» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点杀毒软件 » [建议]微点杀软反跟踪能力需加强   作者: 标题: [建议]微点杀软反跟踪能力需加强 disk 新手上路 积分 15 发帖 15 注册 2008-9-22 #1  [建议]微点杀软反跟踪能力需加强 我在对微点杀软的测试中，我发现微点的自我防护体系比较脆弱。       虽然微点的句柄进行了隐藏，在一定程度上防止了病毒的迫害。但是，这并不能影响病毒对它SSDT，消息钩子，API，进程注入，以及其它被HOOK点的查找和破坏。 病毒思路：       病毒首先遍历所有进程，查找是否有微点杀软的进程存在。如果有，则实行B计划；如没有，实行A计划或别的操作。这样病毒就能做出对微点的破坏工作，安装驱动，去除钩子，恢复SSDT，内存清空，甚至让微点进程崩溃。 黑客思路：       黑客想要破坏微点，必然会先进行信息收集工作。可能会用调试工具，动态反汇编工具对为微点进行分析，以便他们对微点漏洞的查找和破坏。 建议和防御思路： 1.我认为这是微点杀软的一个漏洞，竟然不对驱动的安装进行审核。 2.微点保护自身有两方面。一是隐藏自身在系统中的痕迹，防止病毒查找。二是防止自身别破坏，及即使找到也无法进行破坏工作。 3.微点应在发布时，反制调试工具等程序对微点的访问，如发现被调试，则直接BAN掉。可以在一定程度上防止黑客分析和技术泄密。 4.微点的自我保护中应有反跟踪模块，防止非法程序（大多就是病毒和调试器）对微点的跟踪。及时消灭它们试图破坏微点的意图。 本人技术有限，如有错误，请多多包涵。 希望微点杀软早日成熟。（题外话，让X星感到自己的技术是多么垃圾） ※ ※ ※ 本文纯属【disk】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 低调~低调，多看帖少回帖！ 2010-2-14 15:00 disk 新手上路 积分 15 发帖 15 注册 2008-9-22 #2   再说一声，我的微点杀软已被我调试得崩溃了，无法开机启动。（幸好是在虚拟机里做的实验） ※ ※ ※ 本文纯属【disk】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 低调~低调，多看帖少回帖！ 2010-2-14 15:03 pow78781 注册用户 积分 60 发帖 40 注册 2007-12-28 来自 <script>alert(&quo ... #3     Quote: Originally posted by disk at 2010-2-14 15:03: 再说一声，我的微点杀软已被我调试得崩溃了，无法开机启动。（幸好是在虚拟机里做的实验） 羡慕牛牛啊···膜拜··· ※ ※ ※ 本文纯属【pow78781】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-2-14 15:11 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号