拦截衍生物是没用滴.....再过微点2

vm001

样本连接http://l4.yunpan.cn/lk/QMIFGujgMWmew
开启微点所有监控
运行安装包，安装完毕后运行游戏


拦击衍生物
xuetr检测病毒服务停止
用xuetr删除病毒服务
再次双击样本
微点还是这样拦截的


不过这回....我实机毒霸弹出远控拦截---故意放过，看下虚拟机微点，毫无反映，还是只拦截那个游戏的正常连接




此时实机毒霸弹个没完了---全部故意放过


虚拟机微点哑火



给微点小小总结一下---------微点是多步主防，单纯一个程序注入系统进程，或者是类似这个样本这样单纯通过配置单元修改注册表添加服务微点不拦截的，不管那种方式只要利用了系统进程来执行联网，绝大部分都可以过掉微点，因为微点在设置只能防火墙以后，默认放过系统进程外联，但是不设置智能就不适合普通用户使用，况且系统进程联网没点经验的人也是会放过的，所以这类手法今天过微点，明天还照样过....甚至说后天也照样过...微点分析联网协议去吧

Ｍy↘じ★ve

又是456。。
话说楼主不是喜欢测数字嚒，看看数字如何。。。

liangxy

楼上的数字绝对过啊。话说楼主是456大本营啊

ELOHIM

11.5m，
下载了五次也没下载完全。

追影子的十三

建议楼主去微点官网反馈一下，帮助微点加强防护

http://bbs.micropoint.com.cn/

潘中医

456到的是啥啊，有很多木马都是等到信息出站的一瞬间才杀，麻烦LZ在虚拟机里试试喽~~

saga3721

微点防火墙放出后杀没杀呢？要是杀了就算成功。只要木马没有生效，系统没有遭到损失和入侵就算成功

vm001

saga3721 发表于 2012-12-15 10:02
微点防火墙放出后杀没杀呢？要是杀了就算成功。只要木马没有生效，系统没有遭到损失和入侵就算成功

看最后给微点的总结

wjcharles

潘中医 发表于 2012-12-15 09:59
456到的是啥啊，有很多木马都是等到信息出站的一瞬间才杀，麻烦LZ在虚拟机里试试喽~~

按LZ的测试，虚拟机外的金山防黑墙已经报警了，说明有信息出站了吧？
不过我觉得这个情况可能是微点回滚时不涉及系统进程，默认放过，就像LZ说的，多步主防的缺点
另外如果是远控的话，不排除有动作才杀，仅仅上线不杀的情况，但也要看主防对系统进程的信任程度了

潘中医

wjcharles 发表于 2012-12-15 10:38
按LZ的测试，虚拟机外的金山防黑墙已经报警了，说明有信息出站了吧？
不过我觉得这个情况可能是微点回滚 ...

456是啥，好牛逼。。。。。。。。