微点交流论坛 - 主动防御 - 我们有才的nasdaq版主的经典回帖

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 我们有才的nasdaq版主的经典回帖

wantcm
版主

使用与技巧区消防员

积分 2351
发帖 2247
注册 2007-4-7

#1 我们有才的nasdaq版主的经典回帖

原帖是个回帖，太不好找了，所以我就新瓶装旧酒，让大家重温一下这个经典回帖，也给第一次看到的朋友一个深入了解微点软件的窗口。

首先，我想大家应该理清两个概念：产品和技术。

技术就是一种技术，譬如说行为引擎。

产品是将多种技术融合到一起的一种商品，譬如说微点主动防御软件（以下简称微点）。

基此，我有以下的一个表述：微点是包含有行为引擎技术的一种产品。特别要说明的是，微点并不只有一个行为引擎技术，最起码还包括特征码技术（见置顶帖，官方从未否认过使用特征码），最起码还有包过滤防火墙技术，最起码还有UI设计相关技术。

我今天又粗略地学习了一遍置顶帖们，结合我的体会，谈谈我的学习心得：

1.微点的总体出发点
对于特征码技术的滞后性，前面的讨论中我们大家都已达成了共识。微点的一个总体出发点就是想解决滞后这个致命的缺点。为此，微点提出的一个技术方向就是行为引擎，虽然在目前这个初期阶段，存在有很多这样那样的不足。但是，我们欣喜地看到了一些进步，譬如说国内的“黑小子们”喜欢加工灰鸽子，几乎每天都会有穿新衣服的灰鸽子出现。微点对此表现不俗，很遗憾由于我手中的样本量很有限，我无法提供有说服力的量化指标。

客观的说，目前的微点确实还谈不到彻底解决滞后性的问题，但是微点有力地缓解了这个矛盾，这一点有目共睹。

2.行为引擎与微点
任何一种技术都是有其使用范围的！（呵呵，我不知道在哲学里面怎么讲，但是我说的这个精神应该是对的，可能叫辩证法吧）正如咱们以前讨论的结果，特征码不是万能的、虚拟机不是万能的、行为引擎不是万能的。

在市场经济中，想必每一种产品，都会努力扩展其实际的应用范围，以最大程度地谋求市场的认可。在这种情况下，只使用单一技术，只能处于竞争地劣势。所以很多厂家在把技术转变为产品的时候，都会以某一个或几个技术为核心，多种辅助综合方案共同发展。目的就是为了最大限度的扩展产品的应用范围。

微点也不例外，行为引擎技术本身也会有它的使用范围。另外，llcracker朋友说的那些技术太专业了我不太懂没法评论。但至少我们大家都看到微点目前是处于并将长期处于行为引擎的初级阶段（哈哈当然中等发达程度肯定不至于要到本世纪中叶），初级阶段就意味着各种各样的问题肯定是不少的。从一个侧面，证明出行为引擎特别是初级阶段的行为引擎，必然会有其局限性。虽然论证方法不一样，但对于行为引擎会存在局限性这点，我和llcracker朋友算是殊途而同归吧。

接下来就很必然了，微点软件同时应用多种技术和辅助方案，以求达到一个较好的综合防止效果。譬如说对于有些朋友提到的用户参与问题，我个人就比较倾向用大型白名单库来解决。一个大型白名单库，可以极大地解放最终用户，可以使得大多数乃至绝大多数常用程序，无须用户干预，即可安全运行和网络放行，同时也可缓解行为引擎监控的压力，提高计算机的整体运行速度。余下的一些少常用程序，可以由用户在微点技术服务部门的指导下，进行相应处理。特别要说一些亦正亦邪的程序（譬如网游外挂），出于对网游著作权公司的尊重，也不可以加入白名单轻易放行，还是向用户报警为佳。由用户自行鉴定，在技服的帮助下处理。

3.主辅之争

目前的几种杀毒技术都不完美，组合成产品，便引出了llcracker朋友提出的谁主谁辅问题。

咱们先讨论一下关于全盘扫描和实时监控谁主谁辅的问题，这个问题其实不是技术问题，我认为完全是用户用途用法的问题。

我没有做过抽样统计调查，仅以我个人为例，做一下探讨。
我的基本情况是：比较熟悉计算机技术，有一定的信息安全判别能力，数据量较大（常用的在260G左右）
所以我目前的基本信息安全方案，是以实时监控为主，不愿意浪费时间去做全盘扫描杀毒。当然有时用扫描引擎对我收集的样本作分类鉴别用。
在接触微点之前，特征码型实时监控并不能满足我的安全需求，所以我用黑冰的应用程序控制来提高防范水平。
在安装微点之后，我个人感觉微点的行为引擎比我以前用的那些特征码实时监控带来了突破性的进展，防范能力大幅飙升，呵呵，当然我也自信有能力来处理好微点的报警提示。

