讲讲什么是进程模拟。

jzty2

进程模拟测层次和甄别能力也很关键，不过本人认为如果有毛豆这个功能多余，还是家庭版+毛豆比较安全

jpzy

这是官方的说法还是LZ的揣测？
看语言组织不像是官方说辞。并且这个“分布在系统各部分的众多探针……”，原来微点刚出来的时候就有人这样描述过微点。
什么叫分布在系统各部分的探针？？到现在我也没搞明白这一点

jzty2

关于探针，他有很多功能。
1、计算机环境探测：CPU、在线时间、内存使用状况、系统平均负载探测，操作系统、服务器域名、IP地址、解释引擎等
2、探针专项功能的基本特征探测：版本、运行方式、安全模式及常规参数
3、探针专项功能的组件支持探测：如php探针侦测项目为MYSQL、GD、XML、SESSION、SOCKET等组件支持情况
4、服务器性能检测：整数运算能力、浮点数运算能力、数据IO能力
5、其他（因为探针专项功能不容以上就是不过是一个探针的模型）
总体来看探针其实就是反映系统和硬件状态的程序。

[ 本帖最后由 jzty2 于 2009-10-29 10:25 编辑 ]

Evighet

只想知道这是官方的说法么？MS没看到官方表态～

jpzy

为什么叫探针？
貌似没见过其它安软这么叫啊？
采用的是什么技术？在哪一层实现的？

我只知道hook，很少听说探针。更加不知道原来探针这么有用~~~

jzty2

下面是一个asp探针程序例子，别人写的现成的东西哦，自己读吧，黑客常用的东西，探针就是探测的针而已。补充说明探针很重要哦，杀软没有探针他如何侦测系统动向关于层次，就要看编写人对系统认知程度，我见过有人写出来根据2位机器码写的探针，太强大了。
<%@ Language="VBScript" %>
<% Option Explicit %>
<%
'不使用输出缓冲区，直接将运行结果显示在客户端
Response.Buffer = False

'声明待检测数组
Dim ObjTotest(26,4)

ObjTotest(0,0) = "MSWC.AdRotator"
ObjTotest(1,0) = "MSWC.BrowserType"
ObjTotest(2,0) = "MSWC.NextLink"
ObjTotest(3,0) = "MSWC.Tools"
ObjTotest(4,0) = "MSWC.Status"
ObjTotest(5,0) = "MSWC.Counters"
ObjTotest(6,0) = "IISSample.ContentRotator"
ObjTotest(7,0) = "IISSample.PageCounter"
ObjTotest(8,0) = "MSWC.PermissionChecker"
ObjTotest(9,0) = "Scripting.FileSystemObject"
ObjTotest(9,1) = "(FSO 文本文件读写)"
ObjTotest(10,0) = "adodb.connection"
ObjTotest(10,1) = "(ADO 数据对象)"

ObjTotest(11,0) = "SoftArtisans.FileUp"
ObjTotest(11,1) = "(SA-FileUp 文件上传)"
ObjTotest(12,0) = "SoftArtisans.FileManager"
ObjTotest(12,1) = "(SoftArtisans 文件管理)"
ObjTotest(13,0) = "LyfUpload.UploadFile"
ObjTotest(13,1) = "(文件上传组件)"
ObjTotest(14,0) = "Persits.Upload.1"
ObjTotest(14,1) = "(ASPUpload 文件上传)"
ObjTotest(15,0) = "w3.upload"
ObjTotest(15,1) = "(Dimac 文件上传)"

ObjTotest(16,0) = "JMail.SmtpMail"
ObjTotest(16,1) = "(Dimac JMail 邮件收发) <a href='http://www.5757.net'>中文手册下载</a>"
ObjTotest(17,0) = "CDONTS.NewMail"
ObjTotest(17,1) = "(虚拟 SMTP 发信)"
ObjTotest(18,0) = "Persits.MailSender"
ObjTotest(18,1) = "(ASPemail 发信)"
ObjTotest(19,0) = "SMTPsvg.Mailer"
ObjTotest(19,1) = "(ASPmail 发信)"
ObjTotest(20,0) = "DkQmail.Qmail"
ObjTotest(20,1) = "(dkQmail 发信)"
ObjTotest(21,0) = "Geocel.Mailer"
ObjTotest(21,1) = "(Geocel 发信)"
ObjTotest(22,0) = "IISmail.Iismail.1"
ObjTotest(22,1) = "(IISmail 发信)"
ObjTotest(23,0) = "SmtpMail.SmtpMail.1"
ObjTotest(23,1) = "(SmtpMail 发信)"

