网友较量"王者":轻松绕过微点主动防御

　　近四个月来，在论坛上没有看到有人发表“过微点主动防御的文章，四个月前，我发表的利用vbs过微点的方法，不知道什么时候也被微点修补了，而且这四个月来，微点主动防御变化也很大，防护规则更严谨了，而且误报率也大大提升了。

　　原来的微点，误报率很让人头疼，而现在，微点的误报率很低，即使有误报，并且微点错误的将你文件删除后，也会自动恢复过来。

　　前不久点饭网的技术总监绅博论坛的站长两位好友与我联系，希望和我共同研究一番微点现在的查杀机制，找一找微点的缺陷，再次突破微点。俗话说得好，道高一尺，魔高一丈，在黑与白的较量中，寻求技术的突破。今天我就来挑战自己，绕过微点的主动防御。

与"王者"较量 再次轻松绕过微点主动防御

　　这次我们使用灰鸽子来突破微点主动防御，但是有几点要注意 ，现在主流的木马都是通过插入ie进程，或者是svchost.exe这个进程进行穿透防火墙，而且现在主流木马都是通过hook自身，实现隐藏进程，也就是说，你使用任务管理器。

    查看木马的进程是看不到的，除非使用专业的病毒防护软件进行查看才能看得到有木马进程，“冰刃”是一款内核级系统安全辅助查找器，一但我们中了类似的木马病毒后，我们使用冰刃来查看自己计算机上的进程，就会发现有一个或者多个进程显示为红色。

    这里要注意，显示为红色的进程就是极有可能是木马病毒的进程，冰刃里面显示为红色的进程名称就是被hook的进程，也就是隐藏进程。

微点查杀木马的几个绝招：
 
　　1.正常用户使用的程序，绝对不会hook自身，实现隐藏进程，而隐藏进程的必然是木马病毒。
　　2.正常用户使用的程序，绝对不会插入其它进程，尤其是ie浏览器和svchost.exe，这两个进程，一旦插入进程进行访问网络的程序必然是木马病毒。

主流木马运过程：

　　1.双击木马运行。
　　2.木马会以隐藏窗口形式进行运行。
　　3.向C盘下的，windows 或system或system32.等等，系统关键的几个文件夹释放木马的文件。
　　4.注册服务，修改服务，或者修改注册表添加启动项，好让程序从新启动后能够再次运行。
　　5.插入ie浏览器进程和hook自身隐藏进程，外连网络。

    微点查杀木马就是依靠以上的几点规则来判断，你运行的程序是不是木马，然后进行拦截。

    只要木马不具备这几点特征，自然微点也就不会拦截。我的思路就是构造正常用户的操作，这样微点就不会报警木马。