微点交流论坛

标题: 9月25日，夜有小雨，主动防御的尴尬 [打印本页]

作者: whitehat 时间: 2009-9-28 12:47 标题: 9月25日，夜有小雨，主动防御的尴尬

我联系到了刘旭，我也知道虽然电话不是刘旭本人接的。但是我知道刘旭也在旁边。但是相关意见虽然说给了刘旭听，但是说完后我却发现自己的内心是无限的心酸和心痛......

微点是将主动防御字眼写在自己产品上的第一人，但是主动防御的思想其实在生活中和其他安全类产品中都有了一定的应用。

什么是主动防御？
以程序行为自主分析判定法”为理论基础，其关键是从反病毒领域普遍遵循的计算机病毒的定义出发，采用动态仿真技术，依据专家分析程序行为、判定程序性质的逻辑，模拟专家判定病毒的机理，实现对新病毒提前防御。

官方的主动防御定义过于的狭隘。主动防御更加体现在一种对危险和风险的主动态度上。不知道大家玩过一个游戏叫”植物大战僵尸“。如果为了防止僵尸进入房子，在院子里放上一些植物就认为一切事情都OK，那么僵尸会最终吃掉那些阻止他的植物而进入房子，游戏也就结束了。主动防御的体现就在于，设置好一些防御措施后，还要根据现在的防御系统的反映来主动的加强和增援当前的防御设置和体系。

当然这个和微点的定义没有冲突，只是更广泛了些。

但是现在安全市场的使用者的心态是怎样的一种心态呢？我买了一个安全产品，就应该能保证我安全，买了你微点，我就不再管了，安全的事情就交给你全盘搞定吧。也就是说，如果人本身没有主动防御的意识，而光靠具有主动防御体系的软件，这样够吗？

尽管诺顿没有提出主动防御的字眼，但是他们在诺顿任务里，有许多利用计算机空闲时间进行扫描的任务；尽管卡巴斯基没有主动防御的宣传，但是其在技术想积极吸纳，并积极应用与自身，而不单一靠某个单一技术来通吃所有的安全问题。这不是卡巴的不自信的表现，也不是要吧自己整成个杂货铺。而是卡巴的主动防御的心态而已......

微点没有大量消耗内存的扫描过程，但是我们的主动防御在用户的被动防御心态的使用下确实显得有些尴尬，但是也学给了我们微点更多的机会......

我和刘旭提的建议就有，希望微点的行为库是由计算体系（如云计算）计算出来的，而不是单一的依靠人工搜集的，因为只有你的行为判断体系的速度赶在木马病毒的制造者思路之前，那么你就能把他们的威胁减少到最低点。

希望刘旭能在自己的产品中加入云查杀和云计算*（前者学贝壳，后者学趋势）。因为杀毒界需要这2项技术。

人总要成长，技术依然，过去大型的计算机只有科学领域才能使用上，现在云计算使得人人可以单一的使用某些大型计算体系提供的服务，也许将来会有更大的进步和转变。

云查杀本身是一个现在传统杀软搜集用户病毒文件的一个扩展，但是不算是颠覆。因为将来等到云普及的时候依然会面临云差异，云自身安全，云信任，云稳定性等等比传统杀软更多的问题。

我心痛而心酸的是，我自己的想法为什么要依靠别人来完成。在看看国内相互广告的鼓出和相互的口水战，这样的市场商业环境，真的适合我们后辈去发展吗？

反正杀毒软件是一个大泡沫，索性自己还是关注娱乐吧，毕竟那才是中国目前最挣钱的行业和fans最多的群体。哈哈，堕落了，伤心了......

作者: 星光HEAVEN 时间: 2009-9-28 13:05
支持你，楼主

作者: iuudt 时间: 2009-9-28 13:16
老早以前就说过这个问题了，

一句话，不管黑猫白猫抓住老鼠就是好猫

作者: iuudt 时间: 2009-9-28 13:17
楼主既然这么厉害，你也开发一个主动防御软件，我一定使用:D

作者: images 时间: 2009-9-28 13:26
有自己的思想和努力是值得鼓励、赞扬的，首先支持楼主的原创；
行为判断是主动防御，那么虚拟机算不算主动防御、启发式算不算主动防御、HIPS算不算主动防御？在主动防御的定义上相信很多软件都有自己的见解，但往往就是这些不同的概念混淆了用户对“主动防御”的理解。
用户的需求是什么呢？用户安装防病毒软件是为了什么呢？杀毒？防木马？
他们得到的效果又是什么呢？
选择了虚拟机他们觉得系统变慢了，因为扫描的时候很卡，他们得知主动防御很占系统资源，系统会变卡；
选择了启发式他们觉得扫描很快，但是误报很高，他们得知主动防御很高的误报；
选择了hips他们快要崩溃了，很多的高危提示，根本看不懂更别说正确选择了，他们得知主动防御不智能，不易操作使用；
......
最后他们给主动防御下了结论，主动防御并不智能、不容易操作、很占系统资源且会产生很高的误报，所以还是选择传统的杀毒软件吧，虽然有的时候会中毒，但升级后全盘扫描下还可以，不影响正常使用。

