Board logo

标题: 测试江民和微点主动防御的一点肤浅认识(逐步深入核心技术) [打印本页]
作者: cncmaxzb     时间: 2009-4-8 17:41    标题: 测试江民和微点主动防御的一点肤浅认识(逐步深入核心技术)

测试江民和微点主动防御的一点肤浅认识(逐步深入核心技术)
我是一名电脑业余爱好者,经常在一些论坛下载病毒样本搞测试,本次主要测试对象是江民2009和微点的主动防御。测试过程中是关闭江民2009和微点的病毒特征库,在实机环境下一个一个运行病毒样本,通过测试,个人对江民2009和微点有一些肤浅认识,仅供大家参考。   
2月11日测试感受:
      1、江民的主动防御提示要比微点的主动防御提示要超前,我认为是它们防御技术所决定的,江民是HIPS类的主动防御,微点是行为主动防御。江民的主动防御有它的优点,微点的行为主动防御也有其不易克服的缺点。在安装一些应用程序,江民在安装过程中就能及时阻止,微点是行为防御,往往要迟后一步,一些垃圾文件就有可能进入电脑;
    2、微点的智能化程度确实不一般,江民称为主动防御,核心就是HIPS,微点在HIPS基础之上有了发展和提高,我认为微点也利用了HIPS功能;
    3、江民在提示中有允许、禁止、阻止运行,而微点是删除和不删除,智能化程度高低就在于此;
    4、微点自身的防火墙看似不强,其实一点也不弱,能很好地拦截下载者病毒。
      通过测试,认为江民的主防和微点的主防一点也不冲突。相反,相互之间还能弥补不足,只是江民在运行时没有微点流畅,对电脑的性能要求较高。如果只开启江民主动防御,关闭其它监控,配合微点也不失为一种好办法。有机会大家可以测试一下,看看什么病毒能同时绕过江民和微点的主动防御。
2月12日测试感受:
    1、微点对自杀类病毒的防护相比江民2009来说还是有一定差距。
    2、微点对病毒的提示速度与江民2009相比来说也要慢一些。其中原因后面有详细说明。
    3、微点对于修改系统时间病毒的防御要比江民2009要好。
    4、对系统有危害的衍生物微点能删除,对系统没有危害的衍生物确实不能删除,江民能很好做到对所有衍生物的拦截。感觉江民就是过程防御,江民可以从病毒发作的第一个动作开始拦截,有效防止病毒后续动作的执行。微点是结果防御,微点是综合病毒的行为判断是否对电脑有危害,从而做出相应的动作,并不能从病毒第一个动作开始及时阻止其运行。
    5、个人认为江民是有一定电脑知识的人才能完全发挥其优势的杀毒软件,微点是大众用品。江民2009主动防御设置有较大的选择余地,这是一把双刃剑,留给用户有选择余地的同时,也留给病毒可乘之机。微点并不需要用户掌握电脑知识,只要认识删除和确定就行。江民相对来说需要用户一定的参与。这也许就是所谓智能化具体体现。
2月13测试感受:
    1、江民的自我防护确实不错,微点也并不差。
    2、任何杀毒软件都不是万能的,杀毒技术和病毒制造技术不断改进,矛与盾,永无止境。
    3、上网想保证安全,还是从良好的习惯入手,良好的习惯才是病毒的终结者,杀毒软件只是一个辅助工具,人不能成为工具的奴隶,应成为工具的主人。
2月16日设想:
      如何打造一个安全、稳定的系统是许多电脑爱好者孜孜不倦的追求,我追求的目标是系统防护有微点的智能主动防御,也有江民的超前主动防御,并对电脑系统性能要求不高,吾将上下而求索。
      暂时停止测试工作,思考如何加强系统防护,要求是对电脑性能要求不高。
2月17日发现:
        木马病毒是用CALL调用一个批处理文件来删除木马自身的,微点是否可以像禁止病毒修改系统时间一样禁止运行批处理。
2 月18测试感受:
        1、江民和微点动作真快,对广大用户来说是福音,江民和微点在短短几天之内针对主动防御作了改进,江民对修改系统时间病毒作了技术上的改进,基本能拦截修改系统时间病毒(还是有个别能避开江民主动防御),说明江民是有实力的厂家。微点针对提示延后的现象进行改进,部分病毒在运行时与江民2009提示同时出现,提示速度有了明显提高,针对少数病毒的提示速度比江民2009还快,不知道微点是如何改进的,做到这一点在技术上来说不容易,更何况是行为判断,看来微点又进步了。
  2、今天测试报销一个优盘,应是病毒损伤驱动引起的,下次测试确实要注意这个问题。
  3、江民对出现这样的对话框“windows无法访问指定设备、路径和文件,你可能没有合适的权限访问这个项目”的病毒无法防御,微点能很好防御,我想出现那样的对话框只是个幌子,病毒行为应动作了,要不微点是不会拦截的,看来江民应加强研究改进。
  4、从拦截数量来说,微点略微强些,江民2009没有拦截的主要是上面提到的弹出对话框一类的病毒,只要江民及时解决问题,在拦截数量上会有明显提升,出现提示框病毒江民2009通过扫描都能查杀,我想要是病毒加壳后就不一定。微点有二个病毒无法拦截,一个是图片,一个是脚本病毒,这两个病毒对系统危害不小,微点应加强研究病毒样本。
  5、两次上报江民,不见回信(本人邮箱tcjgdw@163.com),不知道江民是收到没有回复,还是网络问题。每次上报微点都得到回复。看来在服务质量上江民还得加强(个人看法),微点客服人员充分利用网络优势,可以通过QQ直接与微点客服人员交流和上报病毒样本,江民可以借鉴。
2月19日测试感受:
