发现微点运作原理：微点不适合配合传统杀软使用

ly250094040

发现微点运作原理：微点不适合配合传统杀软使用

微点不适合配合传统杀软使用：NOD+微点≠固若金汤

最终结论：NOD+微点〈NOD〈微点

先说说微点的工作原理：

1。在开机的时候，整个PC就进入虚拟机状态，所有数据都不被直接纪录，而是虚拟运行和虚拟储存。到关机的

时候，微点会把虚拟机状态转化为现实状态，然后储存数据，关机。在PC运作时也会有N多次这种状态转换。

2。但是第一点并没有使虚拟机成为无用的噱头，而是所有数据都虚拟纪录然后所有程序都虚拟运行，在运行过

程中触犯了“恶意程序的行为特点的定义”的程序微点就会报警并弹出让用户选择的窗口。因为全是虚拟运行，

所以病毒不会对系统造成任何危害，所以作为虚拟机的主人：微点，就可以轻易的纪录病毒的行为和修复它造成

的后果。

3。以非广义的恶意行为定义弥补高误报和以特征码技术弥补恶意行为定义的宽松。

4。微点的恶意行为定义在同一时间内，在每个用户上的定义都不同。它会纪录典型恶意行为，下次再有此恶意

行为的先兆，则会更早的报。在报的同时上传新的变化了的特征定义，以便更新其他用户的定义。（我们可以拿

下面这个木马做试验，解压，不报，然后运行，报，然后别点“以后也照此操作”。你再解压这个木马看看，微

点在它解压的时候就会报，因为它触犯了新的定义）

5。黑白名单。为减少资源占用，微点在虚拟机的跟踪技术上做处理之外，还采用黑白名单（反正感觉就是微点

不管什么办法，有效的全都用）工作方式。系统的大部分文件都在白名单，典型的流行病毒都是黑名单（包括文

件名判断？不清楚。。。）



正因为以上的原因，传统杀软在虚拟环境里很多时候都不会对病毒起反应，也就是说传统杀软和微点搭配很多时

候就是在浪费资源而已。（下面的病毒做试验，把NOD和微点同时打开，解压这个病毒（首次，所以微点不

报），然后NOD的监控对它没反应，甚至运行也不报，需要右键扫描才报。然后我们把微点的服务关了，PC进入

实际运行状态，再次解压，解压时NOD就报。）（另外在微点工作时，解压NOD不报运行不报，而删除NOD则报，估计要么这时微点还原到实际模式或者NOD也一起进入虚拟模式）

结论：微点不适合配合传统杀软使用，NOD+微点〈NOD〈微点

建议大家直接用微点，它的技术还是很直接信赖的。（别用微点直接双击试毒就很安全）

ly250094040

加一句

微点的功能之一就相当与不断游离和复合的影子系统

ALEXBLAIR

有一点不是很明白
卡巴在虚拟机测试的时候，出现穿透虚拟机的情况。
即使虚拟机内的系统不安装卡巴
真实电脑中的卡巴还是可以杀虚拟机内的病毒。
不知道能不能破微点。
反正当前在用的两个虚拟机都被卡巴穿破了

ly250094040

这个就不好说了啊

虚拟机的绝对权威只是对一般病毒来说的

对虚拟机病毒没什么用

到是可以不断替换虚拟机的特征段来反虚拟机病毒

不过这样就又回到现状了

MS正邪的战争永不停止啊

ALEXBLAIR

如果反病毒公司的虚拟环境被破解的话。。。
貌似效果会很不一般阿
微点和其他的HIPS好在还有HOOKAPI的方法。
问题不大
树大招风阿……

前段时间测试病毒的时候，卡巴和微点的实时监控都分别在两台机子上莫名其妙的被枪毙掉了。
恐怖的是，卡巴还有不断的扫描日志
微点遇到病毒运行时一点反应也没有，和哑巴一样
但是两者的程序主体都没有错误报告。
太恐怖了。。。。。
如果不是偶然偷懒用卡巴右键扫描出来的话，还真的以为卡巴不能杀呢。

只可惜，遇到的样本太多，记不清那个拉。

ly250094040

不过可以采用随机的虚拟数据特征头，固定了算法，这样虚拟机病毒就没半反了，即使破解出了算法，算出同一种特征头的概率也几乎不可能，而且杀软商可以替换甚至搞成多重特征头算法

病毒更本就没办法

ly250094040

那天晚上装上微点试毒

不到2小时就只好重装系统了

微点还有待完善啊


HOOKAPI感觉比较费资源啊

ly250094040

用和微点不同算法的虚拟机下用微点试毒应该就很安全了

目前好像还没有能穿透2重不同算法虚拟数据的病毒

ALEXBLAIR

希望这样，不要出现类似MD5的命运。。。。

ly250094040

MD5被破解是因为它是固定的算法啊

如果杀软的虚拟机一个月换一个算法，或者甚至用用病毒躲杀软的方式：用拼凑连接。那病毒就很难破解了。

这么一来感觉是病毒和杀软的位置互换了。

[ 本帖最后由 ly250094040 于 2007-2-13 19:21 编辑 ]