微点交流论坛 - 微点主动防御软件 - 【已解决】微点报告CTerm为可疑程序的问题

微点交流论坛 » 微点主动防御软件 » 【已解决】微点报告CTerm为可疑程序的问题

nullspace
注册用户

积分 57
发帖 57
注册 2007-2-27

#1 【已解决】微点报告CTerm为可疑程序的问题

微点报告CTerm为可疑程序的问题

超版说已经解决（2008-4-30 13:48），
现在仍然把cterm的所有版本都当然可疑软件
包括我刚刚编译完成的

甚至我移动/复制一下文件位置，甚至改一下目录或文件名(cterm1.exe -> cterm2.exe)，微点都会重报一次!

难道微点记录可信程序只是根据文件名和路径吗？
假如真的如此，可信程序被病毒感染以后怎么办？
同一个程序变了以下名字或位置，就由可信程序变为可疑程序了？
难道微点的专家连现在外行都懂的文件签名技术都不知道吗？
能否给我解释一下这样做的道理？

上次我调试发现了微点报可疑的原因，是因为打开了一个UDP端口
我更改了一下端口号，就不报了
当时我将这个原因汇报给了超版
后来他就告诉我已经解决了
但是，迄今为止，微点仍然会在cterm.exe创建UDP端口号的时候报可疑程序/木马
甚至我无论我怎样改端口号都不行了

我用的代码是CAsyncSocket::Create(i, SOCK_DGRAM) // i是端口号

我又从网上下载了一个最简单的UDP示例程序，微点同样会报可疑/木马
分别在这两句报警：
bind(socket1,(struct sockaddr*)&local,sizeof local);
if (sendto(socket1,buffer,sizeof buffer,0,(struct sockaddr*)&server,len)!=SOCKET_ERROR)

我对测试一个使用UDP的软件，TM2009
调成UDP模式，微点没报
看微点的网络监控里面，有好几个使用UDP的程序都正常运行
看来还是对已知的程序放行了的

真是奇怪的很，未知程序不准使用UDP，这是什么逻辑？
如果有这个放行规则，我都报告cterm好几年了，为什么一直不加进来呢？

我的微点当前应该是最新版本：
微点主动防御软件家庭版
程序版本： 1.2.10581.0278
特征版本： 1.6.1430.100325
更新时间： 2010-03-25 16:28:03

[ Last edited by Legend on 2010-4-1 at 11:00 ]

※ ※ ※ 本文纯属【nullspace】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-26 11:49

nullspace
注册用户

积分 57
发帖 57
注册 2007-2-27

#2

附件：
CTerm.exe.rar
http://good.gd/449015.htm
UdpServer.rar
http://good.gd/449018.htm

※ ※ ※ 本文纯属【nullspace】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-26 11:53

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#3

感谢楼主反馈，我们会尽快分析测试这个问题。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2010-3-26 11:58

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#4

您的问题微点已经解决，请等待微点的更新，感谢您的反馈。
推荐您先自行将微点所报的文件加入可信程序设置来使用，具体设置如下：微点主界面-->安全防护与策略-->程序行为实时监控策略-->可信程序设置-->添加。
此主题暂做关闭主题处理，如有其他问题，请您另开新帖讨论！

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2010-4-1 10:59

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号