续: 搜狗被微点报木马事件说明 微点判断的没错, 这种行为就是病毒行

softkiller

.
作者：ooxxvsxxoo
[2010.03.02编辑]搜狗浏览器修改360安全卫士默认浏览器修改拦截弹框判断结果被微点报为木马

更新: 确认了下, 是搜狗的老版本, 具体是哪个忘记了, 不是sogou_explorer_silent_1.4.0.417_2136就是sogou_explorer_silent_1.4.0.416_2136.
搜狗的version可以从这里去看 http://config.ie.sogou.com/seversion.txt
现在已经变成418了. 估计是偷偷改掉了. tmp文件我还保留着, 再传一个.
http://u.115.com/file/f435ea0cbb~AF63.zip   提取码: f435ea0cbb

2010-02-28 04:01
当时闲来无聊发现搜狗被微点报就分析了当时的环境, 费劲录了视频和截图, 这几天在卡饭上瞎转悠的时候发现帖子被转到卡饭上去了, 还有几个质疑的回复. 小弟虽然不是啥有头有脸的人物, 但骗人的事情决不会做的, 当时分析的时间是 2009年12月18日, 那时候的搜狗还是一个静默安装的1.4正式版版本, 不是现在所谓的什么预览版, 我可以试着找找看当时有没有备份那个安装包, 记得好像是 416 之类的版本, 现在去搜狗下到的 1.4正式版都是418 版本, 所以有没有这个问题我不清楚。

如果光改框的话是不会报的, 问题是搜狗竟然篡改了系统程序的执行. GetThreadContext WriteProcessMemory 这个是02年左右出来的猥琐流, 网上一搜一大片...
就相当于 把notepad 载入内存执行后 然后又修改了 notepad 这个程序在内存中的执行顺序 ,让其先执行自己的代码, 微点判断的没错, 这种行为就是病毒行为...
从被微点报木马之后就没用过搜狗的, 傲游3倒是不错, 推荐大家试试看 呵呵, 那个帖子里面贴的tmp文件我还保留着, 有人想要的话我找个地方传着, 原来找的那个网络硬盘过期了, 视屏清晰版本的也有, 土豆不让传那么清晰的...另外, 我一直没有卡饭帐号, 麻烦转帖的兄弟帮着把这个声明也转过去吧, 不想被大家认为是骗子... 要相关证据的可以给我留言...
另外: 回复下卡饭上的质疑贴: 咱不是啥名人, 但还没必要为这点事撒谎.

.

白羊座

什么是病毒行为，什么是流氓行为，杀软往系统里加文件过滤驱动是不是流氓行为，往SSDT上hook算不算流氓行为，微点往inline里hook算不算流氓行为，搜狗的做法虽然有不正当竞争的嫌疑，但是没有对用户造成正真的损失，反倒是微点的inline hook稳定性一直不佳，蓝屏的不少，如果要这么说，微点倒是有病毒行为
另外WriteProcessMemory 是腾讯的惯用伎俩，如果微点真的刚直不阿，那就有本事报一下腾讯QQ吧

frankhe

微点还是好的。很好用的软件。大家应该支持他哦

eddysu

我是很相信微点的，哈哈。。主防。。

红烧大馋豆

抱歉，此话题极易引起不必要的口水，故关闭
感谢楼主的理解和配合