实测微点主防 2.0搭配360安全卫士 不会引起漏毒！已更新最新截图（召唤 MJ 进来科普）

derrick_goi

fzq198776 发表于 2011-4-24 08:58
MJ，这话可要负责，我可是转到 微点区 去了

另外 NIS2011的 sonar 每次拦截都是在 360 主防之前 ...

总要把sonar 拿出来刺激下他

leisong

回复 47楼 Tron 的帖子

你发100个蓝屏的都没用，点FANS对蓝屏有无限的忍受力，哪怕引起冲突系统进不去都是可以忍受的 ，他们认为只要主防好就行（哪怕实机多步分析在针对性攻击面前啥都拦不住，要的是看上去很美的那种效果），蓝屏神马的不是过微点，没看见那里一排边蓝屏问题么，再多几个又无所谓
以前他们对过微点的样本很敏感，现在即使再多都习惯了，集体以一句话自我麻醉：微点不防流氓，样本无行为。。。
和内核漏洞问题一样，有人2年前过微点的代码现在还是过微点2.0，2年后如果它还健在，一样还是照过，多年都毫无长进，拿以前都东西整合一下换个皮肤糊弄群众，对老东家缺点完美继承，相反他的老东家却还算有点长进
这种漏洞，360  2个小时或许都不要就解决了

PS：点饭们不要怪我说话太直，360如果这样的话，我一样照说不误，不会顾虑啥啥啥的，不就一个虚拟论坛么，有根有据的实话不能说了。话说这世界找不到比点饭们更体贴的FANS了我说的每个字都是大实话，有木有？有木有你们心里其实清楚的

arsh

lZ有些太自信了，我测试4.23，有一个样本通过了微点和360杀毒，同时也通过360网盾，那个样本是安装世界之窗捆绑恶意软件

leisong

回复 53楼 arsh 的帖子

世界之窗捆绑的恶意软件我天天有测到，是可以拦的，详见我测试帖，我测试帖有样本编号，有日志，你改用卫士最新测试版试试就知道了，杀毒带的主防我不清楚，可能版本号和主防能力弱一丁点
为什么单项拦截才能有效拦截各种威胁，你测多一点就明白了。在捆绑多个恶意软件，单项拦截都不放过的，而同时又不影响正常程序的安装和运行

derrick_goi

回复 54楼 leisong 的帖子

顺便想征求你的意见。对于感染型病毒可以破坏360 的文件，有什么方法可以预防，前阵子我有发帖  http://bbs.kafan.cn/thread-960308-1-1.html

病毒直接破坏了360文件，主防当然也完蛋了， fzq198776 同学有说很多主防拦截不了感染型病毒

polythene

回复 48楼 Tron 的帖子

求交往！不惜一切代价！

ismyway

俺安装完微点1.x重启就蓝屏放弃了

leisong

回复 55楼 derrick_goi 的帖子

我记得我测过，360主防可以拦截对系统文件以及对360自身的感染和破坏
那个是在关闭360的情况下不慎运行的吧，如果真的开着360，自身被感染，那就是穿透了

对于全盘感染，以及前一阵出现的全盘格式化和删除，智能主防无解，智能主防权衡易用和安全的平衡点只能确保系统，目前这种纯破坏2B行为不会广泛流传的情况下，360恐怕不会考虑防御第三方软件被感染，因为阻止修改/删除非系统盘一切可执行程序可能严重影响易用性

不但智能HIPS无解，纯HIPS很纠结很难防御，例如之前的那个全盘删除样本，过毛豆一切现有规则，后来豆油们说把非系统盘拉入受保护组可以防御，纯属搞笑和YY。

如果你真的很在意全盘感染/删除那种纯作恶样本，只能建议尝试纯HIPS了，这里个人推荐http://bbs.kafan.cn/thread-923666-1-1.html 这个规则，专门针对了全盘感染的动作作了陷阱规则。智能HIPS无解。

derrick_goi

回复 58楼 leisong 的帖子

之前我也是以为卫士防得住，但那台电脑是用作文件服务器的，有共享文件的，360杀毒和卫士木马防火墙肯定是全开的，怎知隔天上班时候就看到悲剧发生了，后来查到是某位同事的电脑传染出来的，虽然是7.7 版本，但也没理由会360 文件下的exe 都被感染破坏了了，问过mj, 他没鸟我， 纯hips 确实有些不方便，我还得再深入了解
另外，谢谢你的解答

leisong

回复 55楼 derrick_goi 的帖子

360拦截感染样本对系统目录和常用程序的修改

时间        操作        说明        次数
11:28:01        已阻止        修改 系统运行的重要文件        1
详细描述：
进程：D:\44\system.exe
动作：写入
路径：D:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
11:27:47        已阻止        修改 安全模式配置        1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\[AlternateShell]
注册表内容：
进程：D:\44\system.exe
11:27:43        已阻止        远程线程注入        1
详细描述：
进程：D:\44\system.exe
动作：远程线程注入
路径：C:\WINDOWS\explorer.exe

只监控到对非常用程序的修改，没发现360自身被感染了，一般的感染手段根本不可能修改掉360，360自保护还是比较强悍的

2011-4-24 11:27:31        d:\44\system.exe        修改文件        C:\0.exe        允许        [应用程序组]cx本地(禁) -> [文件组]全阻止结束 -> [文件]?:\; *.exe