禁止发言





积分 38
发帖 38
注册 2010-7-25
#10  关于免杀过微点主防:

关于免杀过微点主防:

我在网络上看到大量的关于病毒木马过微点主防的文章来评击微点,经过我本人仔细分析,文章的作者不外乎分为三种:

一.纯理论型的

只是写出来微点软件可能存在的漏洞,利用漏洞可能让病毒木马过微点,但自己并没有去实验或真正做出来过微点的木马病毒,这和没说有什么区别呢?也许你能想到的微点公司早就想到了,还是先做出来能过微点的木马病毒再说吧,否则一切都是白说。



二.不提供样本地址型的

这种说白了大部分都是其他杀毒公司的枪手写的,光在卡饭论坛就有很多,只是说发现有能过微点的木马病毒却不给样本地址,你让别人怎么相信你说的话。



三.对微点根本不了解型的

这种类型的人最常见,不外乎就是一些电脑小白,也有的是其他杀毒公司的枪手利用人们对微点的不了解来误导普通用户,所以在这里我有必要再次说明微点的防病毒原理,让人们都了解微点:



1.传统杀软都属于第二代反病毒产品,也就是靠特征码识别病毒为主要防御手段,虽然现在很多杀毒厂商都推出了主动防御技术,但毕竟还都是靠特征码识别为主,主动防御做的都不是很完善,很容易被黑客破解,对系统和用户的安全起不了多大作用。但微点主动防御软件属于第三代反病毒产品,是靠主动防御为主,特征码识别为辅助来保护系统安全的,微点的核心技术就是主动防御,微点的主动防御采用的是行为判断,绝对不是HIPS,很多人总拿它和HIPS技术联系起来,纯粹的HIPS只是对于程序的某个行为的提示,比如添加注册表项,对某个文件的修改等,这些行为病毒木马会产生,但正常程序也能产生这种行为,对于系统根本不了解的普通用户他怎么知道对于普通杀软的提示是拒绝执行还是放过?微点要比HIPS智能的多了,根本无需用户判断是拒绝还是放过,是病毒木马直接阻止运行并提示是否删除(无论选择是否删除,病毒木马都是运行不了的,除非加入白名单,但要在微点设置里添加,从根本上保护系统安全),否则直接放过不提示任何信息。对于没有运行的病毒木马微点是发现不了的,但在运行时都会被微点拦截,所以微点在不依赖病毒特征码和不升级的情况下从根本上免疫了病毒木马层出不穷的所有加壳技术,而传统杀软因为是特征码识别为主,所以要防御新的病毒木马就必须等待升级后才能预防,很多电脑小白计算机上还装了其他杀软,其他杀软报病毒或木马后微点主防没报就认为微点不能防御那些病毒木马,或认为那些病毒木马已经过了微点。



2.微点主防只针对病毒木马程序

网络上很多人说发现有病毒木马过了微点,其实那些根本就不是病毒木马程序,有的是一些IE恶评插件,或替换了一些桌面的IE图标等,甚至有的人故意写了一个死循环的程序运行后把系统资源都占完了,但这些对用户和计算机系统并没有造成任何危害当然不是病毒木马,一些电脑小白不了解就认为是中了病毒微点却没防住。对于一些IE插件等微点虽然不能防御,但如果对计算机系统比较了解的用户,可以通过微点记录的系统日志和显示的系统信息,如进程,模块,自启动等手动清除掉IE插件等,否则就再装个360安全卫士或金山卫士吧,清理插件等傻瓜式的无需对系统了解,点一下就OK乐。



关于微点误杀
我看到很多人提出来说微点的误杀率很高,经过我仔细分析,我有必要澄清一下,其实严格上来讲微点的误杀率是很低的。
      首先你要弄清楚,那些所谓的微点误杀一定就是误杀吗?比如我在某网站上看到有人提出说装了微点后把他计算机上的可执行文件都报病毒,说微点误杀也太严重了吧,系统一直就没出过什么问题,装上微点后就直接都报毒了,我看到这篇文章的第一 反映就是他肯定是系统染毒后才装的微点(这些被病毒感染的可执行文件并不一定被病毒给完全覆盖掉了,文件本身还是可以打开的,但那是带毒运行,那根本不是误杀,那就是带毒的程序),病毒已经把计算机上 的几乎所有可执行文件都感染了他才装的微点,因为微点主动防御软件是以防为主,所以对于已经被感染的文件微点没有修复的功能,只能当做病毒木马来处理,但从技术上来讲,现在网络上还没有能真正过微点的病毒木马程序,所以如果染毒前装微点绝对不会发生被病毒感染的情况。
       还有一点,有很多软件本身就带有对用户和计算机有潜在威胁的程序,普通用户并不知情。比如有些软件会每隔一段时间向软件作者发送你的系统信息等,而用户则根本不知道这种情况,微点遇到这种情况直接提示是间谍程序把那个程序删掉了,结果又导致那个软件不能运行,用户就会觉得是微点误杀了他的软件,但仔细想想在用户并不知情的情况下向软件作者发送系统信息等,难道不算是间谍程序吗?(这里只是举个例子让大家明白,类似的事情太多了,很多电脑小白不了解就认为是误杀,恐怕用其他杀软即便是中毒了也不知道吧)我想如果互联网上的软件都能做到真正的绿色,那微点也不会乱报警吧。



关于枪手

很多人说微点不是万能的,没有无懈可击的杀软,是的,我也从未说过微点是无敌的,而且我也相信总有一天病毒木马会过微点,但至少现在来讲网络上确实没有能真正过微点的木马病毒程序(对于所有病毒木马及所有变种的防御现在微点已经达到了%100)。我在卡饭论坛上见过太多诋毁微点的卡饭枪手,其实我想说的是,懂技术的都知道卡巴和微点根本不是一个技术层次的,没的比(请不要鄙视我的言论,我只是实话实说)。论对系统的主防能力,系统资源占用,智能化程度,仅凭这三点足以秒杀卡巴和其他所有杀软,而且现在网络上的病毒木马连2005年的微点都很难过(在完全不依赖病毒特征码的情况下),微点还有强大的反溢出能力(无需修补系统漏洞依然能保护系统安全),智能防火墙等。无论如何,微点的出现秒杀了网络上一大群所谓的“低级黑客”,让他们编写病毒木马程序的技术再提高几个层次,但真正技术高的人又有多少?技术高的人是不会去搞破坏的,他们是“红客”。s


楼主你看好了,你是纯理论型的,光说不做,你以为你说的那些就能过微点啊,没有试过就妄下结论,还是先做出来吧。

[ Last edited by zh3695153 on 2010-8-11 at 07:48 ]

※ ※ ※ 本文纯属【zh3695153】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-8-11 07:45
查看资料  发短消息   编辑帖子
 18  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号