微点允许病毒加载驱动后 如何再进行拦截清除

Nblock

木马名称:Backdoor.Win32.Agent.fks

程序:
C:\WINDOWS\SYSTEM32\INIT_5C12-A14.SYS
是木马程序!
已成功阻止其运行,是否要删除此文件?

发现rk, 重启后删除

[ 本帖最后由 Nblock 于 2008-1-2 21:10 编辑 ]

kuririn

果然入庫了 我就知道

taiw_1144

从我所测试过的样本区的几十个病毒样本来看，微点是可以拦截的，如果不行我机子早就要重装了，红伞也应该能扫出一大把的病毒，但结果是一个都未扫出！！！

爱·妖姬

不要说的太满

http://bbs.kafan.cn/viewthread.php?tid=181339&extra=page%3D1(我已经报了,和那个随机名称的AWG32.sys如出一辙啊 )确实很有必要增加驱动加载过滤了

近期微点不断地单纯加特征的做法令人很讨厌[:1:]

[ 本帖最后由 爱·妖姬 于 2008-1-2 22:52 编辑 ]

野马

有些更新不能马上推广运用（需要反复测试？），先加个特征也是好的啊。

烟雨无声

同意野马兄的说法。很多更新都是要经过很多次测试，在确保没有任何问题的情况下才会给大家更新的。这也是微点的严谨吧！

黄金马甲出租

驱动＝驱动，只要加载了驱动就是平等权限，但驱动要单一作事情很难，现在还没有见到全驱木马，不过也不确定没有超越内核ｗｉｎｄｏｗｓ头上飞的后门、木马出来，全驱病毒前几天有了吧，那个驱动感染驱动的

黄金马甲出租

这个据说下版就更新了，现在还在内测

newgnay

原帖由 solcroft 于 2008-1-2 20:13 发表

一允许进程加载驱动，就是把系统权限统统都交给它，任它随所欲为了
遇到低级的驱动病毒这个办法还行得通，遇到xorer这一类的就...

   我觉得即使大家都是驱动级别,仍然是有很明显的高下之分的.例如微点可以HOOK大量内核API,这样同样可以KILL驱动级木马,关键是微点对内核级病毒的自我保护要做好.PS: 内核级病毒也并非为所欲为,它也要调用API,只要微点HOOK了这些API,那微点就能自保了.

solcroft

原帖由 newgnay 于 2008-1-3 23:03 发表
例如微点可以HOOK大量内核API,这样同样可以KILL驱动级木马

可以
木马也可以KILL掉微点，这个才是关键
你自我保护做得再牛，可是随便允许进程获得和你同等或更高的权限，只有等于白费工夫
老鹰的自我保护作得超级霸道也都不敢随便让进程加载驱动，结果它能轻易干掉xorer，而微点只有被xorer干掉的份儿，加特征码来对付

原帖由 newgnay 于 2008-1-3 23:03 发表
内核级病毒也并非为所欲为,它也要调用API,只 ...

关键是
微点没有能力监控和它一样等级的进程，如果那个进程想避过微点的话