微点＆金山

Nblock

看过铁军那篇“窝里斗”的文章虽然有许多不解，不过先说明几个前提吧

主动防御的概念无非是凡是动彻先机、敌不动我不动，完全通过程序行为判断是否为具有危害性的程序，至于“秀剑”所说的运行病毒后在启动微点已经偏离了主动防御的概念
杀毒软件的概念则不同，在我的个人愚见方面则是通过内存特征、广谱特征对文件进行监视并筛选，得出的结果只有０和１，是０直接放过、１则跳到杀毒引擎上面处理。
从以上两点完全可以看到这两种程序没有可比性，因为是两个不同概念的衍生物，所以一堆人在这里争执哪个好哪个坏却没有一个最终点、没有一个好坏的依据、对付磁碟机什么叫做好又什么叫做坏呢？

两个出发点：
一、不被感染：通过有效识别系统调用发现磁碟机的行为并有效的阻止，使得用户系统不会被恶意代码感染，对于病毒主线程已经被结束，那么一切都会变得很安静。
二、修复感染：当用户系统已经被恶意代码感染的时候，既要通过杀毒软件的清除引擎对其进行特征匹配、如果匹配的是病毒原特征，那么就直接删除；如果是包含病毒特征，那么就根据特征版本号调用相关算法在内存中将染毒文件进行清除，映射出被清除文件到原位置。

通过以上驳“微点占用资源高的问题”

如图：被选中的是微点的主进程程序，资源问题的指标都显示在里面了。

微点主动防御软件没有扫描引擎，所以不会把大量文件同时读入自身内存，然后进行特征、广谱识别，而只是在其他进程插入特定线程进行程序行为识别了，试比一下究竟是对其他进行插入一个线程占用资源高还是将大量文件读入自身内存占用资源高？所以这个根本没有可比性，因为机制不一样。

驳“中毒后无法进行处理的问题”

首先附上微点对磁碟机的病毒分析报告：
磁碟机Virus.Win32.Xorer.aex
http://bbs.micropoint.com.cn/showthread.asp?tid=30196

通过以上病毒分析报告可以看出，病毒一旦启动运行后会对微点的进程发送大量垃圾消息、对包含微点的窗口进行关闭操作、对微点注册的win32服务进行删除操作，这又何以见得“

一个任务管理器就把微点搞掉了，之所以那个东东能活下来，是病毒作者没有拿它当对手。

”呢？反过来讲既然病毒作者没有把微点当作对手为什么要开发出变态的双进程感染机制，一读一写绕过主动防御，为什么要对微点的进程发出windows消息攻击，又为什么通过恢复系统服务分发表删除掉微点的服务使得微点开机无法启动？如果微点对磁碟机不能够构成威胁那么病毒作者又何苦浪费大量的代码这么做？对于任务管理器可以结束微点的进程完全是人性化设计，不相信你可以试试ＩＳ、ＲＫＵ等进程管理工具对微点的作用，或者试试金山自己的进程管理模块是否可以杀死微点的进程。通过看报告还可以看出有“病毒、杀毒、微点”的字样，事实就是事实、事实是不可否认的，在磁碟机运行的情况下微点目前是无法正常安装的，因为在解压缩包的时候任何正规的安全软件都不会丢驱动出来保护安装程序，所以窗口被病毒发现从而关闭；那么我想试问一下金山或者其他的杀毒软件是否能够安装，如果有杀软可以安装上了，要么是这个杀软保护能力太强，就连安装包也要用驱动保护着，要么就是病毒作者根本没有看得起，没把它的窗口放进去。

最后驳录像中的磁碟机突破微点

不知是否可以告知微点的版本信息，如果微点程序版本是当天最新试用版， 病毒版本都无所谓，我二话不说以后再不踏进“爱毒霸社区”一步，但是我曾经是用微点测试版（现在的试用版）在微点官方发布那天测试过磁碟机的，那时候行为拦截还不是完美，病毒虽然无法动作但是计算机会重启，因为病毒调用ExitWindowsEx这个函数并加上了强制重启参数，后来这个ｂｕｇ解决了，也就是磁碟机的强制重启被微点拦截了下来，我想不通就是铁军你测试的微点为什么会被磁碟机重启计算机？我知道调用ZwShutdownSystem或NtShutdownSystem是直接熄火式关机的，根本不会出现注销画面，我想不通既然XXShutdownSystem和ExitWindowsEx都被排除了那么病毒如何在新的微点版本中重启计算机？莫非是自己写了原生系统调用，去通过特殊机制中断CPU关机了？
疑问了好多，因为没有样本，所以这些疑惑不得其解，知道样本对于杀软公司是很重要的数据资料，不敢奢求，但只想知道我自己这几个疑问的正确解释，不然就算我不想去知道了也会有很多朋友耿耿于怀吧

我虽然是个马甲，但希望你们也可以自重，人活着不就是活个明明白白么？ＱＳ长ＱＳ短那些都没用……我只想知道事实


[ 本帖最后由 孤单每一天 于 2008-3-22 02:24 编辑 ]

http://bbs.duba.net/viewthread.p ... ;extra=&page=13

微点卫士

已经好久没去爱独霸论坛了。以前哪个家伙喜欢叫“奶爸论坛”的
铁军这次不厚道

sixu0913

铁军????
什么人，接受下此人的江湖背景。

爱·妖姬

沉浸在“天朝上国”美梦中自欺欺人的金山

[ 本帖最后由 爱·妖姬 于 2008-3-22 13:03 编辑 ]

微点卫士

http://bbs.duba.net/thread-21856186-1-2.html，金山员工，至少在金山工作6周年了

微点卫士

http://bbs.kafan.cn/viewthread.php?tid=218696&extra=page%3D2
难道这件事情成了导火索

volunteer

铁军是金山的老员工了

金山反病毒工程师

021986140

金山有些东东还是不错的，比如金山清理专家 我还用金山的快译来翻译红伞呢。呵呵

野马

混乱到极点！！！

spatra

........金山也搞这些。。。