主动防御真的是这样子吗？
咱们支持的行为判断是什么样子的？
很多网友会说很安静、不占资源像“裸奔”、今天发现哪里被挂马了我的微点报警了、很久没中毒了、甚至有的爱好者说：“给我个过微点的样本吧”、又一种猥亵的过微点方法被封了，等等。
这些又说明了什么呢？

作者: hanker 时间: 2009-9-28 15:20

Quote:

Originally posted by whitehat at 2009-9-28 12:47:
主动防御更加体现在一种对危险和风险的主动态度上。不知道大家玩过一个游戏叫”植物大战僵尸“。如果为了防止僵尸进入房子，在院子里放上一些植物就认为一切事情都OK，那么僵尸会最终吃掉那些阻止他的植物而进入房子，游戏也就结束了。

我认识你的理解是错误的，当然我说的也不知道是否正确。
植物大战僵尸游戏没有玩过，既然你用这个游戏给我们比喻了微点防御病毒的理念，那我也给你说下我认为的不对之处。

植物大战僵尸，游戏内僵尸可能有多种，这一类僵尸怕这种植物，那好，我就中这种植物，此类僵尸看到这种植物应该都乖乖投降。那类僵尸怕那种植物，好，我中那种植物，那种僵尸也要乖乖投降，以此类推。可能院子内的草的种类会多，只要不同的僵尸走到怕的草类之上就乖乖就范。我认为的微点主动防御，应该是这样子。并不是楼主所说僵尸可以吃掉草，进入屋子。

当然哪类的僵尸怕哪种植物，这个需要分析。所以微点只要更新就可以杀掉这一类的病毒。

作者: hanker 时间: 2009-9-28 15:31
微点的行为库是由云计算计算出来的那会更广更多更快。
当然想法归想法，很好。
原来不知道有汽车的时候我们靠的是骑马，感觉速度还是可以。
我认为时代的进步，时代的变迁，时代的不同需求和时代的科技有很大关系。
如果火车汽车飞机500年前就有，那今天可能又会是另一种场面。
科技嘛，慢慢来，有想法当然很好，几千年前人们想登月，那也是想法，今天不也可以实现嘛。
我说这个不是攻击楼主的意思，呵呵。希望楼主能理解。
当然楼主有云计算来计算病毒行为特征的能力，我相信刘总会请你。（当然会不会我也不知道）

作者: whitehat 时间: 2009-9-28 15:46

Quote:

Originally posted by hanker at 2009-9-28 15:20:

我认识你的理解是错误的，当然我说的也不知道是否正确。
植物大战僵尸游戏没有玩过，既然你用这个游戏给我们比喻了微点防御病毒的理念，那我也给你说下我认为的不对之处。

植物大战僵尸，游戏内僵尸可能有 ...

植物大战僵尸不是你说的那个样子的，亲自玩玩吧，僵尸和植物没有对应的生克关系。是我女朋友介绍给我的。很有意思。我强调的是主动防御的意识......

其实你的理解我不敢苟同。僵尸吃掉草是早晚的事情，而任何一个技术，对于病毒制造者而言被攻破也是早晚的事情，所以我们才要将被动防御的心态转变为主动防御的心态。积极的去想办法，去找更多的植物和制造更好的植物品种。并发挥各个植物品种的特点去阻止僵尸。僵尸是杀不完的。

[ Last edited by whitehat on 2009-9-28 at 15:54 ]

作者: hanker 时间: 2009-9-28 15:54
当然楼主后面的感慨我也一样痛心，国内的杀毒行业基本没有走出去的，广告的鼓出和相互的口水战，这样的市场商业环境，真的让我想起了鬼子的一句话。（这句话这个时间还不能说）
我看国内这几家就应该好好和微点学习，埋头干自己的技术，我现在想起什么0还有什么星的那啥山，天天想着我怎么去吹吹自己的产品，相互之间鼓捣鼓捣提提名气就恶心。太恶心了。

作者: 饭桶小白 时间: 2009-9-28 16:38
我认为如果是单纯的主动防御根本不需要孕安全，有孕安全也没有用，反而是累赘！为什么这样说？孕安全的目的是发现更多的未知病毒和木马，这想法是没错的，对于传统的靠特征码查杀病毒的杀毒软件来说很好用，也很有必要！但是对于像微点这种靠行为杀毒的软件来说就没多大必要了，因为微点的未知病毒木马的定义是和传统的杀毒软件的定义不同的，微点的未知病毒木马是指目前微点还没有相应的规则来查杀的那一类病毒木马，而不是传统杀毒软件不能查杀的那一个病毒！一个和一类的区别不用说了吧！孕安全每天截获的病毒可能有几十万，但是对于微点来说有价值的有几个呢？？

作者: 李莫愁 时间: 2009-9-29 00:48
超版及楼主各位大大，你们应该多关心一下楼主这位同学，不要让他一个人呆着，多陪他说说话，参加一些集体活动。如果还不见有什么好转的话，可以送到医院观察一下;)

作者: whitehat 时间: 2009-9-29 13:43

Quote:

Originally posted by 饭桶小白 at 2009-9-28 16:38:
我认为如果是单纯的主动防御根本不需要孕安全，有孕安全也没有用，反而是累赘！为什么这样说？孕安全的目的是发现更多的未知病毒和木马，这想法是没错的，对于传统的靠特征码查杀病毒的杀毒软件来说很好用，也很有 ...