  1、微点表现不错,今天暂时没有发现过微点主动防御病毒样本,昨天晚上一直在思考微点行为防御是如何实现的,有了自己的一点认识,不一定正确,有空再写一篇认识微点智能行为防御。
  2、在七八十个病毒样本中,江民2009主动防御有二个没有拦截,江民2009相比2008相当不错了。在病毒技术上要实现过江民主防比过微点主防要容易一些,毕竟微点有自己的核心技术,这个核心技术在微点官方网站说得很抽象。微点对未知病毒进行了详细分类,比如未知木马、未知病毒、可疑程序等,并定义了它们各自的行为判断规则,当病毒运行时,微点通过HIPS(个人看法)收集病毒的行为(行为其实就是应用程序创建、访问磁盘文件、修改注册表等一系列动作),把这些行为与微点行为判断规则库(微点的核心技术)相比较,当符合未知木马规则时就出现提示,发现未知木马,并进行相应处理。其它未知病毒的判断、分类也同样如此。其实其它厂商也可以对病毒行为加以总结,形成自己的病毒行为判断规则库,在此基础上实现行为判断、智能主动防御。病毒要实现过微点主动防御,关键一点是病毒的行为不在微点行为判断规则库,就需要病毒在技术上革新。只要新病毒出现,微点在分析病毒行为并在行为判断规则库加入判断标准就能准确查杀一大批,行为判断与特征值判断优势就在于此。
  3、以上是个人理解,不一定正确,尽请批评指正。
2月20日测试感受:
      1、以前微点有点鼠标右键会出现暂时停顿现象,微点改进了,目前没有此种现象,运行很流畅。
      2、江民2009主动防御+微点智能主动防御确实强大,病毒样本无一绕过两个主动防御,不是江民2009拦截就是微点拦截,真放心使用电脑。
      3、今天在研究江民2009特征值病毒库时,发现江民2009病毒库与微点的病毒库存贮和引用方式差别很大,由此推想它们在利用病毒库的技术差别也很大,到底哪一个好,无法下结论。个人认为微点的实时监控应有再优化空间,主要是在病毒库的调用上,尽量减少病毒库中特征值的对照个数,提高监控效率,应还有提升空间。
2月23日测试感受:
        1、微点对未知病毒(现在病毒程序越来越少,木马、间谍程序越来越多)防御很到位,江民2009对于未知病毒的防御相比微点而言还有很大差距,今天测试样本中共有三个未知病毒,江民2009主防一个都没有拦截,微点全部拦截,江民主防还需要改进。
    2、今天的测试中发现一个怪现象,在解压一个样本时,微点报未知木马,要知道我是关闭了微点的病毒库,并且这个样本是不可执行的程序,程序后缀名是修改为.ex2e,程序在不可执行条件下微点报毒,是不是微点加入了启发式实时监控?微点官方网站上没有说明有此功能。
    3、微点对病毒衍生物拦截不完全,还是有漏网之鱼(微点官方称是不危害系统的垃圾文件),不像江民2009那样拦截到位。微点能不能增加一项功能,对于没有提示删除的垃圾文件再提示一下删除和不删除,让用户增加一下安全感。
    4、今天测试的样本比较多,对微点的主动防御技术有了更深的感受。微点主动防御主要分为两个层次;一是程序行为捕获。每个程序运行时都需要进行各种动作,如收发网络数据、响应某个触发事件、文件读写操作等,这些动作都被称为“行为”,这个过程被微点跟踪记录,至于跟踪记录方式可能有HIPS方式,很大可能性有微点自己特有的HIPS方式(核心技术之一)。二是自创的一套病毒行为判断规范(核心技术之二)。要入驻内存的程序首先是通过实时监控与病毒库对照,然后通过行为捕获,对捕获的行为与自创的一套病毒行为判断规范在一个给定的范围和置信度下,判断相关操作是否为合法。
    以上对于微点核心技术的解说纯属个人猜测,如果要是让我等小辈完全理解微点核心技术的话,其它杀毒软件公司早就开发出了更好的智能主动防御软件。我的本意一是研究、促进微点智能主动防御技术;二是对于国内其它厂商建言献策,推动国内智能主动防御技术向前发展。
2月24日测试感受:
    1、今天江民2009和微点的主动防御表现中规中距。
    2、网上一直反映江民2009的主动防御没有微点智能化,今天下载一炒股软件大智慧新一代,微点没有提示,江民主动防御居然提示了,看来群众的眼睛是雪亮的一点不假。江民2009的拦截水平相当不错了,关键是在智能化程度还需要有所突破。
    3、江民2009近来在病毒库上下足了功夫,每天升级的病毒库数量不小,弥补了主动防御上的不足(相对微点而言)。
2月26日测试感受:
      1、今天改进了测试的方式,江民2009和微点先同时测试,然后分开进行测试,结果发现江民总的拦截数量比微点还多,主要是以前测试时江民2009和微点没有分开测试,微点对少数病毒比江民2009提前拦截,病毒就无法继续运行。
    2、江民主动防御真的不错,至少在拦截数量上有了量的飞跃,智能化程度如果能达到微点水平,江民就会成为杀毒界的毒霸。你对电脑进程比较熟悉,强烈建议安装江民2009,新手就安装微点比较放心、省心。
    3、前面提到的怪现象,其实一点也不怪,并不是微点具有启发式实时监控,而是微点具有病毒行为记忆功能,这个记忆功能应是通过自动提取特征码,下次打开同样特征码病毒样本时就不用行为判断了,如果真是这样,说明微点的技术不一般。
3月1日测试发现:
          江民2009主动防御对于rootkit病毒能很好地拦截并阻止,微点虽然能拦截,但要清除病毒却要重新启动电脑,说明江民在对于rootkit病毒的拦截还是技高一筹。