ObjTotest(24,0) = "SoftArtisans.ImageGen"
ObjTotest(24,1) = "(SA 的图像读写组件)"
ObjTotest(25,0) = "W3Image.Image"
ObjTotest(25,1) = "(Dimac 的图像读写组件)"

public IsObj,VerObj

'检查预查组件支持情况及版本

dim i
for i=0 to 25
on error resume next
IsObj=false
VerObj=""
dim TestObj
set TestObj=server.CreateObject(ObjTotest(i,0))
If -2147221005 <> Err then  
   IsObj = True
   VerObj = TestObj.version
   if VerObj="" or isnull(VerObj) then VerObj=TestObj.about
end if
ObjTotest(i,2)=IsObj
ObjTotest(i,3)=VerObj
next

'检查组件是否被支持及组件版本的子程序
sub ObjTest(strObj)
on error resume next
IsObj=false
VerObj=""
dim TestObj
set TestObj=server.CreateObject (strObj)
If -2147221005 <> Err then  
   IsObj = True
   VerObj = TestObj.version
   if VerObj="" or isnull(VerObj) then VerObj=TestObj.about
end if
End sub
%>
<HTML>
<HEAD>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<link href="css/style.css" rel="stylesheet" type="text/css">
<TITLE>ASP探针</TITLE>
<style type="text/css">
<!--
a   { font:normal 12px 宋体; color:#000000 ; text-decoration:none; }
a:hover   { text-decoration:underline; }

body
{
     FONT-SIZE: 12px;
     COLOR: #000000;
     FONT-FAMILY: 宋体;
     background-color: #f1f1f1;
}
TD{
font-family:宋体; font-size: 12px; line-height: 15px;
}
td.forumHeaderBackgroundAlternate
{
     background-color: #799AE1;
color:#FFFFFF
}
#TableTitleLink A:link, #TableTitleLink A:visited, #TableTitleLink A:active {
COLOR: #FFFFFF;
TEXT-DECORATION: none;
}
#TableTitleLink A:hover {
COLOR: #FFFFFF;
TEXT-DECORATION: underline;}
td.forumRow
{
     background-color:#DEE5FA;
}

td.forumRowHighlight
{
     background-color: #dfdfdf;
}
.tableBorder
{
     border: 1px #5d5d5d solid;
     background-color: #FFFFFF;
}
th
{
     background-image: url(skin/default/admin_bg_1.gif);
     background-color: #799AE1;
     color: white;
     font-size: 12px;
     font-weight:bold;
}
input,select,Textarea{
font-family:Tahoma,Verdana,宋体; font-size: 12px; line-height: 15px;}
}
-->
</style>
</HEAD>
<BODY>

<table   cellpadding="3" cellspacing="1" border="0" width="100%" class="tableBorder" align=center>
<th height=25>服务器的有关参数</th>
   <tr>
     <td class="forumRowHighlight" >
       <div align="center"> <p><font class=fonts></font> </p>
         <table border="1" cellpadding="0" cellspacing="0" style="border-collapse: collapse" bordercolor="#6B8FC8" width="500">
           <tr class=backs height=18>
             <td align=left > 　服务器名</td>
             <td>　<%=Request.ServerVariables("SERVER_NAME")%></td>
           </tr>
           <tr class=backs height=18>
             <td align=left>　服务器IP</td>
            
