过微点的病毒的原理是什么？

阳光西骑士

过微点的病毒的原理是什么？微点既然是依赖病毒的行为判断。那么这么多年，应该积累了很多的病毒行为的判断，绝大部分病毒应该可以防住吧？
此类样本区的小病毒搞定应该没问题吧？想起来，几星期前我也实机测试了一个样本 （别喷我&……在样本区随便下的）开始时微点没反应，在微点进程中查看，程序在C盘windows目录创建几个数字的文件。貌似也修改了我的注册表，但是微点没报毒，很奇怪，我连续点了样本几次（更加别喷我……）依旧是创建了不同的文件……不过，大概5分钟之后，微点提示其为未知木马……难道微点反映有滞后性？

旭日东升

不是微点反应有滞后性，而是该病毒做微点认为有危害的行为有滞后性

laoxie1hao

楼主应该把这个过程截图说明！

阳光西骑士

回复 2楼 旭日东升  的帖子
都修改注册表了，生成c盘文件了

   

啊弥陀佛

呵呵，像楼主这样的样本，俺遇到太多了，并不新鲜哦。。。
例如，一个正常的软件安装它也会在磁盘上写文件并且写注册表，难道微点就要报这个安装程序为病毒吗？那是不可能的，因为这个本身就很正常的一个程序行为；所以不能说病毒写文件或者注册表微点就一定要报警为病毒。除非微点对生成的文件已经识别为已知病毒。
那病毒跟正常的软件安装程序他们的区别在哪里呢？
本人认为哦，应该是在写完文件或者注册表项之后的动作是否具有危害动作；如果有，微点则报警，反之，微点则不报，这看起来也是正常的吧。因为微点是根据程序行为来判断是否是病毒的。
就拿楼主所做的测试来说，过完5分钟后，微点才报警，有几个可能性：一是该样本是个时间病毒，只有运行几分钟后，才会具有病毒行为；其二是该样本需要被激活的条件还未被符合，所以没有病毒行为；等等其他情况。。。。
呵呵，如果个人理解有误，请指出，大家一起进步。

阳光西骑士

回复 5楼 啊弥陀佛  的帖子
好的 学习了

   

112112

回复 5楼 啊弥陀佛  的帖子
说的太好了 可惜没人气了呵呵

   

旭日东升

微点管的是有没有对系统产生破坏，并不是修改注册表，生成文件就报毒。过了5分钟试图产生破坏时微点是不是把前面生成的文件也一起删掉了？我想这就是所谓的微点不是单一动作报，而是已一系列有意义的行为报毒的机理吧

旭日东升

呵呵，还是佛兄说的到位，佩服！

cs305040184

这个！ 实在无人得知，但是楼主说过了一会儿微点才报，这可能是由于病毒在释放过程中没有危害的行为，而释放后才有了行为，所以微点报的才慢了，