XueTr？微点自保自身？非微点白名单程序照样加驱！微点要如何应对？

mmppp9898

本帖针对我关于微点自身文件保护能力一贴的涉及微点对“非白名单不允许加驱”的问题的跟进
我的前一个热帖http://bbs.kafan.cn/thread-1439355-1-1.html中，提出并讨论了关于微点对自身文件自保能力不足的问题！
并引发大家的兴趣，引发大家广泛讨论！可见大家对未知的安全隐患的关注度还是比较高的！谁都不会放弃了解未知的又可能危害自己的危险！
其中，就关于R0权限下，微点是否可以自保的问题，不少网友坚持认为虽然微点没有报加驱，但是只针对如XueTr这样的，大家常用，并且没有恶意，可以充分放权的程序！
但，当时我的意见是很明确的，我认为至少XueTr这个程序是没有列入微点的白名单程序的，因为我发现他在微点的进程名单里识别不出来，列入“其他程序”范围！但微点依然让他加驱了！
这意味着如果XueTr是恶意程序，微点可能要面临的是R0级对抗，尽管不少朋友认为R0级对抗没有意义，也无需在R0层面做自保！但我依然认为，眼下的安全不代表永远的安全，眼下的白名单程序数字签名技术安全，不代表永远可靠！
我依然认为，隐患只要埋下，就有它爆发的一天！
为了求证那贴子里关于“微点是否允许未列入微点白名单的程序加驱”这个讨论点的答案，我专门咨询了微点客服，以求解答！由于之前正直元旦期间，可能他们放假，微点客服人员今天早上才给我答复~
答案是：否定的，可以在微点之下顺利加驱的程序，不见得是微点的白名单程序！比如XueTr即是个例子！

重申：1、我喜欢微点，对微点没恶意！只是发现问题，提出问题，希望它改进，变强！
         2、本帖意在讨论微点对自身的文件自保不够这一现状，是否会成为隐患，是否需要重视！其他发散思维属于大家随机的想法，不在我控制范围，但请不要把自己想当然得到的想法认为是我的想法并强套在我身上！欢迎有兴趣的朋友发表意见！

以下是我与微点客服的QQ聊天记录！一并贴出，方便大家参考：
交谈中请勿轻信汇款、中奖信息、陌生电话，勿使用外{过}{滤}挂软件。

微点客服2  9:31:27
不属于白名单程序
顽石  9:33:02
你好
顽石  9:38:05
这句话是你针对我之前问你的关于XueTr是否属于微点白名单程序的回答么？

微点客服2  9:38:58
是
顽石  9:40:09
谢谢！辛苦了！
我还想问问，为什么很多病毒，我在运行的时候，微点沉默，让他成功运行，让他添加自启动项，一直沉默，反倒是重启之后突然报未知木马呢？
微点客服2  9:41:23
不确定，猜测：程序只是释放了恶意程序，并没有执行恶意程序，只是添加自启动，待下次开机自动运行恶意程序，下次开机后，恶意程序运行，触发微点规则，微点报警。
顽石  9:42:35
总之就是一句话，没报警就是程序没触犯微点的规则呗？
微点客服2  9:42:56
对
顽石  9:44:33
因为如果做实验的时候，明知道是病毒，运行了之后，微点一直不报，等到重启才报，让人还是有点担心！怕万一是盗号型木马的话，把信息都盗走了，发出去了，即便是重启之后微点拦截了也没意义了
微点客服2  9:45:12
你没有明白我刚才发的意思。
顽石  9:46:25
我懂你的意思，你是说没报是因为它没做出恶意行为！所以不必担心
微点客服2  9:46:41
有一种情况是： 文件1 的作用是释放文件2，并将文件2添加自启动， 然后它的任务就结束了。 单看这个行为，你不能认定它是病毒。
当然如果把文件2或文件1 的特征码提取到，杀毒软件会直接报警。
顽石  9:47:53
明白了，我并没有理解偏差，我的意思就是没报只是因为它没做足够判定为病毒的行为出来嘛
微点客服2  9:48:02
简单说是这样
顽石  9:49:07
给你俩样本，昨晚我试验，微点只报他tmp文件，主防拦截了行为，但是没进一步删除文件的本体
微点客服2  9:49:47
请将样本文件发送到virus@micropoint.com.cn邮箱中
顽石  10:01:05
呃……你们要是能更改一下微点程序，让用户无需微点报未知就可以直接上传任何样本就好了！用邮箱毕竟不如直接程序自带上传功能好使




相关内容帖子：http://bbs.kafan.cn/thread-1439355-1-1.html

夜微凉

如果自保太高，自己出了问题，谁来结束你？

mmppp9898

夜微凉 发表于 2013-1-4 11:57
如果自保太高，自己出了问题，谁来结束你？

1、通过自身卸载程序卸载！
2、如果自身出问题，可以被删除，但是要用户退出自己的进程之后，或者不退出也行，至少弹出进程询问用户是否允许其他软件动自己！

夜微凉

mmppp9898 发表于 2013-1-4 12:06
1、通过自身卸载程序卸载！
2、如果自身出问题，可以被删除，但是要用户退出自己的进程之后，或者不退出 ...

既然是出了问题，那就意味着可能无法卸载，可能用户自己也关不了，比如微点卡死了

Howl

没错微点是放驱的

mmppp9898

夜微凉 发表于 2013-1-4 12:08
既然是出了问题，那就意味着可能无法卸载，可能用户自己也关不了，比如微点卡死了

这种属于罕见的问题，不太可能频繁卡死！应该是重启解决！而不是彻底删除微点的文件！
难道你正常使用费尔的时候，它出现卡死或者问题的时候，你采取的是直接删除它的文件的办法么？我看不是吧？反倒是遇到问题重启解决更方便吧！要知道你全删除后，还要重新安装一次，而且还不知道删除的时候是否删除干净那个程序的注册表文件！除非你再也不想用费尔，否则直接删除比重启更麻烦！

mmppp9898

Howl 发表于 2013-1-4 12:24
没错微点是放驱的

所以……联系我那相关的帖子就不的不说也许微点的自保是个隐患！

潘中医

哪个杀毒软件不放驱的？除非有hips的功能，微点是连一点点的hips都没有，唉。

潘中医

有时间木马把信息发出站这个动作不做出来，微点是不拦的！这就是多步判断。
至于把信息漏后才拦截咋办，那就是微点拦截半成功。
我很少见漏后才拦，很多都是发出站前拦。
以特征码为主要拦截方式的安全软件说过就过，微点可不是过特征扫描后还能再过的。一般常见的木马再加壳编花，只有动作一样，微点无视任何特征依靠行为全杀。
至于微点有时间拦母体不行这个确实是硬伤。

mmppp9898

潘中医 发表于 2013-1-4 14:38
哪个杀毒软件不放驱的？除非有hips的功能，微点是连一点点的hips都没有，唉。

有没有错别字？咋看不太明白你的语义？