微点主动防御软件测试[07月测试][更新至10.07.30检测率[92.00%]

xiaobangdelei

今天的测试还没有出？

啊弥陀佛

18号微点主防不报的一个简单分析


88ed4479 (1).exe运行后，有衍生物，并在桌面创建“淘宝网”"在线小游戏"等快捷方式，微点不报。
88ed4479 (2).exe运行后，立即退出，未联网，创建衍生物、无修改注册表，微点报衍生物可疑木马程序。
88ed4479 (18).exe运行后，立即退出，未联网，无创建衍生物、无修改注册表，微点不报
88ed4479 (20).exe运行后，长时间驻留内存，无创建衍生物，无联网，无修改注册表；系统重新启动也未被调用起来，微点不报
88ed4479 (25).exe无法运行
88ed4479 (26).exe运行后，立即退出，未联网，无创建衍生物、无修改注册表，微点不报
88ed4479 (29).exe运行后，立即退出，联网，创建衍生物、无修改注册表，微点不报
88ed4479 (40).exe运行后，立即退出，无联网，创建衍生物、修改注册表，微点不报
88ed4479 (44).exe运行后，创建10个svchosty.exe，并联网，无修改注册表，微点不报
88ed4479 (45).exe运行后，创建10个88ED4479.exe，并联网，无修改注册表，微点不报
88ed4479 (47).exe运行后，立即退出，联网，创建衍生物、修改注册表，微点不报
88ed4479 (48).exe运行后，立即退出，联网，创建衍生物、修改注册表，微点不报

leisong

回复 62楼 啊弥陀佛  的帖子

确实存在不少没有任何动作就退出的样本，甚至还存在正常软件滥竽充数的
楼主应该剔除这些样本算一个拦截率，当然仍然保留总体拦截率
就是说主防应该算2个拦截率供大家参考，因为你是非正式测试，所以形式应该自由一些，那些全无动作的样本本来就不应该测主防

不过微点对一些动作小的样本确实是不拦的，我估计真实拦截率在80%-90%之间
   

leisong

20100717-2-1.exe运行后发现是世界之窗浏览器，无衍生物，微点不报

20100717-2-5.exe运行后一直对外连接，大约8分钟左右，退出联网，系统蓝屏

20100717-2-8.exe运行后在桌面生成淘宝网等快捷图标，有衍生物，但衍生物并未被调用起来，微点不报
20100717-2-9.exe运行后在桌面生成几个ie的快捷方式，并安装快快捷程序，微点不报
20100717-2-10运行后弹出请到幽冥者下载最新程序，应该也是一个游戏外挂程序，不过点击确定升级后，网站上不去，估计是被封了，微点不报

20100717-3-4.exe运行后即刻退出，无衍生物，无联网，微点不报
20100717-3-6.exe运行后弹出好压卸载程序，无联网，无衍生物，微点不报
20100717-3-7.exe运行后即刻退出，无联网，无衍生物，微点不报
啊弥陀佛 发表于 2010.7.17 23:01

17号的无效样本及滥竽充数的样本的确是最多的，以上这些我证实确实如此，有死链样本、有快快捷、有好压卸载程序且点取消后无动作退出，是正常程序，还有提示外挂过期升级的等等无病毒动作的程序

这些样本的大量存在严重歪曲微点的正常拦截率，楼主应该果断剔除完全无效的样本，设2个拦截率供大家参考
我测360主防是果断剔除那些全无动作的样本的，非正式测试嘛，信者恒信，不信者恒不信
另外，测试主防比特征码扫描辛苦得太多了，每天坚持下来真的不容易，不过主防测试应当应当适当改革了，测试区云扫描还改革呢，规则是死的，但人是活的，测试本就应当反应真实状况，像卡饭的无效样本太多了，每天都有不少

我只是建议，看你这么辛苦每天测主防，却不反应真实状况，有点对不起你自己的辛苦，仅此而已

wuyehuijin

过来支持一下

啊弥陀佛

19号微点主防不报的一个简单分析

夹克719-1-1.exe运行后，有衍生物，并弹出“在线电影电视”网站，并在桌面创建“在线电影电视”快捷方式，微点不报。
夹克719-1-6.exe运行后，有衍生物，弹出软件在线升级程序，微点不报。
夹克719-1-10.exe运行后，跳出一个DOS窗口，关闭DOS窗口后，该进程立即退出，无衍生物，无联网，微点不报。
夹克719-1-14.exe运行后，立即退出，弹出一个IE网站，未联网，无创建衍生物、未修改注册表，微点不报
夹克719-2-1.exe运行后，联网，弹出在线游戏网站，无创建衍生物、未修改注册表，微点不报。
夹克719-2-8.exe运行后，弹出快播安装界面，创建衍生物、未修改注册表，未联网，微点不报。
夹克719-2-9.exe运行后，立即退出，未联网，无创建衍生物、未修改注册表，微点不报
夹克719-2-13.exe运行后，立即退出，未联网，无创建衍生物、未修改注册表，微点不报
夹克719-2-14.exe运行后，弹出软件安装向导，关闭向导立即退出，创建衍生物、未修改注册表，微点不报

夹克719-3-2.exe运行后，立即退出，弹出一个IE网站，未联网，创建衍生物，未修改注册表，并在桌面创建“在线电影”快捷方式，微点不报
夹克719-3-9.exe运行后，立即退出，未联网，无创建衍生物、未修改注册表，微点不报
夹克719-3-11.exe运行后，立即退出，未联网，无创建衍生物、未修改注册表，微点不报
夹克719-3-12.exe运行后，程序出错自动退出，联网，无创建衍生物、未修改注册表，微点不报

红烧大馋豆

回复 66楼 啊弥陀佛  的帖子

今天我有N多样本你报了我不报。。。基本都是CF外挂，难道你系统里有CF？所以才报？

红烧大馋豆

回复 64楼 leisong  的帖子

说实话，卡饭每天测试主防未报的样本，很多都是下载器（自动下载正常软件）或者是外挂或者是流氓类（修改注册表自启动、修改主页、增加桌面快捷方式等），对于电脑基本属于无害类程序~
呵呵，测试嘛，参考而已，这也正是提醒微点，对于此类小动作的程序需要加强防范，毕竟流氓类软件虽然无害，但是看着也是心烦的~

啊弥陀佛

回复

今天我有N多样本你报了我不报。。。基本都是CF外挂，难道你系统里有CF？所以才报？
红烧大馋豆 发表于 2010.7.19 22:34

呵呵，主要还是要看病毒先做那个危害动作了

啊弥陀佛

回复 64楼 leisong  的帖子

因为微点的工作原理和杀毒软件不同，而且测试的环境不一样会造成测试结果不同，我的测试环境相对干净，所以有的时候测试没有动作的并不一定是有问题的样本，有可能是运行环境不够，这样就不好判定样本是否无效