关于微点的带毒杀毒能力的质疑~!
对于带毒杀毒能力,我认为,排除掉特征码的话,微点的带毒杀毒能力应该很弱~!这样的结论是基于主动防御的工作特点得出的。
微点的主动防御技术是监控程序的行为。而病毒木马的行为都是在初次运行前表现的很明显。比如:一个木马从网页到达用户的IE缓存,从IE缓存启动,复制自身到windows目录下,并且改名,然后运行windows目录下的自己,释放dll,sys到system32路径,将dll加载到explorer进程中,加载sys,修改注册表保证每次开机都会加载自己的dll或者木马本体。这些动作都结束了。木马就运行起来了。运行起来以后,它就跟一般的程序没什么分别了。开机运行起来以后,就在后台监控它想要的数据,然后通过网络发送出去。
可以看到,在木马运行成功后,它的行为,尤其是可疑的行为,就很少了。如果木马运行了以后,才安装微点,那么木马的行为可能不足以触发微点的报警。
想要测试这一点,可能比较困难。需要找一个能够过掉微点特征码的样本,在微点已安装的情况下运行一下,看看报警信息。然后在未安装微点的系统下运行,等木马运行成功后,再安装微点,看看微点能不能发现已经运行的木马!!
回复 1楼 jpzy 的帖子
听起来我又有活干了[:30:] 请静待过几天我的测试(最近比较忙哈) 对微点还是不是很了解~~~不过MSJP说的很有道理~~~[:03:] 有道理。这个测试不难,把微点安装目录下的mp3文件夹里的文件全部删除,就可以排除特征码的干扰了。 这个其实的根据实际情况来说,已经中毒的机器,其实无论什么杀软都不好使,为什么?恶意程式(病毒、木马等的统称)在实施自己的行为的时候,部分会修改注册表或者系统文件,传统的杀软或者微点将其杀掉以后,是无法回滚至正常情况下的键值或者文件,有可能就是这种无法恢复至情况下,会导致系统异常。这是一种情况。现在的恶意程式大部分都会去惹安软,不是杀他,就是屏蔽它。而从整个中毒后安装安软的情况来看,微点的情况是比较理想的。为什么这样说?磁碟机、AV终结者等比较厉害的病毒,会不断的修改系统时间、破坏安全模式,已经试图杀掉安软,甚至有部分样本会模拟用户操作,选择通过,对于这样的情况,我们在PE下安装了传统的杀软或者是微点,从自我保护和对未知病毒的杀毒能力来看,谁的优势体现出来,就很清晰了。
关于LZ说的木马干完活就不做动作了,这个情况是客观存在的,但是木马的关键之处是在哪?偷窃!主体不活动了,但是其生成物会继续的,不要说木马的命令是执行一次,没有谁写的程式又这么强,一次干活就达到自己的目的。比如盗号的,木马已经运行,但是游戏并没有打开,它肯定会一直监听的,键盘记录等。那么在中毒机器上安装微点的话,微点会对这些危害操作,进行阻断,至少在安装微点以后用户的损失会大大的降低,由于微点没有记录到整个程式的生成过程,可能会在处理上不完美。传统杀软安装在中毒机器上后,可能程序在运行,但界面却打不开。
扫描是有优势的,但我个人观点来看,扫描的优势现在体现在清毒(任何杀软都是无法保证100%的)、病毒残留清理等方面,如果从监控来说的话,特征码已经过时了。不然现在的各大厂商也不推出主动防御这一概念了。
个人观点,错误很多,欢迎指正。 LS说的有一定道理~!
我不是说病毒本体或者生成物不动作了~!
而是说,初次运行的一系列高危动作可能会触发微点的报警,而木马成功运行以后,动作就会少很多,很可能无法触发报警~~~
对于很多病毒来说,可能会不停的扫描系统,阻止用户安装安软。甚至关闭任务管理器。如果有这些行为,微点要发现当然不难。
最难发现的是那种,运行了以后就偷偷在后台隐藏起来,然后悄悄地干自己的事情。这样的木马不过就是键盘记录和数据外联。这样的行为估计很难触发微点报警~! 中毒了才想要安裝才想要用不是不可以
如果毒讓你用不了安裝不了呢[:30:] 好象微点的低层做的好,显的删除病毒的能力强点吧
不知道要是系统文件被感染或替换了,它怎么做 有杀软扫描的时间早GHOST完毕了 [quote]原帖由 [i]spaceplane[/i] 于 2008-8-24 17:33 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4596775&ptid=313574][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
有杀软扫描的时间早GHOST完毕了 [/quote]有的病毒会删你的Ghost文件的。 对于微点的带毒杀毒能力个人觉得还行,但会有一些问题! [quote]原帖由 [i]spaceplane[/i] 于 2008-8-24 17:33 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4596775&ptid=313574][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
有杀软扫描的时间早GHOST完毕了 [/quote]
重要商业数据也有Ghost备份??如果病毒全盘感染了系统,游戏,应用程序,想想吧,除了恢复系统,接下来你要重新安装所有程序,游戏,工作量很大,比扫描费事,而有了扫描则可以修复一部分被感染的文件,不能因为主防强大了,就完全放弃其它的杀毒方法吧?结合起来用才是最好的~ [quote]原帖由 [i]spaceplane[/i] 于 2008-8-24 17:33 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4596775&ptid=313574][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
有杀软扫描的时间早GHOST完毕了 [/quote]
敲诈者病毒[:xi50:] [:1:] 呵呵,楼主说的可能简单成一句话就是
把微点往死里整
刘旭知道了会不高兴的[:xi24:] 我用微点+nod32 更安全 呵呵,LZ说的有道理,毕竟微点是行为分析,行为不完整结果肯定会有变化的!!! 情况而定 防御是最重要的说,看来我的KIS2009+东方微点预升级 防御应该很NB的说,杀毒应该也不赖 我的电脑很烂,如果像楼上那么装估计就直接挂了,而且一直认为杀软和防火墙选择一个自己认可的就好,重要的是不上一些乱七八糟的网站,自然中毒几率就小了 但木马的运行一旦被终止,重新运行还是会被检测到的,对不?
页:
[1]
2