查看: 4028|回复: 15
收起左侧

[微点] 转一个好帖,来自微点论坛

[复制链接]
kangbingzhen
发表于 2007-4-8 17:51:05 | 显示全部楼层 |阅读模式
barth
发表于 2007-4-8 18:01:25 | 显示全部楼层
#1  瑞星、微点……进程保护谁最强?

最近看到有一些用户说,微点可以轻易给冰刃杀掉进程(《mp自我保护也不是那么的强啊!》http://bbs.micropoint.com.cn/showthread.asp?tid=5565&fpage=1),冰刃是何方神圣了,不敢相信,眼见为实,下载了冰刃,对费尔防火墙、瑞星、微点等做了一个进程保护测试。
测试环境:windows xp  sp2
冰刃  1.20
瑞星杀毒2007  19.06.20
瑞星防火墙2007  19.06.10
费尔防火墙V7  2007/01/01 日发布版本
微点主动防御软件【测试版  程序版本: 1.2.10564特征版本: 1.4.199.070116更新时间: 2007-01-17 08:46:53】
(瑞星、江民、金山2007正版的杀毒软件我都买了,江民2007有一段时间没装(漏洞多,不稳定,不想用了)、金山2007只在家里有装,所以暂时不对江民、金山的进程保护做测试,有兴趣的人可帮我补上)

     测试中发现用冰刃确实可以轻松把微点的几个进程逐一杀掉。瑞星防火墙的进程保护做得最好,我之前用微点对它进行过测试,跟用冰刃的测试结果一样:就是杀掉rfwmain.exe、.rfwsrv.exe进程,又会自动重新生成一个,无法把瑞星防火墙进程杀死(看来有金刚不败之身^_^,我暂时还找不到能彻底杀死瑞星防火墙的程序)。但不知道为什么,瑞星没把这个技术应用到瑞星杀毒的实时监控里,用冰刃能杀掉瑞星实时监控进程。
      费尔防火墙的进程保护做得很差,我用金山毒霸系统清理专家就可轻易杀掉它的进程,更不用说什么冰刃、火刃之类。
      微点是驱动级(系统核心层)的安全软件,以服务形式启动,所以权限大,但进程却给冰刃这个只有大约700KB的小程序干掉,让人有老猫烧须的感觉。看了冰刃的帮助文档,说“IceSword使用大量新颖的内核技术”,无须什么驱动编程、重新启动就可把微点这个巨无霸砍下。我觉得微点的研发人员应该把冰刃的工作原理剖析一下。既然冰刃可以杀掉微点的进程,其他一些病毒也可以应用冰刃的原理先把微点干掉,然后再破坏系统。
     通过这次简单的测试,我觉得微点的行为判断还是有不少漏洞,微点的帮助文档有这样的文字:“分布在操作系统的众多探针,动态监视所运行程序调用各种应用编程接口(API)的动作,自动分析程序动作之间的逻辑关系,自动判定程序行为的合法性”。用冰刃杀微点的进程,就相当于把微点的探针干掉,而杀微点其中任何一个进程,应该是属于危险行为了,可是微点程序均没有拦、没报警,任人宰割,似乎各大探针的互动性做得不太好了。我想,微点应该做些改进:
     借鉴瑞星防火墙的做法,发现有程序杀微点进程,允许它杀,但杀完之后,又马上自动重新加载;加强各大探针之间的联动,任何一个探针给杀掉,就应该试图修复,不能修复的向用户报警。杀掉微点一两个进程,微点在任务栏的图标是不会消失的(若杀了mpmon.exe进程,微点任务栏图标的小球会立即停止转动,监控图标随之消失。除了这个进程,逐一杀微点其他进程,那个小球都会一直在转,但已经如同虚设了。),而这足可以影响微点的监控能力了,图标不退出,用户是不会发觉有异常的,病毒可能会为所欲为了。另外,微点要是全部进程给干掉,想重新打开微点是不可能的,必须重新启动,而瑞星就算你把它所有进程都杀光,还可以重新打开实时监控。
jpzy
发表于 2007-4-8 18:10:13 | 显示全部楼层
嗯~~杀软里面自我保护做的比较好的是NOD了!自我保护是个新鲜的话题啊!!
228879547
发表于 2007-4-8 18:27:32 | 显示全部楼层
相关报道最好去微点的论坛看看 就是那个链接····      看了半天 跟贴比较多··要,慢慢看····  [:15:]
228879547
发表于 2007-4-8 18:31:39 | 显示全部楼层
        刚刚看了看 原来后面还有很多内容·· ···   佩服佩服
不要只看2楼的报道···要详细了解 原帖后面还有很多 超版和作者的讨论···     
  好激烈噢····好帖
a393310872
发表于 2007-4-8 19:41:00 | 显示全部楼层
要冰刃干什么?任务管理器就行了.那贴的楼主以自我为中心.

换位思考.假如你是黑客你怎么把微点关掉?.呵呵
chow2006
发表于 2007-4-8 20:58:45 | 显示全部楼层
费尔防火墙V7 ?
闪电战
发表于 2007-4-8 22:01:35 | 显示全部楼层
那个进程被结束后自动重启实在没什么,在服务里面可以设置的
linovo
发表于 2007-4-9 07:58:56 | 显示全部楼层
原帖由 chow2006 于 2007-4-8 20:58 发表
费尔防火墙V7 ?

,很抱歉,我打错了 ,谢谢你的提醒。之所以犯错,主要是【费尔托斯特安全V7】这个名字起的有点拗口,希望老朱不要责怪

[ 本帖最后由 linovo 于 2007-4-9 08:09 编辑 ]
zhanyuan
发表于 2007-4-10 05:59:33 | 显示全部楼层
e ,俺前几天装了个微点,俺可能太笨了,看界面找了好长时间找不到扫描,2分中后,,就卸载了,感觉那个有点麻烦,估计我太笨了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-26 22:13 , Processed in 0.130094 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表