微点交流论坛

标题: 微点杀毒软件病毒包扫描成绩可以巨幅提升 [打印本页]

作者: mumaniu 时间: 2011-6-11 11:19 标题: 微点杀毒软件病毒包扫描成绩可以巨幅提升

微点有2个病毒防护软件，如果密切配合优势互补那将威力剧增制造出令人瞠目结舌的杀毒神话！
微点杀毒软件在扫描病毒包时可以把主动防御技术放在扫描后面接着检测病毒包！先用低启发低误报甚至零误报的扫描引擎扫描病毒包再把病毒包里剩余的文件用解压运行的方式让主动防御功能来测试。这个复合测试病毒包的功能如果用在微点杀毒软件里特别实用能让微点杀毒软件的检出率巨幅提升。微点果真做到了复合测试病毒包，那病毒检出率100%都有可能谁与争锋？说到底2个软件还是应该发挥1+1大于2的作用

作者: Legend 时间: 2011-6-11 11:39
楼主的意见我们已经认真记录并反馈给相关部门感谢您对微点的支持和关心

作者: 879428722 时间: 2011-6-11 18:21
怎么看都有问题.
  反病毒检测到以被确认的病毒.  剩余可能被遗漏的病毒则在运行的时候被主动防御检测并报告.  这不是一样么?
  单纯扫描成绩没什么用.
  那些著名测试都是先检测静态后检测动态的.
  著名测试者比如vb100等.

作者: mumaniu 时间: 2011-6-11 19:39
我说的分2个步骤测试病毒包，没有说把这2个步骤展示给人看，我的意思是看上去只是在扫描测试病毒包只是速度好像有些慢实际上是分2个方式先后测试病毒包的。这样以微点的技术病毒包的“扫描”检出率近100%谁与争锋？别的杀毒软件知道这个方法也没有用主动防御技术不及微点望洋兴叹望尘莫及！
要看上去很美只是仅仅是在扫描病毒包，然而实际上先后用2种方式鉴定病毒。这与多引擎杀毒软件技术类似但是有些区别。

作者: 879428722 时间: 2011-6-11 23:20
那我帮你补充一下吧.
由反病毒建立一个沙箱/蜜罐/虚拟机.
  然后同时加载反病毒引擎和主动防御模块.
  先检测数字签名.  只要签名有效就加入排除列表.(扫描一次刷新一次).
  然后运行所有没有签名的文件.  检测是否包含病毒.
  但是这有一个问题.
  启发式也是运行才知道结果.  而hips则会阻拦被运行的威胁.  两者有理论上的冲突啊.
  而分先后扫描则大幅度增加了扫描时间.  毕竟开发功能实际上还是为了用户.  为了排名而开发不切实际.
-----------------------------------------------------------
  沙箱可以保证实机在一定程度上不会感染病毒.  只在反病毒中开发这种模块则保证了主动防御文件夹不会过大.
  签名则可以保证减少资源占用.(有的项目组不给dll加签名.郁闷).
-----------------------------------------------------------
  楼主的想法挺奇特.  但是总感觉有点问题.
  楼主是不是查一下资料再想想怎么改一下.

作者: 879428722 时间: 2011-6-11 23:22
我的看法是. 主动防御毕竟不是扫描类. 还是要看运行的时候. 建立一个沙箱更好一点.

作者: mumaniu 时间: 2011-6-12 08:44
微点也是企业要考虑市场份额要考虑经济效益要知名度高影响力大，怎样才能够提高知名度提高市场份额？入乡随俗主动适应杀毒软件的测评游戏规则方便用户测试病毒包。说的动听一些发明微点软件是为了给广大网民做一些贡献帮助广大网民避免电脑病毒的骚扰，要达到这个目的实现这个理想首先需要广大网民认可微点软件。凭什么让网民认可微点？主动研发适应病毒测试的功能在权威测试中表现优异自然会得到网民认可。微点软件也是商品，商品质量特别好只是基础好还要广告营销好市场占有率高。以现在的测评习惯测评规则，微点必须研发终极复合扫描功能以对病毒包近100%的检出率赢得市场！这个复合扫描功能也要是智能的，扫描系统时与扫描病毒包时要自动区别对待：扫描电脑操作系统要以启发为主以虚拟机扫描为主，要考虑扫描速度不能太慢，整个系统有主动防御照顾也是扫描系统可以考虑速度的原因；扫描病毒包要考虑检测效果适当慢一些无所谓，病毒检出率100%比检出率50%的多用3分钟左右谁在意？杀毒软件当然要以病毒检出率高为荣。微点2.0应该是主动防御与扫描引擎的完美融合，既有强悍的主动防御又有终极复合扫描，复合扫描的病毒包测试成绩等于扫描引擎与主动防御的测试的综合效果。主动防御是质量的需要，复合扫描是入乡随俗开拓市场的需要，既然已经研发出微点扫描引擎了再推出微点终极复合扫描也是顺势而为。

作者: 879428722 时间: 2011-6-12 21:46
额.
  这个.
  怎么判断病毒包和普通用户的区别?
  现在测试可不光检出和误报啊.  还有资源占用/目录大小/等多种检测.
  我的看法是.
  如果这么看重检出.  那么在主动防御软件中加入沙箱模块.  可以由沙箱来运行硬盘内的文件.  并检测.  当扫描到可疑/未知文件时.  自动上报.  但是在沙箱中检测到的病毒/可疑/未知文件并不删除.
  这样就可以增加病毒入库效率了.
  但是在非检测状态下不使用沙箱用以减少资源占用.
  这样检出和防御都很高.
  你看我这个设想如何?

