微点主动防御软件测试[08月测试][更新至10.08.29]检测率[80.00%]

我是UD

回复


    恩 360的智能程度上还是不够的
luxiao200888 发表于 2010.8.22 13:58

如果说微点（设置成自动处理）算是全自动主防，那360就是半自动的，相对手动HIPS易用性已经高了很多了

北斗7星

回复 101楼 啊弥陀佛  的帖子怎么蓝屏啦？，，，


   

herofw

360一直在那牛.说什么跟微点比
我无语了.就拿这个评测样本就能说明它比微点牛吗

Lgwu

咨询了楼主问题，既然不回，那就发个样本供楼主参考吧。建议测试时辅助HIPS类软件来相对准确确认
是否创建衍生物，写注册表，以及联网等行为。仅测试了22号微点主防不报的17和32号样本。
17号样本：Safe (17).exe运行后，程序立即退出，未创建衍生物，未写注册表，微点不报。

运行后看MD以及XueTr ，确认是打印注入。这与楼主给出的结论有点不太相符：

旭日东升

在微点的系统分析、网络分析及系统日志中都能查到相关的信息，何需hips等辅助工具？

Lgwu

回复 106楼 旭日东升  的帖子

看101楼，和我在105楼的测试。针对17号样本，如有异议，建议自己实际测试。
   

旭日东升

回复 107楼 Lgwu  的帖子呵呵，我没有权限下病毒包 。我的意思是打开微点的主界面，运行样本后，在系统分析、网络分析及系统日志中都能查到相关的信息，你可以试试看。也期待楼主的答复。另外不同的系统、不同的应用环境也许会使病毒表现不一样的


   

Lgwu

回复 108楼 旭日东升  的帖子

虚拟机安装的微点运行17号样本直接卡死了。动都动不了，只好直接恢复了镜像。
抽时间我再重新测试一下。呵呵，提出这个问题，也是希望微点测试能更全面些。
   

gold。

好像很不错， 不过看不太懂。

Lgwu

从楼主测试排除未报的几个样本，也就是归类于主防成功拦截的样本中任意选择，先选择24号样本，拦截没问题。
选择了23号样本。出现如下问题：



双击运行后，微点拦截并清理如下图：



是不是彻底清理了衍生物呢，根据MD日志我们去查看：
双击微点桌面图标，直接报如下图，也就是说微点自己的快捷方式都被修改，并且未修复成功:



查看微点桌面图标属性，目标地址被修改为：
"C:\Program Files\WinPcap\StormII.exe" "C:\Program Files\WinPcap\微点主动防御软件.lnk"



看C:\Program Files\WinPcap路径，病毒生成的该文件夹并未清理，不过C:\Program Files\WinPcap\StormII.exe 清理成功。



还有其它未清理之处，不再细看...