微点交流论坛 - 微点软件使用交流 - 对“想试微点，但是......“贴的延续讨论！

微点交流论坛 » 微点软件使用交流 » 对“想试微点，但是......“贴的延续讨论！

天笑
注册用户

积分 50
发帖 40
注册 2007-8-3

#1 对“想试微点，但是......“贴的延续讨论！

一、“对于未知的软件来说，判断合法或者非法不是几条规则就可以解决的。特别是现在的一些共享软件，在自我保护的手段上所利用的技术已经和病毒所利用的自我保护技术相差并不远。误报和误杀率偏高的原因就是规则问题。”

对于这个问题作者可能是担心正常软件程序大规模使用类病毒木马等方面技术导致大面积误报。但我个人认为这个不大可能，其中一个重要原因就在于现在很多软件引入了主动防御这一杀毒技术，而且很多软件（如卡巴，很容易导致误报，但是由于使用者众多，所以对其深信不疑的也非常多）在行为规则上判定比较笼统，而且其中不乏像卡巴斯基这样的权威性安全软件，而卡巴斯基在行为规则上判断又较为简单如使用了嵌入进程技术的它就会报（这样的直接后果就是导至即便使用了较少的或者是风险等级较低的如嵌入进程等技术就会造成卡巴报警）。

在这种情况下一款正常软件如果想推广自己而又较多的采用类病毒木马等技术无疑是搬起石头砸自己的脚。一旦采用过多的类病毒木马技术，相信对其报杀的安全软件肯定多了去了，在这种情况下用户是相信该软件还是相信安全厂商呢？更何况是多家杀毒软件都报；另一方面一款软件如果过多的使用类病毒木马技术（换句话说也就是有类病毒木马行为），其本身的合法性恐怕也会遭到用户的怀疑，就跟流氓软件一样，虽然是不是病毒木马，但由于采用有过多的类病毒木马行为其对系统的危害远甚病毒木马（杀毒软件出于法律上的原因无法对其直接进行查杀）。

加之主动防御软件完全可以给出相关行为信息让用户决定其去留（就我个人而言，一款“正常”的软件如果有过多类病毒木马行为，如在后台偷偷连接网络发送信息，或者随意修改系统文件，即便杀软给出选择我仍然是会将其删除的，相关警告信息方面见此贴：http://bbs.micropoint.com.cn/showthread.asp?tid=15678&fpage=2）。而就目前的病毒木马来说，其行为上最终导致的后果无非就是破坏系统，占用系统资源网络资源，盗取用户隐秘信息等等这些，而这些最终行为可以为我们直接提供判定其为病毒或木马的证据。

基于以上所述，正常的软件程序不但不会过多的使用类病毒木马技术而只会尽量避免使用，只有在不得已的情况下才会用到。

二、“规则无论多么完善，只是规则而已，只会按照既定的规则，行为达到多大比例的时候，就视为病毒。而对病毒本身的分析，就现在说来，也只能对已知的进行归纳总结，对未知的依然是空白。真正的主动防御势必要结合人工智能的突破进展。”

在这一点上我觉得我们不得不结合传统的特征码扫描技术来讨论。我们打一个形象的比喻来解释：社会上存在很多的犯罪行为，如偷盗，杀人等。传统的特征码扫描技术就好比警察经过侦测认定对一个犯了偷盗或杀人的罪犯予以标记（就像是全国通报认定其为罪犯），现在认定了此人是罪犯，于是由警察对其进行通缉逮捕。但是这一过程必须是在罪犯切切实实的犯了罪造成实际的社会危害以后才能认定其为罪犯（这一过程就好比一个新的病毒在造成切实的危害之后由安全厂商拦截并添加到病毒库）然后才能对其通缉逮捕。这种模式就存在滞后性，其缺陷也是很明显的就是不能及时阻止犯罪以避免所造成的社会危害。

