关于微点2.0的添加信任

blue_仰望

申明：此贴仅是一个喜欢微点的用户对微点的一点小小疑问，与此ID组别无任何关系。



微点2.0在发现可疑程序时会弹出提示框，用户可以选择信任，并且添加信任之后，下次运行是不会有弹出框的。这个相信大家都体验过，也有很多人问恶意软件添加信任之后，还是否会被拦截，大家请看图。

这款软件是我为公司写的自动化的小工具，exe调用dll，dll内部安装全局键鼠钩子，记录用户行为。第一次运行的时候微点报未知木马


添加信任之后重新运行，微点没有拦截，我的工具弹出提示框，选择log保存路径


打开账户，输入帐号、密码



查看保存日志，刚才每一次动作在这里都有记录，鼠标在什么地方点击了，按下了什么按键


也就是说刚才我输入的账户名和密码已经记录在了text.log文件中，因为公司不需要联网模块，所以我也没有做联网模块，但是如果我把刚才的信息发送出去，那，你懂的。。。。。

微点没有拦截，这可以理解为我添加信任了，微点把我的这款软件当作可信程序（其实本来就是可信程序，我没有做小动作），但是我的疑问是，我将我的工具拷贝到其他地方，微点照样拦截


我将在其他地方报可疑的程序拷贝到刚才的release目录下，并且改名和刚才添加信任的文件名字一样，竟然就不在报可疑了。。。。。。

我觉得这种添加信任的方法有点太不靠谱了吧，好歹也验证下文件的md5，或者生成guid也行啊，完全靠路径添加信任，对用户。。。。。。

没有其他意思，我自己也用的微点，并且我也会一直用微点，微点的技术确实很强，以上的问题仅仅是作为一点疑问提出。

以上，建议使用微点的用户不要随意添加信任文件，对于自己信任的程序，尽量点击放行，而少勾选信任。


再次申明：此贴内容仅仅是一个喜欢微点的用户对微点产品的一个小疑问，和此ID组别无关。

liangxy

那请问替换信任程序微点报警么？如果替换的是病毒的话

真小读者

微点自己说是对可信程序以可信模式监控，不过这个可信模式到底是怎么回事也不清楚。

blue_仰望

liangxy 发表于 2012-12-8 13:33
那请问替换信任程序微点报警么？如果替换的是病毒的话

关键就是在可信位置替换为不可信程序，微点也不会报

blue_仰望

真小读者 发表于 2012-12-8 13:39
微点自己说是对可信程序以可信模式监控，不过这个可信模式到底是怎么回事也不清楚。

我也是想弄清这个问题

liangxy

blue_仰望 发表于 2012-12-8 13:42
关键就是在可信位置替换为不可信程序，微点也不会报

那就悲剧了，这样过微点很轻松啊

devil_PC

我觉得这样就产生了一个过微点的思路，一个安全软件，想办法查看微点的可信程序的位置之后然后再执行替换

真小读者

我也拿样本区的一个样本做了一下测试
样本：http://bbs.kafan.cn/thread-1424879-1-1.html
1、解压到当前目录，双击，微点报未知间谍软件。选择“不删除+可信”。双击不再报。样本自删除。
2、解压到另一个目录，双击，微点继续报未知间谍软件。选择不删除，没有添加可信。将此文件移动到“1”中的文件夹下，双击不再报。
3、解压到“1”的目录，改名，双击，微点继续报未知间谍软件。

记得之前有人测试过（http://rootkit.blog.51cto.com/727977/239418），微点会监控程序自己的改名，对于程序改名在监控日志中也有体现。对用户手工改名是不管的。所以我想应该不必太担心。

不过结论和楼主差不多，不要随便填加可信。

wqcaokeyinwq

哦。。。这不科学。。。

微点的可信程序。。运行在可信模式。。。。具体这个可信模式怎么运行。。。还真不是很清楚。。。

不过。。如果2个文件一个可信。。。另一个改成可信程序名字然后放到同一路径。。就不在报毒。。这有点晕人呢。。。

楼主可以把你的样本放出来看看吗、？？？

对于这样的问题。。很疑惑啊。。。。。放出来我们再仔细看看。。。

blue_仰望

wqcaokeyinwq 发表于 2012-12-8 15:36
哦。。。这不科学。。。

微点的可信程序。。运行在可信模式。。。。具体这个可信模式怎么运行。。。还真 ...

随便找个样本都可以测试的，建议在虚拟机中测试，可以参考8楼。