微点交流论坛 - 主动防御 - 对微点行为监控的技术分析

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 对微点行为监控的技术分析

xiaotuzi
中级用户

积分 347
发帖 345
注册 2007-9-1

#1 对微点行为监控的技术分析

对微点行为监控的技术分析
我只作技术分析，对事不对人，谢绝一切人身攻击！

翻帖子的时候看到这样一种说法“当病毒活动了，机器也就染毒了，微点同时才出现，好象不如先清除了好，所以建议微点应该加入扫描技术”，这种想法应该说代表了很多网友的真实想法。我们分两部分来详细分析讨论一下。

1.“好象不如先清除了好，所以建议微点应该加入扫描技术”
这个提法很对，从程序效率上讲，在病毒加载前杀毒确实比病毒加载后杀毒的效率要高。道理很容易懂，特征码只扫描几个点，而病毒加载是要读取全部程序并进行初始化，所以单论处理速度的话，行为判断必然要低于特征码扫描。所以说微点在监控中加入了特征码判断来提高整体程序的运行效率和杀毒效率。而采用实时行为引擎的意义，不用多说了，大家都明白，特征码对“未知病毒”无能为力，所以行为监控是必须的。结合到微点主动防御系统上，就是我们目前看到的形态，已知特征扫描、未知特征扫描、行为判断三部曲。

在实时监控上微点的技术原理架构和实际效果绝对是目前最出色的。我和某些朋友想法不太一样，我觉得一个完善的实时监控系统是保护系统安全最重要的途径，如果实时监控比较完善，那么扫描可以说是多余的。因为只有在实时监控漏报的情况下，扫描才有价值。所以我个人对微点以后将推出的扫描引擎并不是很热衷。不过，每个人都有不同的使用习惯和想法，我不需要并不等于别人不需要。

PS：有的朋友觉得主动防御=行为分析，我个人不太赞同这个提法，我觉得主动防御>>行为分析，主动防御是一种综合性架构体系，至少包括特征扫描、行为分析、本地特征自动提取、系统辅助分析功能（主要是工具和日志）等等。我个人最期待的是卡巴、江民、McAfee把它们的“手动防御”尽快升级为主动防御，然后来一场真正意义的比拼低误报的PK。

2.“当病毒活动了，机器也就染毒了，微点同时才出现”
这个提法是不科学的，但是大家这样想也是很正常的，因为学过编程懂得程序运行机理的人只是少数。为什么说这个提法有问题呢？因为在Windows下，程序其实是不能真正意义直接运行的，程序运行实际上是通过API接口通知Windows内核，由Windows负责真正的执行。

我理解微点的监控部分是工作在应用程序和系统内核之间，而微点的执行层则嵌入windows内核，这样就实现了微点目前的形态，实时监控程序行为，在发现异常时以系统内核权限强行中止病毒进程。也就是说在病毒发挥破坏作用前的一刹那微点报警发挥作用，由于微点阻止了病毒把破坏行为传递给windows内核，所以实际上在微点报警并拦截病毒的那一刹那，病毒并没有真正意义上的执行，破坏性为、染毒也就无从谈起。

所以说微点的行为监控，貌似惊险，但是技术原理上是绝对安全的。

※ ※ ※ 本文纯属【xiaotuzi】个人意见，与【微点交流论坛】立场无关※ ※ ※

微点应该向主动防御智能化进军
金奖银奖不如网民的夸奖
金杯银杯不如网民的口碑
西方有微软东方有微点

2007-9-18 09:38

wantcm
版主

使用与技巧区消防员

积分 2351
发帖 2247
注册 2007-4-7

#2

感谢楼主对微点的支持

※ ※ ※ 本文纯属【wantcm】个人意见，与【微点交流论坛】立场无关※ ※ ※

做为斑竹，一定要消灭0回复

2007-9-18 16:02

peter0605
银牌会员

积分 2083
发帖 2065
注册 2007-9-11
来自宁波，杭州。。。

#3

哇。。。有技术。。有文化。。。长见识了。。。

※ ※ ※ 本文纯属【peter0605】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-9-18 20:29

sidineyqiao
版主

体育娱乐休闲版主

积分 1697
发帖 1584
注册 2007-8-2
来自庆祝微点上市一周年624-630

#4

老的冷得不能再冷得到贴了！

※ ※ ※ 本文纯属【sidineyqiao】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-9-19 14:33

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号