卡饭论坛 » 国内杀毒软件讨论区 » 微点 » 怀疑微点的多步智能hips

yjwfdc 发表于 2008-8-16 21:50

怀疑微点的多步智能hips

我怀疑微点不是多步智能hips。

请高手测试一下，或者说说是智能hips的证据也可。

我想了一个办法，不知可不可以这样测呢？

首先运行一个病毒（要微点未知的，或者把微点的病毒库删除后测），当微点报警时停住，用其它方法测试到是哪一步报警。

用另一个文件名一样的程序执行微点报警那一步，如果微点一样报警，可以初步认为微点是单步报警的，不是智能的，如果微点不报警，可以认为微点是多步报警的，是智能的。

再用另一个病毒来试，试得越多，越能证明其真实性。

wtgzc 发表于 2008-8-16 21:57

微点当然是智能的了，很多软件都有动作，HIPS很频繁动地报动作，但微点就不是，总是很安静。这就足以证明微点是智能的了

taiw_1144 发表于 2008-8-16 21:58

文件名一样，行为不一样，不触动行为规则微点是绝对不会报警的，其实这个测试在虚拟机中很容易测试，安装微点不用注册即可，病毒样本区一大堆，微点不是360！！

[[i] 本帖最后由 taiw_1144 于 2008-8-16 21:59 编辑 [/i]]

yjwfdc 发表于 2008-8-16 22:02

[quote]原帖由 [i]wtgzc[/i] 于 2008-8-16 21:57 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4513374&ptid=308011][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
微点当然是智能的了，很多软件都有动作，HIPS很频繁动地报动作，但微点就不是，总是很安静。这就足以证明微点是智能的了 [/quote]
这是不能说明的，因为hips也可以比微点安静。只需hips的规则宽松一些就可以了。

spaceplane 发表于 2008-8-16 22:04

微点是回滚么？

yjwfdc 发表于 2008-8-16 22:05

[quote]原帖由 [i]taiw_1144[/i] 于 2008-8-16 21:58 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4513386&ptid=308011][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
文件名一样，行为不一样，不触动行为规则微点是绝对不会报警的，其实这个测试在虚拟机中很容易测试，安装微点不用注册即可，病毒样本区一大堆，微点不是360！！ [/quote]
我说的是多步智能，如果只触动一条规则就报警，就不是智能了。

你可以把测试结果发来看看吗？

polly5771 发表于 2008-8-16 22:06

[url=http://bbs.kafan.cn/viewthread.php?tid=247451][color=blue][b]后发制人----探索智能HIPS[/b][/color][/url]

[url=http://bbs.kafan.cn/viewthread.php?tid=248074][color=blue][b]从现象到本质----探索智能HIPS的回滚[/b][/color][/url]

[url=http://bbs.kafan.cn/viewthread.php?tid=257659][color=blue][b]智能HIPS的软肋[/b][/color][/url]

这里面清楚地反映了微点的工作流程，也包括其他的，TF，NAB，Mamutu。

分别对应 拦截时机，回滚，高危单步操作拦截。

微点只对直接破坏系统高危行为立即响应。这里不是多步分析。

对于其他，看第一个实验，是在修改注册表服务相关项时报警的。
而你用一个RD测试就知道。单纯的修改注册表行为，微点不会报警。因此这类测试基本都是失败。

这样足以说明微点是多步行为分析了。

顺便强调，微点对很多单步行为不拦截，是智能HIPS的本质决定的，并不影响它的使用效果。反映智能HIPS能力，只有用病毒样本测试。具体请查看扫描区测试。6-8月测试结果都列在置顶帖里

jpzy 发表于 2008-8-16 22:07

[url]http://bbs.kafan.cn/viewthread.php?tid=247451&highlight=%2Bpolly5771[/url]

看看微点区斑斑的帖子吧！

yjwfdc 发表于 2008-8-16 22:23

想问问
《后发制人----探索智能HIPS》
里第8步 微点出手 微点写的是生成 dll，应该和第5.向系统目录写病毒dll      对应，版主是为什么认为会是第 8步写注册表造成微点报警的呢？

wyts01 发表于 2008-8-16 22:28

多步智能的！～～

yjwfdc 发表于 2008-8-16 23:06

想知是不是单步，建议做两个实验，

1，写个程序，文件名改为080505-n7-7.exe，向c:\windows\system\mspmsnsv.dll生成文件，看微点报不报。

2。写个程序，文件名改为080505-n7-7.exe，修改注册表hklm\system\controlser001\services\wmdmpmsn\parameters\servicedll
看微点报不报。

