微点交流论坛 - 微点软件使用交流 - 对”漫谈毒眼和微点（转自卡饭）”一文的批判

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点软件使用交流 » 对”漫谈毒眼和微点（转自卡饭）”一文的批判

镜湖YES
银牌会员

积分 1225
发帖 1199
注册 2009-3-15

#1 对”漫谈毒眼和微点（转自卡饭）”一文的批判

原文如下：

漫谈当然不是乱谈，当然，由于认识问题，也会有不当的地方；漫谈像散文，不拘于一个问题，也有可能说得不着边际；漫谈也有个中心，那就是想说明毒眼和微点的不同；漫谈也有目的，那就是想让那些讲毒眼是微点怎么样的人闭嘴。
            毒眼是什么？
   用毒眼人自己的话说，毒眼是集成安全系统。什么是集成安全系统？简单的讲就是：“集成安全系统”是一项最新发明的计算机安全防御、预警和恢复技术。集成安全系统是基于系统运行轨迹的分析，预警，恢复和追踪系统。它的基本思想是对系统的运行轨迹进行精确的描述和记录（日志系统），在此基础上对日志系统进行智能分析，自动分析出系统中暗藏的木马等安全威胁；根据用户要求的预警方式报警，并通过独创的事件恢复技术使系统恢复到安全危害事件发生前的状态。
         微点是什么？
   用微点人自己的话说，微点就是以“程序行为自主分析判定法”为理论基础，从反病毒领域普遍遵循的计算机病毒的定义出发，采用动态仿真技术，依据专家分析程序行为、判定程序性质的逻辑，模拟专家判定病毒的机理，实现对新病毒提前防御。
   毒眼的工作原理是：跟踪系统的运行轨迹，形成日志，智能分析日志，识别出有害程序，进行预警，智能恢复，消除危害。从这里，你可以发现，毒眼报警时，病毒已经运行，表现出了危害行为，最后是由智能恢复“使系统恢复到安全危害事件发生前的状态”。从这里，你会明白，毒眼是真正的行为识别病毒。
   微点的工作原理，从其理念上，很难看出，有人认为，微点是智能的HIPS，又有人说微点不是HIPS，那么微点是什么，怎样识别病毒的。我觉得，微点最初就是要做一个智能的能杀毒的hips，但后来遇到的问题很多，比如误杀和兼容的问题，逼得微点大量的采用黑白名单。微点的成功，是动态仿真技术，本人觉得很可能就是通过一个虚拟机技术来实现的。虽说是，病毒无限，规则有限。但后来还是让微点有了自己的病毒库。按照我的想法，微点的工作原理应该是：先通过成熟的hips规则，和特征码，对运行的程序进行过滤，有问题的进入虚拟机进一步分析，报警的过程。
   记得最初来论坛是，我一说毒眼是主动防御，别克就来找我理论，我就说，通过行为识别病毒的，就是主动防御。虽然当时挡住了别克的攻击，但什么是主动防御，我也很矛盾呀。通过后面长时间的使用和随着自己对毒眼的进一步了解，我也明白了，为什么别克一再说毒眼不是主动防御软件的原因。我现在的理解是：毒眼和以前的主动防御软件，相同的地方是：都是通过行为和规则来识别病毒的；不同的地方是：以前主动防御软件的侧重在规则上，毒眼侧重在行为上，就是说：以前的主动防御软件是利用规则限制行为，毒眼是分析行为使用规则。

还想说一下，毒眼完全不是按照“规则”来判断病毒的————实际上在我们看来，根据规则很可能永远不能真正实现智能病毒分析。那毒眼根据什么来判断病毒、木马和病毒乃至黑客攻击的呢？恕我不能明言。
太神了吧。即使是人工分析，也应该使用规则，或者是有个安全底线，总之，是非标准，也是规则。
嘿嘿，不是引诱你泄露机密。

喜欢把毒眼和微点放到一起讨论，实际上是因为他们有类似的地方，或者是说，因为认知的原因，把他们当作了一类产品。其实从一开始，他们的设计理念就是不同的，微点走的是传统的主动防御的路子，是传统主动防御的集大成者。毒眼才是真正的根据行为识别病毒的，它通过跟踪程序的运行轨迹，实现纵深防御，通过智能备份消除病毒对系统的破坏，并不是传统的利用规则限制程序的可能的有害行为。
有人要说，微点和毒眼谁更好，那就要看谁的功力更深厚了。就像练功修道，法不同，道相通。至于使用者自己，那就要看你个人的喜好了。对于使用者来说，当然是，自己喜欢的就是最好的了。
微点最近就要出杀毒版了，估计在网友的两版合一的呼声下，微点最终会回到传统杀软的路子上。但其无扫描的防护思维，会给每一个使用者留下烙印，为新的安防软件开发，开创了一个新的空间。