部分支持你的看法。

说个小故事：

一天御剑后脚跟疼，于是他来到西医院，医生诊断为肌腱炎，开了一些消炎的药物，御剑回去后，吃了几天病好了；在同一天，大汉天子的后脚跟也疼了，于是他来到了中医店，老先生说，没事，着凉了，回去休息几天就好了，结果正如这位老大爷说的那样，大汉天子的后脚跟好了。

呵呵，上面的故事能讲的点很多很多，我主要说其中的“医”和“药”的问题。
医生相当于引擎，只有医生正确的定位了病因才能谈病理和治疗方案。云计算不应当只能计算特征码，也可以计算行为。当然目的是相同的。至于药物以前大家都争论过。

主动防御是相对于特征码而言，他确实可以使用专家系统，行为判断的方式，预防很多特征码收录不到的未知病毒。但是他的响应是要求被动的出发，而用户也是被动的使用微点来进行防范的，所以说，这个是主动防御的尴尬（准确讲是微点的主动防御）。

特征码和主动防御有很大的交集。不应当厚此薄彼。

国内IT环境的不健康，QQ就是有后门；百度8就是有木马，瑞星就是不能完全拆载。这些中国特色的病态行为存在着，说明了现在互联网法律的不完善和政府的@!#$%^&.

[ Last edited by whitehat on 2009-9-29 at 13:57 ]

作者: whitehat 时间: 2009-9-29 13:54
5楼说的很好。希望能继续交流。

#5

有自己的思想和努力是值得鼓励、赞扬的，首先支持楼主的原创；
行为判断是主动防御，那么虚拟机算不算主动防御、启发式算不算主动防御、HIPS算不算主动防御？在主动防御的定义上相信很多软件都有自己的见解，但往往就是这些不同的概念混淆了用户对“主动防御”的理解。
用户的需求是什么呢？用户安装防病毒软件是为了什么呢？杀毒？防木马？
他们得到的效果又是什么呢？
选择了虚拟机他们觉得系统变慢了，因为扫描的时候很卡，他们得知主动防御很占系统资源，系统会变卡；
选择了启发式他们觉得扫描很快，但是误报很高，他们得知主动防御很高的误报；
选择了hips他们快要崩溃了，很多的高危提示，根本看不懂更别说正确选择了，他们得知主动防御不智能，不易操作使用；
......
最后他们给主动防御下了结论，主动防御并不智能、不容易操作、很占系统资源且会产生很高的误报，所以还是选择传统的杀毒软件吧，虽然有的时候会中毒，但升级后全盘扫描下还可以，不影响正常使用。

主动防御真的是这样子吗？
咱们支持的行为判断是什么样子的？
很多网友会说很安静、不占资源像“裸奔”、今天发现哪里被挂马了我的微点报警了、很久没中毒了、甚至有的爱好者说：“给我个过微点的样本吧”、又一种猥亵的过微点方法被封了，等等。
这些又说明了什么呢？

+++++++++++++++++++++++++++++++++++++++++++++

虚拟机的诞生初期的意义是为了了解给病毒脱壳；启发式是为了对付多态病毒。在病毒与时俱进的时候，迫使防毒新技术发展，也是一种好事情，在整个反毒发展中，多项技术的应用和用户的接受需要一个过程。

主动防御是个概念，不应当特指某某公司的某一个固定的技术。应当是指一种对待未知病毒的心态。

由于微点是讲主动防御写入软件宣传的第一人，所以在市场上出现混淆主动防御概念很很容易理解的事情。这点，微点在宣传上的瑕疵，自己的技术主题不应当选的那么大。

作者: whitehat 时间: 2009-10-9 14:57
行为判断可以查处特征码不能发现的病毒，所以，微点就说自己的“主动防御”。但是这个太过程性和阶段性。希望能发展为一个持续性的主动防御......

我现在在像微点的退路是什么了,哈哈~~~:lol::lol::lol:

作者: 镜湖YES 时间: 2009-10-9 21:18
不客气的说，楼主太可笑了，逻辑没学好。我们来看看楼主是怎么说的：

“我和刘旭提的建议就有，希望微点的行为库是由计算体系（如云计算）计算出来的，而不是单一的依靠人工搜集的，因为只有你的行为判断体系的速度赶在木马病毒的制造者思路之前，那么你就能把他们的威胁减少到最低点。”

