关于微点的系统变更日志记录不够全面的问题。

tanlimo

1、程序启动没有标出父进程，仅给个PPID号不便于查看。（最好记录父进程包括完整的路径）

2、程序成生记录，只记录程序的生成，并不记录程序的修改和删除。（最好改为由用户自已设定记录生成、修改、删除的文件类型）

3、注册表变更的记录也不够全面，测试病毒后微点的注册表变更记录并不能完全跟踪该病毒对系统注册表的全部修改。（最好改为注册表全局记录如果怕浪费资源也可以由用户自已设定注册表记录范围）

如果这个功能不能做到以上三点修改建议，我个人觉得这个功能就很有鸡肋的味道了。

[ 本帖最后由 tanlimo 于 2008-1-5 18:21 编辑 ]

Nblock

１父进程很早就想到了 你打开启动日志看看后面的设置  包括注册表里面  微点预留了很多东东目前都没有增加

2 3 保留意见 把你的可执行文件复制到其他地方 看看微点的程序生成日志记录了什么？

该记录的记录 不该记录的不记  和微点的行为判断一样

tanlimo

你打开启动日志看看后面的设置 包括注册表里面 微点预留了很多东东目前都没有增加


没明白，请问预留的东西在哪？


该记录的记录 不该记录的不记 和微点的行为判断一样


问题是有些病毒在修改了注册表后（放行病毒的破坏行为）我按照微点的记录将其改回后发现仍然有问题，显然注册表监控不全，我个人认为既然是系统监控日志就应该要全面，其实在这方面进行改进应该会少块肉吧，只会使微点更强大功能理丰富而已。

[ 本帖最后由 tanlimo 于 2008-1-5 20:50 编辑 ]

Nblock

我想微点有自己的考虑 预留的东东微点还没有增加 隐藏文件保护父进程查找目标注册表全局记录

tanlimo

程序生成记录应该改为文件生成记录（记录那些扩展名应该由用户自行添加），居然不记录VBS文件的生成，现在很多病毒都会利用VBS干坏事。