原文地址：http://bbs.kafan.cn/viewthread.p ... p;extra=&page=1

[ Last edited by 镜湖YES on 2009-11-30 at 23:20 ]

※ ※ ※ 本文纯属【镜湖YES】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-11-30 23:17

镜湖YES
银牌会员

积分 1225
发帖 1199
注册 2009-3-15

#2

转发到这里就是供大家批判的。

首先，作者把微点理解成智能化hips+黑白名单+虚拟机，就这根本否定了微点程序行为分析的本质。事实上，微点是总结出病毒和木马的行为模式作为参照系，实时监控和记录程序的发生、过程和终结，将其与参照系进行比对，相同的则被定为木马或病毒。hips是无法智能化的，它不能对程序进行追根溯源的监控和清除（智能化作为hips的修饰语是非常搞笑的说法），hips只会站岗不会跟踪，本质决定了它无法智能化。虚拟机在主防上自然也用不着。

其次，作者是从说明书到说明书的方法来研究微点和毒眼的异同的。这种方法极不严谨就不用说了，就按作者的思路来，“从这里，你可以发现，毒眼报警时，病毒已经运行，表现出了危害行为，最后是由智能恢复“使系统恢复到安全危害事件发生前的状态”。从这里，你会明白，毒眼是真正的行为识别病毒。”
实在不理解，作者高明在哪里，难道微点不是让程序先充分运行起来再进行拦截和清除吗？？“恢复事发前的状态”，不就是对病毒和病毒衍生物的清除吗，清除后不就恢复到事前状态了嘛。

总结，微点和毒眼的杀毒本质和理念是一致的，没有本质上的不同。宣传和说明不同罢了。奥，还有，微点可以防黑客，防溢出，功能较毒眼更全面，作者看到了这点吗。

给作者提个醒，语文没学好是会被人骗的，发帖是要闹笑话的。漫谈就会变成乱谈

[ Last edited by 镜湖YES on 2009-11-30 at 23:28 ]

※ ※ ※ 本文纯属【镜湖YES】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-11-30 23:18

理想未来
禁止发言

积分 386
发帖 382
注册 2008-12-10

#3

他爱怎么说就怎么说，我们关注的只是杀毒效果。
所以支持微点

理念好，效果不好，白搭

※ ※ ※ 本文纯属【理想未来】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-11-30 23:22

zzirong
注册用户

积分 57
发帖 57
注册 2008-8-12

#4

那楼主什么都不懂，一通乱说

※ ※ ※ 本文纯属【zzirong】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-12-1 11:23

112112
高级用户

积分 516
发帖 515
注册 2008-12-23

#5

没劲我安了下虚拟机准备测测这个毒眼是不是那么强

※ ※ ※ 本文纯属【112112】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-12-1 11:41

cncsf
注册用户

积分 194
发帖 194
注册 2007-8-2

#6

从证书上看微点过了军B级，毒眼过了军C级。

※ ※ ※ 本文纯属【cncsf】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-12-1 15:05

f8312519
银牌会员

积分 2184
发帖 2169
注册 2008-10-27
来自维创论坛

#7

反正都是广告啦
只看疗效不看广告!
支持微点的说

※ ※ ※ 本文纯属【f8312519】个人意见，与【微点交流论坛】立场无关※ ※ ※

维创论坛免费软件园地欢迎您!http://herofw.haotui.com

2009-12-1 16:12

f8312519
银牌会员

积分 2184
发帖 2169
注册 2008-10-27
来自维创论坛

#8

还有一点
大家多看看卡饭论坛的贴子就知道现在的毒眼跟微点还有很大的差别
根本还没在一个档上面
只是广告吹得厉害

※ ※ ※ 本文纯属【f8312519】个人意见，与【微点交流论坛】立场无关※ ※ ※

维创论坛免费软件园地欢迎您!http://herofw.haotui.com

2009-12-1 16:14

黑天使
高级用户

积分 544
发帖 544
注册 2009-6-7

#9

去试一下。不过我可不喜欢自己的行为被记录然后模仿呀。

※ ※ ※ 本文纯属【黑天使】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-12-1 16:36

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号