与王者的较量---再次轻松绕过微点主动防御（看我帖子的人请回帖）

挪威的冬天

传统互联网防火墙不会单纯以绝对路径和文件名作为白名单依据

wei023cn

楼主让看了的人都回帖，那就回吧。可回啥呀

希望有更多的人也来找卡巴2009的bug

挪威的冬天

要实现自启动其实也挺方便的...

最简单的做法就是加自己到 startup

这是个很正常的做法 普通用户也几乎不会去查看

最多每次启动后删除在 startup/RunOnce 的 link

并且做个关机任务 把 link 再添加回 startup/RunOnce 里

这样更不易察觉 而这些也都是正常操作并且时间跨度可以做的很大...

hsly109

替换系统文件会报警

killerwhale

恩  差不多就是这个意思   尽力减少自己的动作
我仔细分析了这两天微点测试漏杀的病毒   发现真正意义上能过微点的就是今天的1-6     有兴趣的可以研究下  很好的样本   就是兼容性差了点  只能运行在XPsp3中

[ 本帖最后由 killerwhale 于 2008-7-27 00:52 编辑 ]

周勃

所以说特征码是永远不能放弃的。

ghsy_2007

标题太拉风了，哈哈，与王者的较量？王者？哈哈

huhensex

病毒不发作那还叫病毒吗　，就好像一个坏人不做坏事一样　，行为上是好人，你心里就是有犯罪动机，微点也不会杀你。这是主动防御的精华，类似的文章见过不少　，还是不能侵害系统。

csliss

精華在于白名單

ngh55

楼主要求回帖就回吧。
删除system32 内的文件、创建新的文件在一般的HIPS 中都是不允许的，如果规则中同时禁止创建新的VBS文件，这样用户同时装上有3D保护的HIPS ，LZ 所做的一切岂不是完全行不通。
TF 似乎也能定制文件保护规则吧？有了系统文件保护规则，用删除系统文件及更名的方法就失效了。
SSM 虽然没有文件保护，但常用的程序会列入允许，不常用的进程或敏感的进程一般会询问或禁止运行，企图用VBS  调用wscript.exe，SSM也能查觉并禁止。
不知在这种情况下还能用什么其它办法过点。