这就是楼主的建议。让人好笑的建议。楼主显然受到了传统软件所标榜的“云安全”的影响，由云来提取病毒的特征码，解决人力与病毒更新较量的过程中，速度慢，效率低的缺点。楼主也希望微点来个云分析的行为库，而非人为分析病毒的行为。
问题就出来了，刘旭早就质疑过，既然云可以彻底分析病毒那为什么要将这样的程序放在云端，而不直接放在客户端呢？简言之，如果非人为的云计算可以分析新的病毒行为，那就直接升级微点主动防御软件好了，让它达到云计算的水平，何必来个“远在天边的云呢”。何必呢！！！！！！！！！！！

[ Last edited by 镜湖YES on 2009-10-9 at 21:30 ]

作者: centrino 时间: 2009-10-10 10:16

Quote:

Originally posted by 镜湖YES at 2009-10-9 21:18:
不客气的说，楼主太可笑了，逻辑没学好。我们来看看楼主是怎么说的：

“我和刘旭提的建议就有，希望微点的行为库是由计算体系（如云计算）计算出来的，而不是单一的依靠人工搜集的，因为只有你的行为判断体系 ...

很赞同楼上的观点，楼主太可笑了，总是舍近求远，整天除了在那意淫之外能不能干点实事？东边一个建议，西边一个想法，总把自己想象的跟刘旭多熟一样，人家知道你是谁啊？？？:cool:
既然云可以彻底分析病毒那为什么要将这样的程序放在云端，而不直接放在客户端呢？:D:D:D

[ Last edited by centrino on 2009-10-10 at 10:18 ]

作者: whitehat 时间: 2009-10-13 09:58
#15

不客气的说，楼主太可笑了，逻辑没学好。我们来看看楼主是怎么说的：

“我和刘旭提的建议就有，希望微点的行为库是由计算体系（如云计算）计算出来的，而不是单一的依靠人工搜集的，因为只有你的行为判断体系的速度赶在木马病毒的制造者思路之前，那么你就能把他们的威胁减少到最低点。”

这就是楼主的建议。让人好笑的建议。楼主显然受到了传统软件所标榜的“云安全”的影响，由云来提取病毒的特征码，解决人力与病毒更新较量的过程中，速度慢，效率低的缺点。楼主也希望微点来个云分析的行为库，而非人为分析病毒的行为。
问题就出来了，刘旭早就质疑过，既然云可以彻底分析病毒那为什么要将这样的程序放在云端，而不直接放在客户端呢？简言之，如果非人为的云计算可以分析新的病毒行为，那就直接升级微点主动防御软件好了，让它达到云计算的水平，何必来个“远在天边的云呢”。何必呢！！！！！！！！！！！

+++++++++++++++++++++++++++++++++++++++++++++
是这样，因为微点在系统中的探针个数和种类是定值，也就是说按照微点的威胁规范，在单位时间段内其整体的能够防御的病毒总威胁行为是定值。是可以计算出来的。而且数量上根本用不上云计算来实施的。
   从微点这个特点出发，就主动了微点早晚会面临和特征码一样的滞后性。
   1.你的意思，微点不是传统软件一样。
   2.云计算提取的不单单是特征码，很多时候各家的云和云在内部机制上差别很大。
   3.云计算效率不低。

我已经说过了，最初的云分2种，一种是富客户端，一种是富服务端，只是随着google公司的推出云计算的概念，使得人们一体云计算就会想到富服务端的云。

至于为什么要采用“远在天边的云”。原因有：
1.你在村委会得病后如果村委会治疗不了，一般情况下会有一个措施叫“转院”。而对于用户而言，一个杀软如果不能防御他的计算机安全，常常会选择更换山毒软件。而云端的出现一定程度上避免了这点。这个可以说很多，自己领悟。
2.病毒库（行为库）等级制的实施方法所致。不说太多。
3.“主动防御”理念的必然。
4.互联网广泛应用的结果。

微点的更新和云的更新不是一个档次。

[ Last edited by whitehat on 2009-10-13 at 10:16 ]

作者: whitehat 时间: 2009-10-13 10:01

Quote:

Originally posted by centrino at 2009-10-10 10:16:

很赞同楼上的观点，楼主太可笑了，总是舍近求远，整天除了在那意淫之外能不能干点实事？东边一个建议，西边一个想法，总把自己想象的跟刘旭多熟一样，人家知道你是谁啊？？？:cool:
既然云可以彻底分析病毒那 ...

++++++++++++++++++++++++++++++

为你微点提建议看来还提出毛病来了啊，呵呵~~~~

看来对于微点这个论坛不能说建议，以后如果有人找瑞星的公关联系下，都来这里夸微点，估计也一样可以整死这个论坛吧~~~~

要是这样的论坛文化微点前途在哪啊？

[ Last edited by whitehat on 2009-10-13 at 10:08 ]

作者: hanker 时间: 2009-10-13 10:15

Quote:

Originally posted by whitehat at 2009-10-13 09:58:
#15

是这样，因为微点在系统中的探针个数和种类是定值，也就是说按照微点的威胁规范，其整体的能够防御的病毒总威胁行为是定值。是可以计算出来的。而且数量上根本用不上云计算来实施的。
   从微点这个特点出发，就主动了微点早晚会面临和特征码一样的滞后性。
   1.你的意思，微点不是传统软件一样。
   2.云计算提取的不单单是特征码，很多时候各家的云和云在内部机制上差别很大。
   3.云计算效率不低。