             <td>　<%=Request.ServerVariables("LOCAL_ADDR")%></td>
          </tr>
          <tr class=backs height=18>
             <td align=left>　服务器端口</td>
             <td>　<%=Request.ServerVariables("SERVER_PORT")%></td>
          </tr>
          <tr class=backs height=18>
             <td align=left>　服务器时间</td>
             <td>　<%=now%></td>
          </tr>
          <tr class=backs height=18>
             <td align=left>　IIS版本</td>
             <td>　<%=Request.ServerVariables("SERVER_SOFTWARE")%></td>
          </tr>
          <tr class=backs height=18>
             <td align=left>　脚本超时时间</td>
             <td>　<%=Server.ScriptTimeout%> 秒</td>
          </tr>
          <tr class=backs height=18>
             <td align=left>　本文件路径</td>
             <td>　<%=server.mappath(Request.ServerVariables("SCRIPT_NAME"))%></td>
         </tr>
         <tr class=backs height=18>
             <td align=left>　服务器CPU数量</td>
             <td>　<%=Request.ServerVariables("NUMBER_OF_PROCESSORS")%> 个</td>
        </tr>
        <tr class=backs height=18>
             <td align=left>　服务器解译引擎</td>
             <td>　<%=ScriptEngine & "/"& ScriptEngineMajorVersion &"."&ScriptEngineMinorVersion&"."& ScriptEngineBuildVersion %></td>
       </tr>
       <tr class=backs height=18>
             <td align=left>　服务器操作系统</td>
             <td>　<%=Request.ServerVariables("OS")%></td>
       </tr>
</table><br><font class=fonts>组件支持情况</font>
         <%
Dim strClass
strClass = Trim(Request.Form("classname"))
If "" <> strClass then
Response.Write "<br>您指定的组件的检查结果："
ObjTest(strClass)
    If Not IsObj then
   Response.Write "<br><font color=red>很遗憾，该服务器不支持 " & strclass & " 组件！</font>"
    Else
   Response.Write "<br><font class=fonts>恭喜！该服务器支持 " & strclass & " 组件。该组件版本是：" & VerObj & "</font>"
    End If
    Response.Write "<br>"
end if
%>
         <br>
         ■ IIS自带的ASP组件
         <table border="1" cellpadding="0" cellspacing="0" style="border-collapse: collapse" bordercolor="#6B8FC8" width="500">
           <tr height=18 class=backs align=center>
             <td width=320>组 件 名 称</td>
             <td width=130>支持及版本</td>
           </tr>
           <%For i=0 to 10%>
           <tr height="18" class=backq>
             <td align=left>　<%=ObjTotest(i,0) & "<font color=#888888>" & ObjTotest(i,1)%></td>
             <td align=center>
               <%
   If Not ObjTotest(i,2) Then
    Response.Write "<font color=red><b>×</b></font>"
   Else
    Response.Write "<font class=fonts><b>√</b></font> <a title='" & ObjTotest(i,3) & "'>" & left(ObjTotest(i,3),11) & "</a>"
   End If%>
             </td>
           </tr>
           <%next%>
         </table>
         <br>
         ■ 常见的文件上传和管理组件
         <table border="1" cellpadding="0" cellspacing="0" style="border-collapse: collapse" bordercolor="#6B8FC8" width="500">
           <tr height=18 class=backs align=center>
             <td width=320>组 件 名 称</td>
             <td width=130>支持及版本</td>
           </tr>
           <%For i=11 to 15%>
           <tr height="18" class=backq>
             <td align=left>　<%=ObjTotest(i,0) & "<font color=#888888>" & ObjTotest(i,1)%></td>
             <td align=center>
               <%
   If Not ObjTotest(i,2) Then
    Response.Write "<font color=red><b>×</b></font>"
   Else
    Response.Write "<font class=fonts><b>√</b></font> <a title='" & ObjTotest(i,3) & "'>" & left(ObjTotest(i,3),11) & "</a>"
   End If%>
             </td>
           </tr>
           <%next%>
         </table>
         <br>
         ■ 常见的收发邮件组件
         <table border="1" cellpadding="0" cellspacing="0" style="border-collapse: collapse" bordercolor="#6B8FC8" width="500">
           <tr height=18 class=backs align=center>
             <td width=320>组 件 名 称</td>
             <td width=130>支持及版本</td>
           </tr>
           <%For i=16 to 23%>
           <tr height="18" class=backq>
             <td align=left>　<%=ObjTotest(i,0) & "<font color=#888888>" & ObjTotest(i,1)%></td>
             <td align=center>
               <%
   If Not ObjTotest(i,2) Then
    Response.Write "<font color=red><b>×</b></font>"
   Else
    Response.Write "<font class=fonts><b>√</b></font> <a title='" & ObjTotest(i,3) & "'>" & left(ObjTotest(i,3),11) & "</a>"
   End If%>
             </td>
           </tr>
           <%next%>
         </table>
         <br>
         ■ 图像处理组件
         <table border="1" cellpadding="0" cellspacing="0" style="border-collapse: collapse" bordercolor="#6B8FC8" width="500">
           <tr height=18 class=backs align=center>
             <td width=320 height="18">组 件 名 称</td>
             <td width=130 height="18">支持及版本</td>
           </tr>
           <%For i=24 to 25%>
           <tr height="18" class=backq>
             <td align=left>　<%=ObjTotest(i,0) & "<font color=#888888>" & ObjTotest(i,1)%></td>
             <td height="18" align=center> 　
               <%
   If Not ObjTotest(i,2) Then
    Response.Write "<font color=red><b>×</b></font>"
   Else
    Response.Write "<font class=fonts><b>√</b></font> <a title='" & ObjTotest(i,3) & "'>" & left(ObjTotest(i,3),11) & "</a>"
   End If%>
             </td>
           </tr>
           <%next%>
         </table>
         <br>
         <font color="#000000" class=fonts>其他组件支持情况检测</font><br>
         在下面的输入框中输入你要检测的组件的ProgId或ClassId。
         <table border="1" cellpadding="0" cellspacing="0" style="border-collapse: collapse" bordercolor="#6B8FC8" width="500">
           <form action=<%=Request.ServerVariables("SCRIPT_NAME")%> method=post id=form1 name=form1>
             <tr height="18" class=backq>
               <td align=center height=30>
                 <input class=input type=text value="" name="classname" size=40>
                 <input type=submit value=" 确 定 " class=backc id=submit1 name=submit1>
                 <input type=reset value=" 重 填 " class=backc id=reset1 name=reset1>
               </td>
             </tr>
           </form>
         </table>
         <br>
         <font class=fonts>ASP脚本解释和运算速度测试</font><br>
         我们让服务器执行50万次“1＋1”的计算，记录其所使用的时间。
         <table class=backq border="1" cellpadding="0" cellspacing="0" style="border-collapse: collapse" bordercolor="#6B8FC8" width="499">
           <tr height=18 class=backs align=center>
             <td width=351>服务器</td>
             <td width=142>完成时间</td>
           </tr>
           <tr height=18>
             <td align=left width="351">兽性大发网络虚拟主机（2004-08-06 9:29）</td>
             <td width="142">　290.9 毫秒</td>
           </tr>
           <form action="<%=Request.ServerVariables("SCRIPT_NAME")%>" method=post>
             <%