以我的个人情况来做总结，实时监控的应用远大于全盘扫描。所以我力挺行为引擎。
当然，每个用户的情况都是不一样的，想必有一些用户是以全盘扫描为主要应用，平时不开实时监控。对于他们来说，当然行为引擎的意义就不大了。

呵呵，说句玩笑，如果以累计运行时间来做决断的话，对于全盘扫描的总累计运行时间来说，实时监控的总累计运行时间必然会有压倒性的优势。哈哈，当然这个算法太玩笑化了，无法作为有效论据的。

市场很大的，如果被一种产品垄断，应该说是一种悲哀，因为哪意味着相当数量的人在被迫使用不太适宜的产品。呵呵，说句题外的，譬如说对于咱们健全人来说，加碘盐是很好的东西，这点要感谢政府的大力扶持。但是很遗憾，这个世界上有一种病叫做甲状腺机能亢进，得这个病的患者是不能吃碘的。面对政府的好意——市场上严厉查禁非加碘盐，他们反倒活得很麻烦。

4.关于主动防御

最后再来说一下主动防御，主动防御这个词的来源我没考证过。有了解的朋友请多多指教。

从微点的产品名称可以看出，主动防御是修饰微点软件的，好像是定语吧。我认为，主动防御是微点的一句商业口号，从商业宣传角度来说，主动防御四个字，显然比啰里啰唆的解释半天什么行为引擎、什么特征码滞后性的宣传效果要好的多。对于，主动防御四个字能否代表微点软件的神韵和特点呢？这是人家微点公司自己的事儿，咱们没有必要指手画脚。对于微点所针对的，完全被动靠升级特征码库和处置方案库的传统特征码引擎，微点确实可以不依赖升级也能识别很多恶意程序（老问题，我没有能力作出有说服力的量化说明，抱歉了）从这个意义来说，微点使用主动防御这四字，是有一定道理和依据的。

目前的现实是，似乎杀软行业都把主动防御这个词当成一个普遍应用地宣传口号了，说明书上有主动防御四个字，也就代表了该软件有一定的查杀未知道特征码的病毒的能力。具体效果我没有测试过，所以不敢妄加断言。

但我想，按照国内市场宣传的不良惯例，此主动防御非彼主动防御（微点）的概率应该是挺高的。李鬼和李逵的矛盾是永远存在的。

我并不是说只有刘旭可以开发出行为引擎，而别人就肯定都写不出来。现实是，创新性开发真是一个挺麻烦的事情呢，没多少人愿意去为风险投资为风险努力。国内论坛上有人写过一篇杀毒引擎的讨论文章，那文说世界上源头只有五大杀毒引擎。我不敢相信作者所说的数据都是真实有效的，但我领会到的一个精神是引擎是很麻烦的，数量很少很少。国内最大的软件公司，不就是买引擎来用么。

※ ※ ※ 本文纯属【wantcm】个人意见，与【微点交流论坛】立场无关※ ※ ※

做为斑竹，一定要消灭0回复

2008-1-15 11:05

sidineyqiao
版主

体育娱乐休闲版主

积分 1697
发帖 1584
注册 2007-8-2
来自庆祝微点上市一周年624-630

#2

主动防御啊。！

※ ※ ※ 本文纯属【sidineyqiao】个人意见，与【微点交流论坛】立场无关※ ※ ※

主动出击，防御未然！

www.micropoint.cn
bbs.micropoint.cn

2008-1-15 11:11

lotei
版主

病毒区地方父母官

积分 776
发帖 775
注册 2006-10-14
来自被人们遗忘了的村庄

#3

wantcm版主去挖老贴了。这个贴源于一场技术的辩论，但可窥见当初接触微点时对微点以及微点主动防御的一些偏颇的看法，很遗憾llcracker兄以经不在，不然大家讨论技术多好。nasdaq在这个论坛开始名声显赫也因为在这贴里的出色辩论，而后在深度论坛的牛贴很证明nasdaq的技术实力和对微点及其主动防御的深入了解。
今天看来，那个不可能完成的任务已经被广大的杀毒厂商接受和认可，那些曾经认为主动防御不可行的厂商今天把主动防御扣自己头上叫得比谁都响。主动防御已经成为趋势和主流。

※ ※ ※ 本文纯属【lotei】个人意见，与【微点交流论坛】立场无关※ ※ ※

让自己更加睿智，其实看透了！你就放下了！

2008-1-15 13:23

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号