我已经说过了，最初的云分2种，一种是富客户端，一种是富服务端，只是随着google公司的推出云计算的概念，使得人们一体云计算就会想到富服务端的云。

至于为什么要采用“远在天边的云”。原因有：
1.你在村委会得病后如果村委会治疗不了，一般情况下会有一个措施叫“转院”。而对于用户而言，一个杀软如果不能防御他的计算机安全，常常会选择更换山毒软件。而云端的出现避免了这点。这个可以说很多，自己领悟。
2.病毒库（行为库）等级制的实施方法所致。不说太多。
3.“主动防御”理念的必然。
4.互联网广泛应用的结果。

微点的更新和云计算的更新不是一个档次。

你有一点我很赞同，已经标出来了，红色的，不错，手工的添加行为在将来，这个将来可能是10年左右，手工行为可能会出现今天的特征码滞后的问题，但是这个10可能还会有更好的技术出现，当然行为分析的特点大家都看到了，行为分析弥补了特征码的严重滞后性。

当然用云来计算行为肯定要比人工的要快要广，但是目前我想这种技术目前还不能实现，我原来就说嘛，就像原来几千年前人们想飞一样，那暂时是个想法，有想法很好，只要有了想法就有了奔的目标。支持楼主。
;);););)

作者: whitehat 时间: 2009-10-13 10:32
谢谢hanker版主能静心和我讨论这些。将HIPS得到的各个行为连贯起来看待，并且能计算出相关的软件行为语义，这样的软件还没有面世，但是大家都在研究。希望微点能发挥自己的长处，因为微点最接近，虽然真正的工作原理相差千里。

tbscan这个软件不知道你接触过没，有机会看看，早于微点很多年。（现在已经在Norman里了）

微点的软件构架值得赞下，但是在抓住软件行为后，“依靠人为经验”判断行为优略，这点一直是我不看好的地方，虽然在另外一个帖子里一个网友很矫情的认为这个不是缺陷。哎.....

10年？呵呵，现在那款杀毒软件中没有行为判断模块？？？这块领域不是缺少了微点一家整个安全领域整体水平就倒退10年......10年后刘旭多大了？微点都可能不在了，别不爱听.............

[ Last edited by whitehat on 2009-10-13 at 10:46 ]

作者: jackybaby 时间: 2009-10-13 10:51
LZ的想法很好，但不知怎么实现······

作者: hanker 时间: 2009-10-13 10:57
呵呵，你说的那个软件还真没用过。
有一些说法赞同，有一说说法俺也有不同的意见。
就比如杀毒软件常见的虚拟机和启发来说吧，杀毒软件基本都有了，那为啥有好的有差的？还是没掌握好技巧和技术。人家用同样的东西杀出来的就比你多，你说有很多杀软有行为判断，那他们的行为和微点的行为又有什么区别呢？
这个一比较一测试就出来了，东西是有，原理也知道，就是不会用，呵呵。这应该就是传说中的技术吧.......

作者: whitehat 时间: 2009-10-13 11:13
如果单纯谈论技术，哪就应该去做研究，去做科研，有现在的计算机应用，到计算机技术，如果足够牛去建设一些计算机分支去做计算机科学。努力做一个好的科学家。

但是做企业就不能单单只考虑技术这个层面。

从现在的发展看安全领域，微点不具备优势的，特别和卡巴诺顿，或者麦咖啡这样的老牌去比。

360没有自己的技术，但是却因为初期的市场定位和社会需求而及早的占领了用户桌面。而安全领域光依靠投机而没有技术早晚会出问题。但微点面临的问题却比360要复杂的多。

现在安全领域大洗牌，360起到了推波助澜的作用。有竞争就有有进步，最终收益的是消费者。

基本上安全软件功能同化这个也是大势，要做出自己的亮点来，更加的不容易的。而且国内的厂商也都在努力，瑞星比以前强了不少的说。

都努力吧~~

[ Last edited by whitehat on 2009-10-13 at 11:16 ]

作者: hanker 时间: 2009-10-13 11:32
错了，安全公司主要就是靠技术，360 就别提了，你让 360 卖钱，它能卖的动吗？
微点的技术本身就是个优势，上贴我说了，微点的行为分析弥补了现杀毒软件的滞后性，微点目前推广可能和微点公司本身的一些原因有关系，具体太深的我也不知道。当然用量肯定没老牌的大，但微点的技术本身就是个趋势，再看未来两年的。呵呵.........

作者: whitehat 时间: 2009-10-13 11:39

Quote:

Originally posted by hanker at 2009-10-13 11:32:
错了，安全公司主要就是靠技术，360 就别提了，你让 360 卖钱，它能卖的动吗？
微点的技术本身就是个优势，上贴我说了，微点的行为分析弥补了现杀毒软件的滞后性，微点目前推广可能和微点公司本身的一些原因有关 ...