转自http://soft.deepin.org/read-htm-tid-932008.html
作者: gongtao81     时间: 2009-4-8 18:44
很久没用过江民了~。。。没发言权。。。
不过个人觉得那位测试者还是比较中肯的态度。。。。
心态很好~这种测试人员已经很少了~
作者: cp0577     时间: 2009-4-8 19:14
江明的主动只不过是hips。经常跳出提示框。
而微点的主动才是智能化的。还有用江明的话不上网还可以。如果你用配置比较老的机器上网的话那是很卡的。
作者: 中华英杰     时间: 2009-4-8 20:48
综合来看江民的主动防御技术和微点比有一定差距
但是楼主的测试充分证明了我的判断,那就是主动防御技术被各个杀毒软件所掌握,不再是微点的独门秘笈。
所以微点要在其他方面努力啊。
作者: HomeSGerMine     时间: 2009-4-8 21:11


  Quote:
Originally posted by 中华英杰 at 2009-4-8 20:48:
综合来看江民的主动防御技术和微点比有一定差距
但是楼主的测试充分证明了我的判断,那就是主动防御技术被各个杀毒软件所掌握,不再是微点的独门秘笈。
所以微点要在其他方面努力啊。

微点的主动防御是很成熟的,而类似江民的主动防御充其量也就是一个hips(动作警报器),对于是正常程序还是恶意程序没有判断能力,全靠用户自己。这样根本就不可以说是主动防御
作者: mamsds     时间: 2009-4-8 21:23
江民的HIPS还是很不智能!
我觉得用传统的杀毒软件和主动防御比较,完全就不是一个等级的,没有意义!
要是来了新的病毒,江民的病毒库再全,那也是过去的,未来的呢?江民一样防不了,最多HIPs有个提示——可是一般用户根本不看提示,直接放过(怕弄坏电脑),但是微点一样可以防!
这就是差距!
巨大的差距,有什么好比的呢?
虽然楼主这样一比,江民和微点好像就是一个等级上的东西,不差多少,实际应用中——江民差远了!!!
楼主说“江民就是智能化差一点”,可是实际上,这个智能化就是微点优势的全部!!!江民差的可不是一点!是很远!
还有——什么叫高手就装江民?一点道理都没有!
要是真正的高手,你去装纯HIPs呀..............
综上所述,江民与微点.......差很远.................

