渔风
新手上路
积分 3
发帖 3
注册 2006-12-8
|
#1 我对主动防御与特征扫描及虚拟机的一点看法
我拜读了 llcracker 大虾的“主动防御不可完成的任务(-)”一帖,看了很久,太长了。不过也有很多的收获。
在这里我也说下我的一些观点吧。
我认为杀病毒与现实中警察抓小偷是一样的道理。警察在抓小偷,抓到一个人后,如何判断这个人是不是小偷呢?
用特征码扫描的概念来说,只要找来证人,来证明看到过这个人偷过东西就可以了。但是这也是为什么特征扫描会出现滞后性的根本所在,因为必须有人看到过这个人偷了东西。没有人看到的话,这个人偷了再多的东西,你也不能说他是小偷,也就是常说的你得有证据才行。当然特征扫描还包括另一层意思,就是给这个小偷的典型特征打上标签,以后看到一次抓一次。但现在整容技术很流行,如果这个小偷跑去整容了,将标签去掉,警察再抓到他的时候,就不认识了,必须有人再次看到他偷东西,并出来作证。这个就是同一个病毒出现不同的变种,就需要不同的特征码的缘故吧。
这种鉴别的方法是最主流的,也是最人性化的,因为这样才会产生少点的冤案。不过也会出现少数的误报,比如有个人做假证,或者说这个证人看得不是很清楚,但法官认为只要看起来像就可以做为证据的话,误报也就这样产生了。PS:卡巴斯基一般喜欢判死刑,诺顿一般都只是收监。
用主动防御的观点来看,就是不管你偷没有偷到东西,只要你有偷盗的倾向,就说你是小偷。这个在现实生活中是不行的,因为这涉及到一个如何确定一个人的行为有偷盗倾向的问题,也就是 llcracker 在帖子中多次提到的标准。这个标准是很难确定,因为一个人很多正常的行为跟一个人是否偷盗是很难区别的,他也许是在拿他自己的东西。比如他家的钥匙掉了,他自己在撬开自己家的门(或者是爬窗户);或者他自己一直就喜欢这样开门,因为他觉得这样比较方便,特别是开锁的程序特别复杂的时候。因此,根据行为来判断的话,就很容易造成误报。
因此,我们要判断一个人有没有偷盗的倾向,就得确实用法律规定正常的行为与不正常的行为,比如说规定不允许爬窗户,自己家里也不行,爬窗户就是偷盗。但这基本上是不可能的,因为我们生活中的太多的事情是属于灰色地带,并不是非黑即白的,电脑中也是一样的。何况就是根据结果来判断都会产生失误的情况。
另外,还有一个技术就是虚拟机。我同意 llcracker 的观点,认为虚拟机应该是杀毒软件的最终发展方向,因为在虚拟机中模拟现实的环境中,如果对电脑造成了破坏的话,那肯定是有问题的东西,这样就省去了要找证人这一关,因为我们是看着他在犯罪。不过虚拟机也有它自身的局限,一是需要的硬件要求太高,而且要先于真实硬件环境执行并判断,如果一个个在虚拟机中运行的话,肯定是不现实的。另外,当虚拟机的技术出现后,不保证以后的病毒不会自动识别虚拟环境,而在虚拟环境中不搞破坏动作来骗过虚拟机。
最后总结下吧。
所以应该说不可能出现一种十全十美的技术,就算现在很完美,但病毒的技术也是在不断进步的,甚至要超过杀毒技术的进度速度。我们应该尽可能用多样的技术来实现我们的目标。
因此,我对微点有一个建议,就是在现在 “特征码+主动防御”的基础上,再加个虚拟机,虚拟机不用来监控。当用主动防御判断出有犯罪行为倾向的时候,可以有用户来决定是否调用虚拟机,或者是直接阻止或放行。
我是一个菜鸟,以前也没有想过什么引擎的问题,一般我喜欢用McAfee的企业版,给别人我推荐用微点,因为微点还是真的不错。在看了 llcracker 的帖子后,有了上面的一些想法,希望与大家做个探讨吧。
| |
※ ※ ※ 本文纯属【渔风】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
