自己制作"病毒"（一般只有微点报），大家讨论讨论

野马

原帖由 xfbb777 于 2007-1-24 19:57 发表
我测试了一下，的确报，而且选择阻止后系统文件还是被替换。

准备完毕,请8楼的告诉我哪里下载的或发到我邮箱:feilongf88@163.com

谢谢!!!

xfbb777

楼上的以发送，要备份原来的文件

ly250094040

不是吧

微点啊.........

不过话说回来

这么做虽然拙劣

但却是很好的保护方式

LZ怎么看?

ly250094040

好像这么做到也不见得是白名单的工作方式

只是把木马的行为特征更广义化了

这样的话

对未知木马和病毒确实十分有效

但应该会有很严重的误报才对啊

MS现在没人反映微点误报高....

看到8楼的结果

感到很疑虑.......

ly250094040

原帖由 navigateqd 于 2007-1-24 15:54 发表
如果真的是这样那么有人说的 微点是用白名单来排除正常软件其他一切向system文件夹写文件的程序都报木马  就可以十分的肯定了
                                                          ...

我想了下

应该不是这样的

可能有这种工作模型

但说成扩大了木马行为的定义或者说木马行为的广义化定位要更准确些

至于误报少的现象

可以再这个模型下加入很多具体内容来搞定



白名单一说应该是不成立的

有些软件就含捆绑的广告之类

但却可以截拦

ly250094040

个人认为这个是判断上BUG而不是技术拙劣

起点

原帖由 ly250094040 于 2007-1-24 22:42 发表



我想了下

应该不是这样的

可能有这种工作模型

但说成扩大了木马行为的定义或者说木马行为的广义化定位要更准确些

至于误报少的现象

可以再这个模型下加入很多具体内容来搞定


...

任何技术都有他好的一面,如果微点的白名单更新速度飞快也不失为一个好办法
所以说只是大家都来讨论讨论,上面8楼那个结果我有些疑惑,系统文件真的被替换了???
我看到的是说微点会报,当然,也就删了,如果连这都会替换不太可能

野马

刚刚试了自制"病毒"的问题

其实不用加壳,把system32里的重要文件比如.dll和.exe文件复制出来,用RAR做个自解压包,然后解压到原来的位置,
东方微点会报发现可疑程序,
如果选择阻止,随后会提示是否删除"病毒"(就是那个自解压)
如果选择不阻止,东方微点不会再提示
如果用手工替换文件则东方微点不会提示
对其他"不太重要的文件"执行以上操作,东方微点都不会提示(文件类型太多,没有全部试)

规则似乎是这样:
1.手工修改重要系统文件,不做提示,由用户自己决定
2.程序修改系统重要文件,先做可疑提示,如果用户允许修改,则不再提示,如果用户不允许修改则当做危害程序"病毒"来处理

可能不是很完善,但个人认为还是比较合理的.

ly250094040

[QUTOE]如果微点的白名单更新速度飞快也不失为一个好办法[/QUTOE]
这个我刚才想过,最后觉得它不可能

专家

那只能说明mp的规则不智能啊。。。