[ Last edited by mamsds on 2009-4-8 at 21:28 ]
作者: 坐照     时间: 2009-4-8 21:28
仔细研究下。
作者: HomeSGerMine     时间: 2009-4-8 21:29


  Quote:
Originally posted by mamsds at 2009-4-8 21:23:
江民的HIPS还是很不智能!
我觉得用传统的杀毒软件和主动防御比较,完全就不是一个等级的,没有意义!
要是来了新的病毒,江民的病毒库再全,那也是过去的,未来的呢?江民一样防不了,最多HIPs有个提示——可是 ...

没错没错!就是这样!差太远了,完全不是一个等级!
作者: qbnnq1000     时间: 2009-4-8 22:09
支持LZ,不要扁低其他的产品,江民2009我也用过其智能化并不比微点差。
作者: 中华英杰     时间: 2009-4-9 00:34


  Quote:
Originally posted by HomeSGerMine at 2009-4-8 21:29:

没错没错!就是这样!差太远了,完全不是一个等级!

就连官方也说微点的主动防御就是智能的hips,
江民就一点不智能吗?你用过江民没有?只能这样说,他的智能水平稍差些罢了。说江民主动防御就是动作报警器,其实是一种偏见。
请你在用江民主动防御的时候把“系统监控”关闭,只保留“未知病毒”监控,那么他就像微点一样只报病毒,而不是什么都询问你了。系统监控开了,当然问的就多了。

[ Last edited by 中华英杰 on 2009-4-9 at 01:17 ]
作者: wsmurderer     时间: 2009-4-9 01:12
智不智能倒是其次,我认为微点s和其他杀软的最大区别是微点的hips可以杀毒,事实上我已经用微点解救了好多台中毒较严重的机器了,都是在其他人用卡巴,红伞等无效的情况下最后的招数。而其他杀软的hips还只是停留在传统hips的层次上,只能防毒,一旦事先已中毒再用将没有任何作用。当初命名为主动“防御”,我认为不是很好,就给人一种误解,微点只能防御。事实上微点的杀毒能力比很多杀软都强。从这一点上来说微点的确是要胜出一筹的。
卡饭上也有人对杀软的“杀毒能力”发表了看法,可以去参考参考
http://bbs.kafan.cn/thread-457097-1-1.html

[ Last edited by wsmurderer on 2009-4-9 at 01:29 ]
作者: 爱在未来     时间: 2009-4-9 05:51
江民没用过.不好评价.
作者: qbnnq1000     时间: 2009-4-9 09:16


  Quote:
Originally posted by wsmurderer at  05:12 PM:
智不智能倒是其次,我认为微点s和其他杀软的最大区别是微点的hips可以杀毒,事实上我已经用微点解救了好多台中毒较严重的机器了,都是在其他人用卡巴,红伞等无效的情况下最后的招数。而其他杀软的hips还只是停留 ...

什么叫"微点的hips可以杀毒",是微点的HIPS调用了杀毒引擎。
作者: 黄连厚朴     时间: 2009-4-9 11:10
管他黑猫白猫,能逮耗子就是好猫。现在微点是守在老鼠洞口和老鼠的必经之路上,老鼠一活动就逮,而其他杀软是等老鼠偷了东西发现了再去逮老鼠。这样看,确实是微点有优势,但是别的杀软也不是不开窍的,你这样干有好处,那我也这样弄弄吧,这就导致大家要开展新一轮赛跑了,但愿咱国产的这回能跑得领先一些,就像比亚迪的铁电池和电动汽车一样。
作者: goodliubi     时间: 2009-4-9 13:23
立场中立,分析中肯,看完,学习了!
作者: lixuelin1015     时间: 2009-4-9 13:45
全是字头疼 来电图片啊?
作者: 凡间幽灵     时间: 2009-4-9 15:02
写的很不错,比较中肯的看法,虽然细节可能有点出入吧。。。但总体来说,江民是有自己的技术的,并不像传说中的那么差劲,我觉得除微点之外,江民还是比较牛屄的
作者: 坐照     时间: 2009-5-15 14:59
态度中肯,不偏激。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn