自己杜撰的微点主动防御软件防御流程（仅仅是娱乐用）

显示全部楼层 · 发表于 2009-12-19 19:50:15

本帖最后由 angir 于 2009-12-19 20:03 编辑

RT，昨天晚上没有作业，3节自习课发呆2节半

由于空闲的厉害，所以无聊中就自己好好回忆了一下再样本区微点的表现，再结合卡饭高手以前合理的猜测，我终于大概推理出微点主动防御软件的监控流程了
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------

第一种可能：程序运行--特征扫描（本地特征+常规特征），不过此时特征扫描还没有脱壳的能力，所以可能会扫描不到--特征报警（如Trojan-PSW.Win32.WOW.qpz）

第二种可能：程序运行--特征扫描（本地特征+常规特征），不过此时特征扫描还没有脱壳的能力，所以可能会扫描不到--程序运行后自动脱壳了--核对白名单（hash+特征）--以可识别程序组/可信程序组运行--行为分析主动防御

第三种可能：程序运行--特征扫描（本地特征+常规特征），不过此时特征扫描还没有脱壳的能力，所以可能会扫描不到--程序运行后自动脱壳了--核对白名单（hash+特征）--第二次特征扫描（本地特征+常规特征），这时候的特征扫描因为文件在运行中已经自动脱壳了，所以扫描的是程序源代码--特征报警（如Trojan-PSW.Win32.WOW.qpz）

第四种可能：程序运行--特征扫描（本地特征+常规特征），不过此时特征扫描还没有脱壳的能力，所以可能会扫描不到--程序运行后自动脱壳了--核对白名单（hash+特征）--第二次特征扫描（本地特征+常规特征），这时候的特征扫描因为文件在运行中已经自动脱壳了，所以扫描的是程序源代码--以其他程序组运行--行为分析主动防御

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------

大概的流程就是这样。
希望各位大大积极努力的敲我，鸡蛋，鲜花，随你便~

显示全部楼层 · 发表于 2009-12-19 20:05:10

自己沙发……

显示全部楼层 · 发表于 2009-12-19 20:08:35

那我坐沙发底下好了

显示全部楼层 · 发表于 2009-12-19 20:56:06

BS 楼主自沙发给我个沙发垫

显示全部楼层 · 发表于 2009-12-19 22:10:34

[:26:]额,来晚了,板凳占一个.

显示全部楼层 · 发表于 2009-12-19 22:20:15

哈哈，你可真逗，3节自己发呆两节半。。。。。

显示全部楼层 · 发表于 2009-12-20 09:13:01

楼主学习不认真啊[:27:]

显示全部楼层 · 发表于 2009-12-20 09:16:10

皆有可能，顶楼主

显示全部楼层 · 发表于 2009-12-20 11:28:43

不是学习不认真……
元旦晚会彩排，我们班几乎走光了（此走光非彼走光），剩下几十个人，面面相觑……
不发呆怎么打发时间哦……

显示全部楼层 · 发表于 2009-12-20 11:59:21

不会扫两遍吧，扫两遍太慢了，如果脱不了壳就带壳入库

[微点] 自己杜撰的微点主动防御软件防御流程（仅仅是娱乐用）