以上总结起来就是传统的特征码扫描就是事后认定发出逮捕令，弊端就是无法阻止实际危害的发生。

我们现在假设有这样一批“警察”，他们可以对每一个人的行为进行全天候二十四小时的监视（我们这里只是作比喻，实际社会中警察这样干肯定违法，违反人权的，哈哈。不过在我们电脑里安全软件对那些进程软件进行全天二十四小时正是我们所需要的，完全不存在“违法”行为，嘿嘿！），当发现某个人买了刀或其它作案工具警察就会对其格外关注（在这里顺便提一下好的主动防御和主动防御较差的软件的区别，好的主动防御软件可以大大减少误报而差一点的误报率可能就很高，关健在于规则判定上。就好像有人买了刀或其它作案工具（这就像类病毒木马行为了）但并没有切实的作案行为，一款好的主动防御软件此时并不会对其报杀，而像卡巴斯基误报率较高的在此时就认定其为罪犯并予以报警。可以参看此贴：http://bbs.micropoint.com.cn/showthread.asp?tid=15634&fpage=3）。当罪犯在即将实施犯罪如拿起枪或举起刀砍向他人或潜入他人房子准备进行行窃，这时警察就突然出现并及时阻止犯罪并逮捕犯罪未果的罪犯，这样就避免了造成切实的社会危害（说到这里建议大家看一部片子吧《少数派报告》

，虽然剧中最后的那个家伙并未最终实施犯罪但是未知病毒木马可不会像他那样“浪子回头”，哈哈！）。

以上总结起来就是新兴的主动防御技术就是实时监控程序行为，在其实施”犯罪“之前及时出手阻止。

（1）”规则无论多么完善，只是规则而已，只会按照既定的规则，行为达到多大比例的时候，就视为病毒“

这些规则就好像是法律法规，各种法律其惩罚力度不同有的仅是批评教育或拘留（这就好比轻微违法，相当于软件里的类病毒木马行为了）而有的可以直接处以无期或死刑（这就好比破坏删除系统文件的病毒木马了）。而主动防御软件里的判定规则就好比是现行的法律法规，依据这些”法律法规“我们就可以进行尽可能准确的查杀了！

（2）”而对病毒本身的分析，就现在说来，也只能对已知的进行归纳总结，对未知的依然是空白。真正的主动防御势必要结合人工智能的突破进展。”

这里谈到已知行为和未知行为，这就好比是法制的健全与否了，对于大部分行为其合法与否都有法可依，但仍然有少数行为法律上并未作出明确规定。但即便如此，一种行为其对社会是否造成危害都是可以最终认定的（而电脑当中的各种行为远不及人类社会行为之复杂，而造成的危害评估也远比人类行为所造成的社会危害要容易得多），并最终作出处理依据（这就好比对一种新型的病毒木马行为进行处理的规则了）。

传统的特征码扫描就好比一个罪犯在被通缉认定为罪犯之后（即标注为病毒或木马）换一个“马甲”（就像画画装，易易容，搞一些假证件再变个性等），这时警察就很难对其进行正确的辩认（实际当中警察肯定会捕捉到罪犯这些行为的，但安全厂商可无法捕捉到病毒制造者在家里对病毒进行改进加壳等行为，哈哈，这里只是比喻需要。那么这个过程就好比病毒出现变种或加壳之类的），于是在他下一次实施犯罪进行重新标注认定其为罪犯。这一过程就使得警察不断的记录罪犯各种特征（外貌等）越积越大而且无法防窜于未然。