:P 微点加油！希望他能成功！

还有，你应该分析下现在弥补特征码滞后性的方法。微点同样脱离不了特征码。

[ Last edited by whitehat on 2009-10-13 at 11:44 ]

作者: whitehat 时间: 2009-10-13 11:53
去吃午饭。www.comodo.com，公司还是不错的，嘻嘻:P~~~

作者: whitehat 时间: 2009-10-15 12:32
刚才从搜索引擎快照里看到很多被微点论坛删除的帖子，呵呵，想想微点也不过如此。

作者: 似水丶年华 时间: 2009-10-20 13:12

Quote:

Originally posted by whitehat at 2009-9-28 15:46:

植物大战僵尸不是你说的那个样子的，亲自玩玩吧，僵尸和植物没有对应的生克关系。是我女朋友介绍给我的。很有意思。我强调的是主动防御的意识......

其实你的理解我不敢苟同。僵尸吃掉草是早晚的事情， ...

植物大战僵尸我玩过，
确实有植物相克僵尸，否则，你是玩不过去的。
而且还要动脑子，
那请问要是只给你一种植物你能玩？

作者: whitehat 时间: 2009-10-20 18:25

Quote:

Originally posted by 似水丶年华 at 2009-10-20 13:12:

植物大战僵尸我玩过，
确实有植物相克僵尸，否则，你是玩不过去的。
而且还要动脑子，
那请问要是只给你一种植物你能玩？

并不是明显的生克关系，只是随口一说。呵呵......

作者: 坐照 时间: 2009-10-22 09:21
我觉得安全公司不光要靠技术，还有靠营销。

windows赢在技术，更赢在营销上。

360的周鸿祎，被人笑称岳不群。他是靠3721发迹的，后来搞了个360，来“自宫”掉3721。3721也好，360也罢，在它们所处的阶段，都是成功的。它们的成功不仅仅是技术的原因。

微点目前在营销上动作不大，我相信有它的考虑。

作者: whitehat 时间: 2009-10-25 19:26

Quote:

Originally posted by 坐照 at 2009-10-22 09:21:
我觉得安全公司不光要靠技术，还有靠营销。

windows赢在技术，更赢在营销上。

360的周鸿祎，被人笑称岳不群。他是靠3721发迹的，后来搞了个360，来“自宫”掉3721。3721也好，360也罢，在它们所处的阶段，都 ...

当然，你所说我很赞同。很多事情我们经历的多了就会明白的，一个科研人员和商人还是不一样的。

微点是真正的主动防御吗？我感觉真正把主动防御概念给客户增加困惑的恰好是微点自身，行为判断在93年就开始有杀毒软件在尝试了，所以就技术本身而言，微点在理念上没有创新，所有的独到的地方是自己的技术实现和软件设计而已。而且微点在开始就走了不少的弯路。

刘旭的《云计算不是救世主》中谈到：“云安全目前还只是概念，它仍然没有回答最重要的问题——如何自动识别新病毒”，而微点回答了，就是在“人为经验”上来识别新病毒。这个回答真的很彻底吗？专家系统的判断依据是人为赋予的。所以客观上讲，微点只是完成了一个人为识别方式的另种表达，而没有根除人为的判断干涉。当然这种方式是值得肯定的。

所以很多时候想微点让我很矛盾，而且微点面临的问题还有很多，不单单在技术上，由于微点成立不久技术积累和产品稳定性都是问题，如果企业版的产品频繁重启用以更换内核，那这样的产品会受到企业的青睐吗？还有宣传，很多时候我们谈360.但是360确实在最正确的时候做出了最正确的事情，所以360的装机量有现在这个水平是很正常的，我厌烦的是他的企业姿态和企业文化。但是微点呢？

路还很漫长。

作者: xbox3ps360 时间: 2009-10-30 01:36
这贴有含金量。深夜起床顶之。

作者: lwbwd 时间: 2009-11-1 23:25
深夜顶帖！
顶好帖！

作者: blue03 时间: 2009-11-6 20:33
这帖确实不错
所有的人都该想lz和hanker版主一样，心平气和的谈
虽然是微点的坛子，但也不能太排斥别的观点
不过我还真不懂技术

作者: lotei 时间: 2009-11-9 13:29
好久没上了！病毒版居然有益友光临！不甚感激！回下帖吧！
LZ对杀毒行业的理解和杀毒圈的见解我很认同！
tbscan做了很多年！最后被诺顿收了！很遗憾，后来在诺顿的身上却很少看到过tbscan的影子。

杀毒圈里面风风火火过了几十年，一直觉得杀毒软件几个算是前辈品牌杀软是值得今天的微点去细心学习的！
谈及主动防御，个人认为微点是有资格和有底气出来说些什么的。05做主防至今，微点一直坚持自己深稳渊重的作风，可以说微点是杀毒软件圈少有的一家上进的企业之一，当然这个企业坎坷的历程也放慢了研发的脚步。这是后来我们的遗憾！