'因为只进行50万次计算，所以去掉了是否检测的选项而直接检测

dim t1,t2,lsabc,thetime
t1=timer
for i=1 to 500000
   lsabc= 1 + 1
next
t2=timer

thetime=cstr(int(( (t2-t1)*10000 )+0.5)/10)
%>
             <tr height=18>
               <td align=left width="351"><font color=red>您正在使用的这台服务器</font></td>
               <td width="142"><font color=red> 　<%=thetime%> 毫秒</font></td>
             </tr>
           </form>
         </table>
         <p></p>
       </div>
     </td>
   </tr>
</table>
</BODY>
</HTML>

[ 本帖最后由 jzty2 于 2009-10-30 01:26 编辑 ]

hddgmon

俺只想知道你们讨论这么多是有感于官方发布的文档，还是自说自话？

jpzy

汗~~~兄弟~~~~
虽然我不懂ASP，但是凭我的三脚猫编程经验，你这个代码跟安软的监控和行为监控完全不搭界。
安软实现特征码监控主要是监控文件的操作，读，写，修改~~~当系统中的进程对某文件进行读写操作的时候，安软的监控首先对这个文件进行特征码比对，然后才载入内存进行操作。

安软实现行为监控利用的是HOOK相关函数（这个不叫探针），利用挂钩这些系统的函数来监控程序的行为。

你给的这个程序只是获取服务器相关信息的。我个人理解，这个类似于在远程运行Everest工具来获取相关信息，比如地址，端口，运行速度等。这个跟安软完全不一样~~~

jpzy

肯定不是官方文档。看来是这位兄弟自己揣测的结论

浪中游

顶一下