而新的主动防御技术就像警察全天候的监视你的各种行为，无论你怎么换“马甲”但只要你准备实施犯罪都可以在你犯罪实施前一刻阻止你并避免造成危害。（注：以下所述是针对第二个问题的关键性回答，以上基本上属于铺垫，便于理解）而作者所谈到的第二个问题中的未知规则就好比在社会上出现一种新的行为在法律上无法判定其是否合法，缺乏相应的法律法规。反映在电脑安全上就是一种全新的病毒或木马以一种全新的方式对电脑造成某种破坏，主动防御上无规则可依。但是人类社会是何其复杂多变出现无法可依的行为尚且很少，那么病毒制造者要想研发一种以一种全新的方式（就是该病毒或木马的行为为之前的病毒或木马都不具有的）来达到破坏的目的恐怕就“相当的”困难了。而且在你研究出这种病毒或木马来说，作为主动防御只需添加一条或多条判定规则就可对之后出现的类似病毒或木马进行有效防御，完全可以称得上是以逸待劳，而传统的就更不用说了，在这种新的病毒出现之后又是不断的积累病毒库，而对于像这样的“全新”病毒“恐怕以当前的技术还真没法防御，只是其出现的机率实在是太小了。

以上谈了这么多只是同大家讨论防毒理念（我们所谈的仅是理念，理念看上去容易理解简单但实施起来却非常不容），大家讨论归讨论最好不要引起人身攻击之类的。一项新的技术的兴起总是伴随着质疑声而成长的，新的主动防御的防御理念值得推广，其向前的步伐也不会因为存在质疑而停止。但就误杀来说，我个人始终认为可以通过各种手段最大化的减少误报但误报仍然不可避免，而少量的误报则是完全在可接受范围内的，这些少量的则有待于我们自己去做出判断！！

[ Last edited by 天笑 on 2007-8-24 at 23:17 ]

※ ※ ※ 本文纯属【天笑】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-24 22:56

jaber
版主

使用与技巧区版主

积分 2861
发帖 2835
注册 2006-6-6

#2

欢迎大家对微点的功能，性能，功能缺失等多方面讨论，请勿扣字眼，口水战！

※ ※ ※ 本文纯属【jaber】个人意见，与【微点交流论坛】立场无关※ ※ ※

XP2（原版未打补丁）
单独微点预升级

2007-8-24 23:07

jaber
版主

使用与技巧区版主

积分 2861
发帖 2835
注册 2006-6-6

#3

看完了帖子，在讲解上有自己独特的见解，LZ其实不必使用这个标题，可以取新立意！

※ ※ ※ 本文纯属【jaber】个人意见，与【微点交流论坛】立场无关※ ※ ※

XP2（原版未打补丁）
单独微点预升级

2007-8-24 23:12

天笑
注册用户

积分 50
发帖 40
注册 2007-8-3

#4

此贴内容也是因为看了94237的贴子所引发的争论才写出来的，但并非如你所想是口水仗（若是为口水仗我是完全不会发贴的，更何况是这么长的贴，哈哈）更不会是为了否定别人而写。相反94237所提的也确实是主动防御软件所必须面临和解决的主要问题。

大家在对防毒理念上的讨论是完全有必要的，没有讨论也就不存在进步，所以无论参与进来的人多么多还是延续的时间多么长都是可以理解的，个人认为也应该是被允许的。所以大家只要本着学习交流，技术探讨，不发生侮骂、人身攻击等行为的原则来进行讨论是有利而无弊的。

※ ※ ※ 本文纯属【天笑】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-24 23:31

jaber
版主

使用与技巧区版主

积分 2861
发帖 2835
注册 2006-6-6

#5

我正是此意。。。。你或许误解了

※ ※ ※ 本文纯属【jaber】个人意见，与【微点交流论坛】立场无关※ ※ ※

XP2（原版未打补丁）
单独微点预升级

2007-8-24 23:47

kahaixiao
注册用户

积分 141
发帖 141
注册 2007-8-24

#6

楼主那么一堆东西，真的没耐心看完！
不过微点的依据行为模式来杀毒的方式本人还是比较认同的，虽然本人在电脑方面只是菜鸟级别，但对于“马克思主义哲学原理”还是懂一点点的，呵呵！个人感觉，追着屁股打肯定不是个长久之计，微点的方法或许才是“正道”！

※ ※ ※ 本文纯属【kahaixiao】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-25 00:10

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号