刚实机用微点试了机器狗等毒

爱·妖姬

以前有个过微点的木马你们知道是怎样吗？释放一个驱动并加载之，然后全部交给驱动，然后删除自己，搞定

那程序hook的东西也不是多，就一个FSD，但是你们知道那个作用是什么吗，抹去后面的行为踪迹


这样exe没有行为（除了加载驱动）而驱动的行为又抹去，形成了行为盲区，微点对exe的行为是树状分支式分析，对驱动的行为是代码先后顺序式分析，这就恰好形成了盲区


相信那个样本HIPS的也无从去测，除非够大胆放行驱动，但是有种放行驱动的人没多少，驱动一截下，后面除了删除自身，没有动作了

[ 本帖最后由 爱·妖姬 于 2008-3-26 11:39 编辑 ]

realsingmsn

原帖由 kuririn 于 2008-3-26 10:42 发表
你能證明嗎

其實把微點跟hips放在一起測就知道了

已知的就測hips的運行就好

未知的hips就全測

另外樓上的字有點多 我把它改成簡體的了

呵呵 很多人都是杀软强迫症患者

kuririn

原帖由 爱·妖姬 于 2008-3-26 11:24 发表


这还不明白原因

它第一次是行为杀，而微点是自动提取特征的，所以第二次运行还未运行起来就杀了，因为特征还没发去官方鉴定命名，所以还是报未知

如果它把微点想成不断跳转的随机行为规则 ...

所以第二次运行还未运行起来就杀了

他不是這樣說吧  甚至他沒講第二次運行就殺了

yjwfn502

口水大战

微点卫士

实机测试小浩和熊猫很危险的。佩服楼主的勇气

Palkia

原帖由 kuririn 于 2008-3-26 10:42 发表
你能證明嗎

其實把微點跟hips放在一起測就知道了

已知的就測hips的運行就好

未知的hips就全測

另外樓上的字有點多 我把它改成簡體的了

不用证明~微点报已知时的确是靠特征码报的~问过管理员了~呵呵~

kuririn

原帖由 爱·妖姬 于 2008-3-26 10:34 发表


是特征全部吻合报已知，，沒有吻合or只有一個吻合时如果是高危就问是否阻止（例如修改时间或者是覆盖文件或者异常访问网络）

如果行为全部吻合才報未知，部分吻合不报

那這樣比我想的更危險

爱·妖姬

原帖由 kuririn 于 2008-3-26 13:16 发表


如果行为全部吻合才報未知，部分吻合不报

那這樣比我想的更危險

这个是为了防止误报 不然什么叫细化规则，什么叫智能？

微点的规则套路少说也有几百上千条，是很复杂的东西，一两个动作去掉可能会不符合原本的规则，但是却会触发别的规则套路，但是如果加入一些正常软件的行为，就有可能被微点排除。

以鸽子为例，配置的时候，改变成不同的触发启动方式，报警报的东西也不同，有木马，有间谍，有后门。。。

[ 本帖最后由 爱·妖姬 于 2008-3-26 13:40 编辑 ]

taiw_1144

全部吻合或部分吻合都是报未知，报已知的是特征码识别吧
有些病毒要运行后报已知，可能是病毒运行中脱壳，脱掉后微点特征识别拦截

旭日东升

原帖由 kuririn 于 2008-3-26 10:27 发表
刚刚看到一个帖子大致了解了
微点是看行为报的
行为全部吻合报已知 部分吻合报未知 没有吻合or只有一个吻合不报

刚刚看到一个驱动的 微点没报 结果微点挂因为直接被干掉了
所以微点不怕驱动 而是怕新行为
难怪 ...

  一直以来认为你是高手哦