作者: 专业路过 时间: 2011-6-13 15:35
楼主有试过一个100M文件验证数字签名多少时间么？不切实际
再说对于沙盒这东西不能用在扫描上面的，本来人家病毒是死的，你给人主动跑起来？不涉及传播病毒么？用在监控还差不多，不过微点有主防足够了，沙盒这种破烂儿不过是介于特征码与主防之间不成熟的产物。

作者: 879428722 时间: 2011-6-13 19:52

Quote:

Originally posted by 专业路过 at 2011-6-13 03:35 PM:
楼主有试过一个100M文件验证数字签名多少时间么？不切实际
再说对于沙盒这东西不能用在扫描上面的，本来人家病毒是死的，你给人主动跑起来？不涉及传播病毒么？用在监控还差不多，不过微点有主防足够了，沙盒这种 ...

你说的是md5还是签名?  对照签名是反病毒软件的基本功.

  沙箱本来就是一个虚拟的系统.  运行病毒又如何?  360浏览器为何自称安全?  就是因为一个ie核心+一个sandbox.

  传播病毒?  制造病毒都抓不住.  更何况一个利用沙箱反病毒.
  微点2.0已经加入了沙箱. 只是因为我不知道.
  你说沙箱不怎么样?
  微点已经加入了沙箱模块了.
  和我的想法一样.  就是扫描.

作者: 专业路过 时间: 2011-6-13 23:29
真是悲哀........
虚拟机是模拟执行程序的,所有代码操作的不过是一块内存,模拟过程中根本不会对计算机进行实际IO,病毒不可能通过虚拟机组件提权,对真实系统无任何影响,但是分析速度太慢.总体效率极低

沙盒是真实执行,识别一定得风险因素拒绝执行并返回执行成功或者将对计算机造成的风险因素销毁或还原,条件模拟难度大,受系统局限性大,存在真实IO,分析速度较快.总体效率低.病毒有很大几率欺骗沙盒系统获取计算机控制权,对真实系统危险度较大,天底下你想不到的构思多了,不要认为自己是天才.

行为分析同样是真实执行,识别一定风险因素并让其继续执行后台记录行为,直到行为累加出发阀值报警,回滚所记录的风险因素,完全真实IO,不存在分析速度问题,不存在条件模拟问题,总体效率高,对真实系统风险度最大,被过等同于沙箱被穿结果

至于MD5与数字签名的区别,懒得打字了,楼上去弄明白RSA,SHA,DES,MD5这些算法的概念再来讨论不迟

[ Last edited by 专业路过 on 2011-6-14 at 00:16 ]

作者: mumaniu 时间: 2011-6-14 09:09
扫描以小红伞卡巴斯基诺顿等为代表，技术已经特别好了，在AV测试中检出率60%左右。这让用户怎么放心？花钱买个不放心的软件？如果虚拟机不行沙盒不行这个不行那个不行，不如用主动防御扫描引擎实机测试病毒包，测试完毕有绝对把握最好，如果没有绝对把握，附加系统还原把电脑操作系统还原到测试病毒包以前的状态。卡巴斯基加入了虚拟系统沙盒浏览器，微点加入点新技术也是应该的

作者: 879428722 时间: 2011-6-14 18:41
你用过虚拟机么?  所有操作可不是仅执行在内存中.  如果虚拟机中毒感染U盘.  那么.明白了吧.
-----------------------------------------------------------------------
请你仔细看我前面说的. 我已经把虚拟机/蜜罐/沙箱分开了.  只是考虑到资源所以只说了个沙箱.
------------------------
行为分析的特点我不知道.  但是根据你说的.  如果加入权限分配会怎样?
-------------------------------------------------------------------------
md5和数字签名的区别我知道.  md5是文件独有的身份证号.  数字签名是颁发给项目组的证明.  sha和md*是签名的根证书算法. rsa和des不知道.
-----------------------------------------------------------------------------------
  反病毒做得再好不如自己会用几项工具.  启动/驱动/加载的dll/签名/删除/虚拟机for沙箱/一个云端扫描器/脱壳虚拟机.
  会用这些比用什么反病毒强多了.

作者: 专业路过 时间: 2011-6-14 20:38

Quote:

Originally posted by 879428722 at 2011-6-14 18:41:
你用过虚拟机么? 所有操作可不是仅执行在内存中. 如果虚拟机中毒感染U盘. 那么.明白了吧.
-----------------------------------------------------------------------
请你仔细看我前面说的. 我已经把虚拟 ...

果然是高手~~!
不过虚拟机是分两种的,你说的是硬件虚拟机,他负责模拟hardware object,将虚拟机内操作系统的请求转向这个模拟出来的object,实现不与真实计算机设备I/O,就像wmware/vpc这样;另一种虚拟机是软件虚拟机,通俗一点就是指令虚拟机,由dos时期一直沿用到现在,这种虚拟机出于安全考虑是不能够执行特权指令的,所以可以很安全的运用在反病毒软件的仿真器中,你要说那种技术最好,我想没有最好的,能够把这几种方式全部运用别且控制的到位得当,那样效率和速度才是一流的,但是单单扫描中仅仅就是一个静态的过程,即使会运用到一些动态的方式,那也必须通过模拟使之在真实计算机上保持静态,不然就很可能发生意想不到的不安全因素,这些是对于一个安全爱好者必须清楚的东西

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn