微点交流论坛

标题: 360对驱动的拦截是不是比微点好些啊？ [打印本页]

作者: zzjzzpgg12 时间: 2010-4-23 23:09 标题: 360对驱动的拦截是不是比微点好些啊？

看MJ说的，他说微点对驱动是不拦截的，于是乎当病毒加载好驱动后就可以结束微点了。
而360对驱动的加载大概是这样的（我推断的）：当有驱动要加载先查看是否联网，若没联网则360全部放行，若联网了，则向服务器查询这驱动是否是安全驱动，还是恶意的，恶意的拦截，安全的放行，未知的可能是询问用户吧。
不知道360这种方法是不是更好一些啊？虽然询问用户的多了，可是是不是那样更安全些呢？

作者: 点饭的百度空间 时间: 2010-4-24 00:17

作者: 饭桶小白 时间: 2010-4-24 07:04
请问用户怎么知道这个驱动是否为正常的加载呢？
微点敢对正常的驱动不拦截并不等于微点对驱动不拦截，更不等于微点对驱动的拦截不行。

作者: tustin 时间: 2010-4-24 10:51
这个只能说360和微点对安装驱动采取的策略不一样，说不上哪个好，要说拦截驱动微点一样可以做得到

作者: zzjzzpgg12 时间: 2010-4-24 18:27
我的意思是360可以联网对驱动进行判断，
360，微点都可以拦截驱动，用户对驱动是否为正常加载有无了解都好，但360和微点对驱动是否正常应该可以比大部分用户知道的多，
我的意思就是在联网情况下360可以把驱动加载提交给服务器分析由服务器决定。
而微点则只能靠本地的黑名单，无法实时的连到服务器上。
这样显然360对驱动的拦截比微点高效的多，
因为360是实时的，当在服务器中把某一驱动加黑后，用360的就能马上阻止这驱动加载，而对于微点来说，用户必须等到微点主程序升级后才能拦截恶意驱动。

作者: zzjzzpgg12 时间: 2010-4-24 18:32 标题: 回复2楼

俺也没说360是万能的，只是说对于恶意驱动的反应速度上微点似乎不及360。。
如果说360吧一部分判断交给用户了那要是它这样做：
联网查询后得知是未知驱动则不询问，直接放行那也可以啊，
这样就没打扰到用户，但是至少也让服务器了解到有个未知驱动，要是在点，还可以把未知驱动上传给服务器。。。。

[ Last edited by zzjzzpgg12 on 2010-4-24 at 19:06 ]

作者: 坐照 时间: 2010-4-25 09:15
微点或许也可以引入云

作者: 点饭的百度空间 时间: 2010-4-25 09:32
存一张图

作者: scien 时间: 2010-4-25 12:39
我相信微点。

呵呵，云？不知在云之前能否中断网络，破坏后在连接。

我还是相信微点的行为防御最基本。

不管你加载什么东西，只要有破坏行为，我就逮你。你安分我也不惹你。

不想那些杀软，动不动就加载xx驱动。好像他不认识的都是坏人似的。

网络，我还真不知道，现在的网络还有多少东西能值得去信任

再说了，需要即时反馈确认的，你认为还会是人工分析吗？

我个人觉得，要是不是人工分析的，那还不如现场行为分析呢。而且微点能现场提取特征码。

要是人工分析的，那就看时间了，如果真的能做到即时反馈，那当然好，要是还是需要一段时间的话，呵呵，我还是相信主动行为分析，起码他即使有结果，而且它一定存在了危险行为。

看好行为分析

如果说询问的多，就能更安全些，（我也曾经这么认为的）那只能用他们说的什么HIPS了。

当然，也是有人喜欢点击那些对话框的，不管懂不懂。

现在我算明白了，微点没有报警不代表没有监视，别人报警不代表有危险，但是微点报警，一定有危险行为。我说的报警指的是未知报警。

没错是有误报，这个误报我是这样认为的，首先它肯定有危险行为，但是这个行为最终没有进行破坏。

就像一个人在撬门，在不能确定他是屋主叫来开门之前，那他就应该被制止。

[ Last edited by scien on 2010-4-25 at 13:05 ]

作者: isshine 时间: 2010-4-25 15:34
驱动拦的
上次装nv的显卡驱动就给当病毒拦住了

作者: zzjzzpgg12 时间: 2010-4-25 20:31 标题: 回复9楼

他们说如果一个程序加载好驱动后就有了很大的权力，这时微点就变成泥菩萨过江了，
如果一个病毒，他运行后什么都不干，直接加载驱动，这时微点默认是允许的，那病毒就成功加载驱动了，这样他的权利就很大了，他可以马上把微点结束了，这样微点就无法继续监控这个病毒的下一步行动了...
当然并不是说加了驱动微点就一定防不住，只是说加了后病毒和微点就平起平坐了，微点就很难保证安全...
而且要是不幸微点被挂了，服务器一点信息都没得到，这样这个病毒微点就无法自动补抓到了，还得依靠用户上报。
要是像360那种，即使微点挂了，服务器还是能知道加载了一个大概的名字的驱动。
9楼说的要实时确认也不一定，即使服务器不认识这个驱动仍然放行就可以了，（只是给服务器指导下有这个驱动是不认识的）
10楼说的，也许那是加驱动后干了一些事,但不是针对微点的，既加驱动+干坏事=>微点报警
但要是加驱动+结束微点+干坏事，微点可能就不一定会报警了，因为这时微点很有可能自己就已经挂了。

作者: scien 时间: 2010-4-28 20:02
呵呵，有一定的道理

问题的关键还是在于能不能结束微点，如何保留过微点的样本。加驱动对结束微点过微点的作用大到什么程度。

云，就让历史去验证吧。

哈哈，想到个问题

网络

网络是无所谓好坏的，只是用的人多了，就会有了很多的不好的东西

云

是不是也会这样

网络的脚步没有停止，云呢，又该怎么走

[ Last edited by scien on 2010-4-28 at 20:08 ]

作者: lixy 时间: 2010-4-28 21:17
看看。。。。

作者: xuy777 时间: 2010-4-30 12:30
如果服务器也不报警是不是就放行了？凭什么就那么相信服务器呢？

作者: zzjzzpgg12 时间: 2010-4-30 15:11
连上服务器，安全又不会降低

作者: 涛声狼 时间: 2010-4-30 17:13
360 江民以及卡巴....所谓的主动防御基本属于HIPS类型

HIPS系统单一ARI动作监控器，你还不如用纯HIPS呢，一个操作一个提示

请看：http://bbs.micropoint.com.cn/sho ... &highlight=HIPS

那为什么那些杀毒软件所谓的主动防御提示那么多？

动不动挂全局钩子、加载XX驱动、改写XXX/XXX/XXXX注册表，

写自启动、安装XX服务，dll注入

【有几个用户可以看的懂？】又有几个用户愿意去看这些以及选择？

病毒会需要这些，但有的正常软件也会啊

你放行吧？怕是病毒。拦截吧正常软件无法运行

简直让用户在做选择题啊。用户安装你就是让你判断的，到头来你什么都询问用户，装你还有什么意义？

微点不错，占用资源少，智能，提示明确，查杀未知病毒能力强。

为什么微点提示明确？智能？

[ Last edited by 涛声狼 on 2010-4-30 at 17:15 ]

作者: 涛声狼 时间: 2010-4-30 17:17
那个MJ那么牛，为什么360买人家BD的病毒引擎？而且360的漏洞更多吧？...... O(∩_∩)O

他那么牛还窝在360干什么？ ....

作者: 随风飞舞 时间: 2010-5-2 11:05
很好，这些正是我想要的。谢谢

作者: 墨水笔 时间: 2010-5-2 19:37
我新人微点

作者: 1328558 时间: 2010-5-3 16:23

Quote:

Originally posted by 坐照 at 2010-4-25 09:15:
微点或许也可以引入云

迫切期待中

作者: scien 时间: 2010-5-8 18:05
说实话

其实我真的很讨厌云的

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn