微点交流论坛 - 主动防御 - 主防这些年的发展？

zzjzzpgg12
注册用户

积分 192
发帖 186
注册 2009-1-27

#1 主防这些年的发展？

恩，用了微点好久都没来了。
这么多年过去了，好像微点主防的发展不大了？研发停了吗？
也不知道这个帖子会不会被他们看到呢。
以前记得说微点是不防御宏病毒的，不知道现在呢。还有脚本，不过好像现在可以拦截部分脚本了。
恩其实我比较希望发展一下云主防的嘛..
永远不可能100%嘛，大家都知道。那只有尽量接近100%啦。
我觉得这个防毒吗，可以分成3个层：
1.绝对是安全的程序；
2.可能是安全的也可能是病毒的未知程序（含有误报和漏报）；
3.绝对是病毒，木马的已知或未知程序。
   微点做的很好了，继续完善我想就是把2这部分程序完善一下吧。（如何发现属于2这部分的程序）（然后自动和工程师判断）
   同时也可以发挥预升级用户的资源嘛。
例如给不同的预升级用户设置不同的防护策略，在不同时间段里让他们的策略更严格或稍微轻松。
有一大批预升级用户，这么多人可能有一部分人都有同样的2部分的程序，这样这些人运行这个未知的程序时。当时，策略严格的预升级可能会出错，策略较宽松的可能不会出错。然后让预升级的用户反馈，2部分的程序是否正常运行（就可以排除误报了，防护策略严格的人，如果是误报则程序肯定无法正常运行（或者是漏报，运行了，却没有得到预期的结果（例如运行了没有反应））那么预升级用户反馈不正常，则马上就知道这是一个需要关注的程序文件了。）
总的来说就是：
1.策略严格和宽松的预升级用户运行过相同的未知程序都没有反馈异常但过后反馈中毒的，严重关注。
2.策略严格和宽松的预升级用户都报毒但是反馈不是病毒的，关注是否是误报。
3.策略严格和宽松的预升级用户有的报有的不报的在没有前面2者这种样本时可以进行一般关注这种样本。
   这样可以找到几乎绝大多数属于2这部分的（漏报或误报）的程序了。然后在服务器段建立一个巨型的黑白名单库。就可以让普通的用户端反应更加即时。
（就是普通终端先把未知的程序的文件信息发到服务端比对，如果是漏报或误报名单里有的程序则终端的微点不处理。如果不是则在进行终端自己的行为监控。）

※ ※ ※ 本文纯属【zzjzzpgg12】个人意见，与【微点交流论坛】立场无关※ ※ ※

2012-3-11 14:19

dxr
注册用户

积分 97
发帖 97
注册 2006-7-30

#2

宏病毒微点可以杀的。
另外楼主的意思是想微点发展云？

※ ※ ※ 本文纯属【dxr】个人意见，与【微点交流论坛】立场无关※ ※ ※

2012-3-11 14:36

zzjzzpgg12
注册用户

积分 192
发帖 186
注册 2009-1-27

#3

恩另外这样的好处除了加快反应外
还可以减少普通客户端因为内含大量黑白名单而变得臃肿。
因为有很多黑白名单里的程序(是指按照策略不报，但是又是病毒，不过是需要联网才能正确运行的病毒这部分的黑名单)是需要联网才能真正发挥作用的，这些程序的名单就可以放到服务器端，而只有那些不联网也会误报的程序才需要放在普通客户端里这样保证不联网的机子不会因为装了微点而怎么怎么地。

[ Last edited by zzjzzpgg12 on 2012-3-11 at 17:19 ]

※ ※ ※ 本文纯属【zzjzzpgg12】个人意见，与【微点交流论坛】立场无关※ ※ ※

2012-3-11 14:55

zzjzzpgg12
注册用户

积分 192
发帖 186
注册 2009-1-27

#4

恩，当然这个策略松紧是按时间段来变的。例如对于一个预升级用户可能10天内的策略是松的，十天过后后面的十天又换成策略紧点，这样这个预升级用户就不会一直使用策略送的微点或策略紧的微点了。
同时预升级的微点主程序里要加入反馈功能。方便预升级用户反馈。

※ ※ ※ 本文纯属【zzjzzpgg12】个人意见，与【微点交流论坛】立场无关※ ※ ※

2012-3-11 16:01

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号