请不要用脚本。
高手来试试。

[[i] 本帖最后由 yjwfdc 于 2008-8-16 23:07 编辑 [/i]]

sxingbai 发表于 2008-8-16 23:15

多步我是不怀疑的[:xi28:]

jpzy 发表于 2008-8-16 23:33

[quote]原帖由 [i]yjwfdc[/i] 于 2008-8-16 23:06 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4514173&ptid=308011][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
想知是不是单步，建议做两个实验，

1，写个程序，文件名改为080505-n7-7.exe，向c:\windows\system\mspmsnsv.dll生成文件，看微点报不报。

2。写个程序，文件名改为080505-n7-7.exe，修改注册表hklm\system\co ... [/quote]

单独释放dll到system32或者单独修改注册表都是不会报警的~！

是不是单步这点，根本不用怀疑！你随便找个HIPS看看单步HIPS会有多少报警就知道了！

yjwfdc 发表于 2008-8-17 00:02

[quote]原帖由 [i]jpzy[/i] 于 2008-8-16 23:33 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4514429&ptid=308011][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]


单独释放dll到system32或者单独修改注册表都是不会报警的~！

是不是单步这点，根本不用怀疑！你随便找个HIPS看看单步HIPS会有多少报警就知道了！ [/quote]
不试过，我还是会怀疑。
我用eq+陷井规则简化版试病毒，从来不出询问框，很少会报警的。

terminus 发表于 2008-8-17 00:33

回复 12楼 yjwfdc 的帖子

试过了 没有报警

polly5771 发表于 2008-8-17 07:25

[quote]原帖由 [i]yjwfdc[/i] 于 2008-8-16 22:23 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4513673&ptid=308011][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
想问问
《后发制人----探索智能HIPS》
里第8步 微点出手 微点写的是生成 dll，应该和第5.向系统目录写病毒dll      对应，版主是为什么认为会是第 8步写注册表造成微点报警的呢？ [/quote]

微点的提示,只是列出了生成物，并不涉及细节。你没注意到旁边comodo的提示么？？
手动HIPS是分析安软和病毒的好工具[:10:]这里comodo起到了探针的作用。微点的日志和提示都不完善啊.....[:08:]

广告：comodo探针法，开启黑箱的金钥匙[:14:]

[[i] 本帖最后由 polly5771 于 2008-8-17 07:53 编辑 [/i]]

polly5771 发表于 2008-8-17 07:57

[quote]原帖由 [i]yjwfdc[/i] 于 2008-8-17 00:02 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4514673&ptid=308011][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]

不试过，我还是会怀疑。
我用eq+陷井规则简化版试病毒，从来不出询问框，很少会报警的。 [/quote]

这个陷阱规则，我也用过。和碰上的其它规则完全是两种思路。值得大家尝试。

不过我测毒需要比较严格，继续用竹节规则吧[:27:]

yjwfdc 发表于 2008-8-17 08:54

[quote]原帖由 [i]terminus[/i] 于 2008-8-17 00:33 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4514834&ptid=308011][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
试过了 没有报警 [/quote]
所以说hips很多询问是错的。

kuririn 发表于 2008-8-17 08:55

暈 還是我來說吧

[attach]337012[/attach]

說不定微點[color=red]只防[/color]修改服务相关注册表值 hklm\system\*controlset*\services\wmdmpmsn\parameters\servicesdll
[color=red]而前面的都沒防[/color]  例如comodo報的底層磁盤 debug .....[/color]

先這樣吧  [url=http://bbs.kafan.cn/viewthread.php?tid=247451]http://bbs.kafan.cn/viewthread.php?tid=247451[/url]

[[i] 本帖最后由 kuririn 于 2008-8-17 08:57 编辑 [/i]]

yjwfdc 发表于 2008-8-17 08:58

回复 19楼 kuririn 的帖子

就是这个意思，我太笨，说来说去说不清楚。

有人试试吗？

查看完整版本: 怀疑微点的多步智能hips