行为分析判读技术作为一种新的病毒判读技术开启了反病毒的一种全新的领域，是另一种发展思路，不管他是否完全属于人工智能但他远超于特征码识别不假。卡巴，诺顿，麦克菲都承认了这个趋势，也在大力研究。这个跟楼主刚才说的诺顿收tbscan就可以证明。

云安全微点从未说不对，只是这种技术目前并不适合目前的技术水平。我相信微点有一天也会有云安全，也许像楼主说的那样，这并非天方夜谭。
微点并非想神话他的技术，微点做的技术都很平凡，楼主也知道九几年就提出理论了，只微点比他们先做，而且做得更好，成一个产品。以后也会这么一直研究下去，微点也从不把技术壁垒当天大的事情。呵呵
05年至今，微点依旧默默无闻，少人问津，不是因为这个公司不思进取而是这个公司面临的非常规的问题太多，但这个公司在刘旭的主持下依旧有条不紊的挺过去了，也需我看来这少许有些悲情，但正是恰恰证明这家公司坚韧的企业文化和进取精神。
没有这个理想微点扛不到今天。楼主可能很难想象，微点人曾经过着怎么样的生活。

微点05年出来，卫士06，我个人觉得360做得很出色，而且也很成功，他们把握住了机会，微点由于某些原因（个人觉得这个原因不在微点本身）没有把握住，这个我个人觉得是非常遗憾的，今天微点的产品的市场定位和市场策略有他的特殊性。但是我觉得几年的磨练已经把微点人的意志和团队精神锻炼得非常棒了！微点有能力迎接未来杀毒圈的任何风雨，这个企业道路只会越来越通途。

另外comodo我也很看好！呵呵！

[ Last edited by lotei on 2009-11-9 at 13:31 ]

作者: hwxiao 时间: 2009-11-19 18:08
微点主防靠行为分析判断是否病毒，对病毒行为的分析过程本身就是
一个滞后过程，除非你猜透了制毒者将实施怎样的破坏行为，这才是
真正意义的主动防御。
所以无论主防还是特征码扫描，都是滞后的。但主防的优势在于：
只要新病毒的破坏行为方式没有根本改变，主防能通杀，特征码却不能。

因此主防的关键是不断优化行为判断规则，尤其是具有前瞻性。换个角色看，
杀软开发者能达到一个超级制毒者境界，才有可能洞悉病毒将会干什么。这样的
行为判断规则才可能具有最高的主动性。

但杀软永远滞后病毒却是一个不变的真理。

作者: jack_ps_wang 时间: 2009-11-20 19:35
争辩出真知。。。。。。。

作者: whitehat 时间: 2009-11-28 13:16

Quote:

Originally posted by lotei at 2009-11-9 13:29:
好久没上了！病毒版居然有益友光临！不甚感激！回下帖吧！
LZ对杀毒行业的理解和杀毒圈的见解我很认同！
tbscan做了很多年！最后被诺顿收了！很遗憾，后来在诺顿的身上却很少看到过tbscan的影子。

杀毒圈里面 ...

多聊聊吧。呵呵。

大蜘蛛在93年内部就有行为的判断流程了，我记得我开始看到微点的时候，还以为就是tbscan的灯变成弹出提示框，后来仔细看了下微点的软件设计比tbscan复杂了很多。

其实在微点论坛上很明显的大多的点饭或者微点内部的宣传上看都认为特征码是过时的落后的。
特征码从诞生之日起就不是为未知病毒准备的规范。所以那所谓的“主动防御”来发现未知病毒这个特点而笼统的去说特征码是过时的，落后的，这个说法本身就是不负责任的。

就象量子力学和经典力学一样，两个不同的体系，根本是不能比较的范畴，只是应用领域不同而已。在已知病毒使用特征码/特征字来进行管理和规范是非常正确的方法；而对于未知病毒，使用虚拟机，高启发以及相应衍生出来的蜜罐观察，行为监控等等方法都是很实用的。对于不同的对象实用不同的方法才可以，而且当一个病毒已知后，实用一个简短的特征码来描述难道不是一个很好的方法吗？

而且微点的“主动防御”本身就特征码而言不具备可复制和可交换.可流通的特点；而特征码在行业内部交换病毒库是非常方便的事情。这点微点没有起到积极的作用和长远的良性影响。这个是有微点的黑盒处理方式所决定的。

作者: whitehat 时间: 2009-11-28 13:36 标题: 呵呵，难得版主能来。

lotei
版主

病毒区地方父母官

呵呵，难得你在帖子中对微点如此的满怀深情。这样的情绪我也曾经有过，但是......
"05年至今，微点依旧默默无闻，少人问津，不是因为这个公司不思进取而是这个公司面临的非常规的问题太多，但这个公司在刘旭的主持下依旧有条不紊的挺过去了，也需我看来这少许有些悲情，但正是恰恰证明这家公司坚韧的企业文化和进取精神。
没有这个理想微点扛不到今天。楼主可能很难想象，微点人曾经过着怎么样的生活。
"
一个公司，有着一个怎样的领导就有着怎样的一种公司文化，而这些都时刻影响着公司的每一步的响应策略。
据我的了解，刘旭这个人在性格上就有着重研发清销售的特点；而在江民的公关邮件中又提到毛一丁之流的口舌之能是从刘旭那里学来的。当时我很长时间的困惑刘旭是则样的一个人。但是后来在卡饭上看到有人拍到中关村的微点人体移动广告的帖子后，我讲个我的mm，她的原话是：“这样的宣传手段一点都不像是一个大公司的行为，公司出的产品也好不到哪里去吧？”我听完后想了良久......

