Board logo

标题: 关于微点的主动防御的问题 [打印本页]
作者: 完美主义     时间: 2006-7-6 08:49    标题: 关于微点的主动防御的问题

请问微点的主动防御是不是就是其他软件说的启发式报警啊
是一样的概念 只是深入程度不同
还是根本是两种东西啊~~~



还有
微点是根据病毒的行为来判断的
但是我在解压缩某些文件时 我还没有运行
但是微点就报警了
为什么呢?
当然这种情况不多
有时候也要运行了才报警
为什么有这样的区别呢?

[ Last edited by 完美主义 on 2006-7-6 at 09:15 ]
作者: 惯睡旺     时间: 2006-7-6 09:24
#1  什么是主动防御?
微点以“程序行为自主分析判定法”为理论基础,其关键是从反病毒领域普遍遵循的计算机病毒的定义出发,采用动态仿真技术,依据专家分析程序行为、判定程序性质的逻辑,模拟专家判定病毒的机理,实现对新病毒提前防御。
4、自动提取特征值实现多重防护:在采用动态仿真技术的同时,有效克服特征值扫描技术滞后于病毒出现的缺陷,发现新病毒后自动提取病毒特征值,并自动更新本地未知特征库,实现“捕获、分析、升级”自动化,有利于对此后同一个病毒攻击的快速检测,使用户系统得到安全高效的多重防护。

PS:LZ先看一下置顶的帖子好不好..

另:启发式扫描应该还是属于特征值扫描技术,只不过比特征值扫描好一点而已.嘿嘿
作者: 烟雨无声     时间: 2006-7-6 10:58
楼主所说还没有运行就报警了是因为微点有两个"库",一个是病毒行为特征库,就是判断绝大部分未知木马和病毒的主要依据,另一个就是已知库,用来判断已知木马和病毒的,你说还没运行就报了,就是已知库判断出用病毒或者木马了!我是这么理解的,呵呵,楼主是否明白了?
作者: ballpointpen     时间: 2006-7-6 11:11


  Quote:
Originally posted by 完美主义 at 2006-7-6 08:49:
微点是根据病毒的行为来判断的
但是我在解压缩某些文件时 我还没有运行
微点就报警了
为什么呢?
当然这种情况不多
有时候也要运行了才报警
为什么有这样的区别呢?

也许是,解压的过程中某些程序已经自动(后台)运行了。

[ Last edited by ballpointpen on 2006-7-6 at 11:21 ]
作者: aidi     时间: 2006-7-6 12:27
楼主所说的启发式报警应该是启发式扫描技术;
启发式扫描应该是传统的特征值扫描的一次更新,它不仅是扫描那些已知的病毒特征值,而其加入了对特定指令的组合情况的扫描,并按照那些病毒常用指令出现的情况及组合,来判断是否为未知的病毒;
这就需要对程序文件进行反汇编处理再比对程序的指令,要是那个程序加壳了怎么办?要是那个程序把自己的指令加密了怎么办?要是程序到了内存中才把指令的加密解除运行本身呢?
当然启发式扫描也有它的优点,相对于传统的特征值扫描,它可以发现那些病毒的变种程序,但也避免不了误报;

ps:无论病毒的指令代码、壳如何变化,他最终的目的是不变的,要达到目的他的行为就同样不会变化,所以说最终还是要根据他的行为给他定罪!
作者: 完美主义     时间: 2006-7-6 16:41


  Quote:
Originally posted by 烟雨无声 at 2006-7-6 10:58:
楼主所说还没有运行就报警了是因为微点有两个"库",一个是病毒行为特征库,就是判断绝大部分未知木马和病毒的主要依据,另一个就是已知库,用来判断已知木马和病毒的,你说还没运行就报了,就是已知库判断出用 ...

已知库这个东西吗?
这个所谓的已知库不就是传统意义上的病毒库吗?
程序没运行当然没有可能通过它的行为来判断啊
所以就只能通过代码来比较了啊
这不就是病毒库吗?
但是微点不是号称没有病毒库的吗?~
作者: aidi     时间: 2006-7-6 16:52
“微点不是号称没有病毒库的吗?~ ”
我怎么没听说过,你在哪里看到的?
就记得微点的帮助文件里面有“已知有害程序特征库进行扫描”;
要是没有这个那些病毒名称是哪里来的?
楼上好像没看过帮助吧?
作者: Legend     时间: 2006-7-6 17:27
微点有已知病毒特征库,微点先使用已知有害程序特征库进行扫描,如果监测是已知有害程序,立即阻止该程序的运行,并对该程序及相关文件做相应的处理;如果没有在已知特征库接着用本地未知特征库扫描,监测是未知特征库的有害程序,立即阻止该程序的运行,并对该程序及相关文件做相应的处理;如果都没有在这两个库里,接着通过动态仿真反病毒专家系统监控和判断其是否是有害程序。
之所以微点也提供已知和未知特征库,其目的是为了迅速判断病毒,节省系统资源,这些只是微点行为判断的一个辅助,当然这些已知和未知特征库中的病毒,微点通过动态仿真反病毒专家系统一样可以拦截这些病毒。
作者: 反黑先锋     时间: 2006-7-6 17:34


  Quote:
Originally posted by Legend at 2006-7-6 17:27:
微点有已知病毒特征库,微点先使用已知有害程序特征库进行扫描,如果监测是已知有害程序,立即阻止该程序的运行,并对该程序及相关文件做相应的处理;如果没有在已知特征库接着用本地未知特征库扫描,监测是未知特 ...

学习了!

都不知道该怎么说了 比起那些中看不中用的杀软 年轻的微点太强大!
作者: 反黑先锋     时间: 2006-7-6 17:35


  Quote:
Originally posted by aidi at 2006-7-6 16:52:
“微点不是号称没有病毒库的吗?~ ”
我怎么没听说过,你在哪里看到的?
就记得微点的帮助文件里面有“已知有害程序特征库进行扫描”;
要是没有这个那些病毒名称是哪里来的?
楼上好像没看过帮助吧?

就是就是:D 楼主 光说不练假把式装下微点试试吧



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn