安软搭配原则

爱·妖姬

EQ是很讲究规则的东西，不是每个人都是那么专业的，不是每个人使用的规则都是完善的，规则不完善时出现动作漏过是在所难免的。所以微点可以看到的东西你未必能看到，在规则漏洞百出的情况下，你就自然感觉动作少，无法判断，然而，一些你不了解的手法和陌生动作不代表微点都不清楚，对使用者专业性的苛求是HIPS判断的一大弊端！

danny007

费尔加微点 或者就是NOD32 微点。。。

nessan

原帖由 tvuser2007 于 2008-6-2 18:03 发表
微点+费尔

一一家家人人

坐忘

是要看看如何搭配，但我一般是单用杀软者。

chen116

红伞+MP
强+强
就是非常强了
o(∩_∩)o...哈哈

polly5771

去HIPS区问问吧。会有人解答
现在HIPS规则都是现成的。

我用竹节大将军的规则.....3个月来试验上千样本，哪里有EQ没发现微点报的？
EQ的问题决不在于拦截率....所谓微点能发现EQ找不到的病毒，我是没发现。关键在于易用性，这是MP最大的优势。

觉得EQ报的行为太多太细，所以才喜欢MP

[ 本帖最后由 polly5771 于 2008-6-2 20:59 编辑 ]

qingaichao

我的是微点+KIS，kis很少用，只用来扫描

北方南方

还是微点+费尔+风云

爱·妖姬

EQ的问题决不在于拦截率....所谓微点能发现EQ找不到的病毒，我是没发现。

不是说EQ不能够拦，而是拦截以后的判断问题，EQ拦截了不等于用户能判断准确。

举个例子：梦幻西游盗号者Trojan-PSW.Win32.OL-Game.xzb

病毒分析

    该木马程序被激活后,拷贝自身到%SystemRoot%\System32目录下，重命名为ismhasrv.exe，在同一目录下释放文件smmhbsrv.sys和动态库文件mnmhcsrv.dll；修改如下注册表项使进程explorer.exe以及由explorer.exe启动的进程自动加载mnmhcsrv.dll；

Quote:

项：HKCR\CLSID\{3C8D1401-A58D-A81C-CD24-A5915C4517C3}\InprocServer32\ 健值：(default) 指向数据：%SystemRoot%\System32\mnmhcsrv.dll 项：HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\ 健值：{3C8D1401-A58D-A81C-CD24-A5915C4517C3} 指向数据：mnmhcsrv.dll 项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3C8D1401-A58D-A81C-CD24-A5915C4517C3}\ 健值：(default) 指向数据：mnmhcsrv.dll

使用API函数LoadLibraryA加载动态库mnmhcsrv.dll；
动态库mnmhcsrv.dll运行后，查找是否存在进程“my.exe”(梦幻西游进程)，如果存在，则使用API函数ReadProcessMemory,读取指定数据，以获得游戏帐号、密码以及其他私人信息，通过HTTP协议将木马所截获信息发送到盗号者收信空间中。

=================================================================================
红色部分才是核心的木马行为，其它都是铺垫！如果我把整个病毒程序名改为梦西的外挂，那么你就会觉得EQ拦截后提供的信息摸棱两可，它只会告诉你explorer.exe遍历进程，explorer.exe读取my.exe，explorer.exe访问网络，如果告诉你这是外挂登陆器，那么你会觉得这些行为正常不过，为什么你会这样想？因为你会认为一旦拦截了，这个外挂就不能用！所以你摸棱两可的情况下你会放行！

你糊涂不要紧，微点是清醒的，伪装成什么也不可能欺骗它，如果你把上面的行为都放行了，微点自然就可以总结出来！

不能够用拦截样本的方向看待EQ，因为你本身就知道那个是病毒！

[ 本帖最后由 爱·妖姬 于 2008-6-3 10:28 编辑 ]

polly5771

该木马程序被激活后,拷贝自身到%SystemRoot%\System32目录下，重命名为ismhasrv.exe，在同一目录下释放文件smmhbsrv.sys和动态库文件mnmhcsrv.dll

无界面写系统禁区，典型病毒行为。我不管它的核心行为是盗号还是别的，单凭写exe,dll就可以认定Malware！

微点+HIPS不等于会削弱微点，如果觉得动作少自己无法判断的时候，只需要全部动作放行留给微点判断即可！

你现在偏离了原来的观点。举的这个例子属于动作少吗？太典型了！

微点的优势，在于让新手能够在不熟悉系统，不熟悉行为的情况下使用。既然这样，为什么还需要其他HIPS呢？装了也白装！熟悉HIPS的，也不太需要MP吧。MP和EQ，是给两个用户层使用的。 它们目前没有互补性。除非能写出一个全局允许，局部防护的EQ规则来搭配MP.....但这样做的意义有多大呢？

[ 本帖最后由 polly5771 于 2008-6-3 11:18 编辑 ]