   我们谈360.瑞星，金山，微点，这样的几个名字后，你首相想到的是产品还是这个公司？二者有联系但是也有很大的区别。

   一群再优秀的研发人员却无法决定这个产品最终能得到市场的认可。技术瓶颈会很快攻破，但是剩下的事情却不是研发人员能参与和控制了的。

   所以微点在目前市场上遇到的问题都是由公司的决策者性格所决定的。本质上怪不得别人。

作者: whitehat 时间: 2009-11-28 13:38

Quote:

Originally posted by hwxiao at 2009-11-19 18:08:
微点主防靠行为分析判断是否病毒，对病毒行为的分析过程本身就是
一个滞后过程，除非你猜透了制毒者将实施怎样的破坏行为，这才是
真正意义的主动防御。
所以无论主防还是特征码扫描，都是滞后的。但主防的优势 ...

大赞！！！！！！！！！！我是非常非常支持这个言简意赅的说法的。所以在我们理想的主动防御面前，微点还有很长的一段路要走，而且很大的情况是，微点只是在这个路线上的一个垫炮灰的......

作者: 寻找飞鹰 时间: 2009-11-30 13:06
继续讨论

作者: wisone 时间: 2009-12-3 21:58
再做五年，五年之中只要微点的技术不断前进，微点的员工经的住风雨，微点何必做广告？广告做的再好，没有技术支持，一样会被淘汰。用低调行为做高姿态的事情。还有，LZ说的初衷是纯技术的讨论，后来却讨论到公司的市场定位和营销，以及刘旭的性格，这些事情可能是一问题，但这仅仅是一个可能，而且这个可能是人家内部的问题。谈到个人性格，个人认为，做技术的就做技术，太多商业化想法就会影响技术的攻克。个人感觉LZ的技术看似挺高的，建议可以到微点应聘啊，我想一个经得住考验的团队应该是有新血液不断循环的团队。而却如果LZ真的能把微点带出现在的窘境，我想这个是我们都愿意看到的，毕竟微点经历了太多的波折。向微点这样的情况是不会发生在一个健全和人性的社会的，就是因为太多的营销，太多的攻击，而不是躬身于技术的研发才使得现在的杀软市场混乱不堪。没有攻击任何人和哄抬任何事的想法，只是自己的想法。姑且看之，一笑而过。

作者: han 时间: 2009-12-8 12:20
前楼有人讲：不管黑猫白猫，逮到耗子就是好猫。好虽短，但有道理，怎讲：

使用特征码查杀病毒的软件方法可能不同，但它们只需要那些特征字串，（如果知道病毒的特征码，并且特征码是核心部分，我想用WINHEX全盘替换都可以让病毒失效）就是说特征码杀软厂家之间是可以交换特征码相互丰富完善，对用户和软件商，大家异曲同工，平等竞争，特征码很重要，但不是厂商的本钱。
然而微点“主动防御”靠的是什么，借用厂家的说法是“行为判断”规则和防人技术，那这就非常独特了，如果某厂商拿十万条特征码与刘旭交换他的核心“行为规则”，那微点就没有存在的可能了。
灯笼是张纸，戳破不值钱。
老实说，本人左想右想，就是想不通“主动防御”之类似于“敌不动我不动，敌若动我先动”这种状况的判防病毒方法，甚至怀疑是不是古人骗人的把戏。想不明白，于是不管了，我想微点不管它宣称的是什么，作为用户，也不必逼刘旭说“我不提“主动防御”了，我把我的机制和黑盒昭示天下让大家安心吧”。举例说很多祖传秘方能治病，但我们不能逼迫人家说出配方，就是说，我们不应该追究他的说法，而应该在意它的实效。
实际上，本人及周边人的使用情况看，从卡饭论坛多数人的看法看，微点防毒方法虽然独特，但效果至少不比其它杀软次多少，至少有存在的道理。

简言之也是懒言之：不管黑猫白猫，逮到耗子就是好猫。

楼主后面一些回复出发点是为微点好，也是有道理的，但比较主观，或许如版主所言，有些不是微点不想那样做，而是不得已。

个人见解，如有冒犯，请海涵

本人非微点什么饭什么丝什么枪什么甲的。

作者: whitehat 时间: 2009-12-17 13:59
好久没来了，很高兴看到还有人读这个帖子。:D

上面2位都说的很好哦。～～～有那么多用户关注微点，相信微点还是可以捞笔的。:lol:（太直白了吧）～～

作者: wolf001 时间: 2009-12-20 16:48
看上面几位君的话，长好几年见识

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn