Board logo

标题: 技高一筹的微点 [打印本页]
作者: 反黑先锋     时间: 2006-7-29 23:01    标题: 技高一筹的微点

 
微点,确实觉得技高一筹。尽管它的防杀能力还需要进一步提高,但“主动防御”这个理论已经初放光芒。许多人对这个理论并不了解,却一味在旁边发出“这样的技术不可能,不现实”之类的话。微点公司官方对这项技术的解释可能过于抽象,下面由我这个微点迷来解释下。


 如果现在世界上有100万种不同的病毒,特征扫描(也就是现在传统杀软用的手法)需要知道100万个特征,即使是启发式扫描,知道50万个特征是至少的吧~  而这100万个病毒破坏机算机的行为只有30万种,那么只要防住这30万个行为,就彻底防住了这100万个毒。

 现在又出现了1万个新毒,而这些毒的行为又在30万种内,那么它们将发挥不了作用。

 这项技术先进处在于:无需扫描,行为特征库较小(相对于特征扫描)


为什么微点要收集病毒样本?也是为了提取更多行为特征。现在这个软件还只是雏形,等到其行为数据库足够大的时候,微点的时代就会到来!


 病毒样本区里都是各大杀软易漏杀的毒。我下载了很多,并大但地运行,微点全都防住了,虽然说生成了一些空文件夹和0字节文件,但已经无害了。

微点承受的压力已经很大了,一个新事物的出现往往很带来轩然大波不是吗,它需要大家的支持,不要一味仰赖于国外的什么“杀软排行榜”,更不要没有试过就妄下定论。

 欢迎共同探讨。

[ Last edited by 反黑先锋 on 2006-7-30 at 08:56 ]
作者: 反黑先锋     时间: 2006-7-30 08:52
帅。。;)
作者: 幻想2010     时间: 2006-7-30 10:00
支持!!!!
作者: 最爱咔吧     时间: 2006-7-30 11:22
为什么微点要收集病毒样本?也是为了提取更多行为特征。现在这个软件还只是雏形,等到其行为数据库足够大的时候,微点的时代就会到来!


等到特征码数据库足够大时, 微点成为杀软的时代久才会到来!
作者: 最爱咔吧     时间: 2006-7-30 11:24
相当一部分木马程序的病毒软体够及时拦截住,但是其行为没有拦截到,也就是木马造成的破坏无法拦截......
作者: 豆沙     时间: 2006-7-30 11:27
但是如果有动作的话,微点就一定能够拦截的,微点主要的是行为判断的,而不是特征扫描!
作者: 最爱咔吧     时间: 2006-7-30 11:43


  Quote:
Originally posted by 豆沙 at 2006-7-30 11:27:
但是如果有动作的话,微点就一定能够拦截的,微点主要的是行为判断的,而不是特征扫描!

一定? 你凭什么说一定??

咔吧斯基6依靠其强大的脱壳能力和强大的病毒库加上新增的行为判断,我认为其比微点仅有的 行为判断强多了,,至少没有那么多误判和漏掉病毒的情况
作者: 末妍     时间: 2006-7-30 11:51
我做过测试,从剑盟和绅博下载的,很多都是卡吧根本连反映都没有的,微点很多都报了,没报的,都是没有动作的,不信你可以自己去试试,说是没用的,重要的是实践。
作者: 反黑先锋     时间: 2006-7-30 11:58
 卡巴技术实力,设计理念很超前很先进。其优秀的宰杀能力为毒林一绝。无奈防弹衣弱点,尽管卡巴已经奋力改进,但问题依然层出不穷。没办法,谁让操作系统大寡头老盖不出让原代码呢。虽然缺少稳定根基是卡巴心口永远的痛,可是枭雄老卡偏偏不服这口气,在杀毒和监控技术上奋力一搏,它的成就赢得了同行广泛的尊重和称赞。这只来自俄罗斯的北极熊仿佛是用严格的数字方程式组成的武器。是以手中武器极其先进,杀伤力也巨大,卡巴喜欢四处出击,乱枪扫射,红色恐怖下极少有漏网之鱼。虽然体力常常敷不支出,可是北极熊的强悍与凶狠表露无疑。无奈它的雷达也算先进,但偶尔不灵的事故却时有发生,所以常常有杀敌一万,自损八千的尴尬。而且饭量也巨大,受诺顿的金龟微步的感染,杀毒时慢慢悠悠,令我辈心急如焚。这些都不受穷雇主欢迎,也令北极熊苦恼不已。  ……转贴
作者: 最爱咔吧     时间: 2006-7-30 12:02


  Quote:
Originally posted by 末妍 at 2006-7-30 11:51:
我做过测试,从剑盟和绅博下载的,很多都是卡吧根本连反映都没有的,微点很多都报了,没报的,都是没有动作的,不信你可以自己去试试,说是没用的,重要的是实践。

哦 这样啊 恩  你测试的都是些小毒而已....测试过一些恶性的病毒吗? 你去非凡论坛可以拿到一些恶性的病毒测试一下.

对了不要太相信微点的 行为判断 那些左键一点下样本就报警的 并且微点报了名称的 就是微点将其病毒特征码添加入病毒库的...这个不是行为判断 是和传统杀毒软件一样的 添加病毒特征码 实践证明  大部分加了特征码进去的样本 都是 微点行为判断无法拦截的样本  你可以把能报名称的样本用壳加一下,然后测试他的 行为判断  呵呵 你会发现事情真相了

如果对微点失望了 还是可以去试试咔吧斯基网络安全套装6.0   里面包含了行为判断技术的..
作者: Legend     时间: 2006-7-30 12:03


  Quote:
Originally posted by 最爱咔吧 at 2006-7-30 11:43:

一定? 你凭什么说一定??

咔吧斯基6依靠其强大的脱壳能力和强大的病毒库加上新增的行为判断,我认为其比微点仅有的 行为判断强多了,,至少没有那么多误判和漏掉病毒的情况

如发现有可疑的程序请及时发到我们的邮箱:virus@micropoint.com.cn,我们会做进一步的分析.
作者: 最爱咔吧     时间: 2006-7-30 12:05


  Quote:
Originally posted by 反黑先锋 at 2006-7-30 11:58:
 卡巴技术实力,设计理念很超前很先进。其优秀的宰杀能力为毒林一绝。无奈防弹衣弱点,尽管卡巴已经奋力改进,但问题依然层出不穷。没办法,谁让操作系统大寡头老盖不出让原代码呢。虽然缺少稳定根基是卡巴心口永 ...

这位朋友 你对卡吧的无端指责,无非说他查杀样本慢 还有稳定性差??!!

新版的卡吧六只要设置好了,查杀速度照样不慢,还有说道稳定性, 难道微点不是在微软平台上的?  微点的问题就少? 恐怕 微点的问题比AVP的问题多吧? 如果不服请举出例子!:cool:
作者: 惯睡旺     时间: 2006-7-30 12:43


  Quote:
Originally posted by 最爱咔吧 at 2006-7-30 12:05 PM:

这位朋友 你对卡吧的无端指责,无非说他查杀样本慢 还有稳定性差??!!

新版的卡吧六只要设置好了,查杀速度照样不慢,还有说道稳定性, 难道微点不是在微软平台上的?  微点的问题就少? 恐怕 微点的问题比AVP的问题 ...

倒塌.你这家伙是来捣乱的还是来挑泼离间的.....
作者: 反黑先锋     时间: 2006-7-30 13:01
 “最爱喀吧” 你好啊!

 呵呵 我可没对卡吧的无端指责过喔 那是转贴~  对于卡巴我只听说过几点:

1 卡巴很卡!

2  国外的"Kaspersky Lab"的历史是从1989年开始的  的确很强! 


 目前主动防御误报的是很多………… 是主动防御就可能有误报的。

 卡巴的主动防御基本属于注册表监控一类的东西,还要用户设置一堆东西,不是很智能   而微点的主动防御系统是通过动态仿真反病毒专家系统对各种程序动作的自动监视,自动分析程序动作之间的逻辑关系,综合应用病毒识别规则知识,实现自动判定新病毒,达到主动防御的目的。


微点主动防御软件建立了动态仿真反病毒专家系统,能够自动准确判定新病毒,并且能够自动提取特征值,自动更新本地特征值库,实现对病毒的主动防御。简单来讲,微点主动防御软件不是依赖于病毒特征码的判断,是依赖于病毒行为动作特征库根据病毒发作的行为进行判定,就像一个专业反病毒人员人工判断病毒一样,但微点实现了程序的自动化。

 中国微点才开始多久啊? 

有问题才会进步! 微点现在测试的目的所在 我相信会做得越来好^o^

支持微点!支持卡巴! 
作者: jaber     时间: 2006-7-30 13:02
昏  加壳对微点有用吗?
作者: 最爱咔吧     时间: 2006-7-30 15:00


  Quote:
Originally posted by jaber at 2006-7-30 13:02:
昏  加壳对微点有用吗?

理论上是没用 所以才让你们 对能报名称的样本加壳试试其 行为判断功能啊 :lol:
作者: 最爱咔吧     时间: 2006-7-30 15:04


  Quote:
Originally posted by 反黑先锋 at 2006-7-30 13:01:
巴的主动防御基本属于注册表监控一类的东西

你用过吗? 用过才又发言权....
让用户设置是让用户对行为判断拥有更多的管理权.....

微点什么都是"智能化",   误判率是相当的高...
作者: 最爱咔吧     时间: 2006-7-30 15:07


  Quote:
Originally posted by 反黑先锋 at 2006-7-30 13:01:

 目前主动防御误报的是很多………… 是主动防御就可能有误报的。

那么我相信 即使微点再怎么改进...误报率也是降低下不来的...这点从去年的误报率和现在的误报率相比较可以得出 .....:D:D:D:D:D
作者: 和尚     时间: 2006-7-30 15:18


  Quote:
Originally posted by 最爱咔吧 at 2006-7-30 15:07:


那么我相信 即使微点再怎么改进...误报率也是降低下不来的...这点从去年的误报率和现在的误报率相比较可以得出 .....:D:D:D:D:D

你用过吗? 用过才又发言权....
哈哈。.难道你是微点的人...连误报率你都这么清楚.....
作者: 最爱咔吧     时间: 2006-7-30 15:32


  Quote:
Originally posted by 和尚 at 2006-7-30 15:18:


你用过吗? 用过才又发言权....
哈哈。.难道你是微点的人...连误报率你都这么清楚.....

当然用过...没用过我发什么言.......;)
作者: 末妍     时间: 2006-7-30 15:39
楼主喜欢用卡巴就用吧!不要在这边捣乱或者挑泼离间,其实道理很简单,微点的误报率是有,不过肯定在不断的减低。我以前用讯雷的时候微点会报,现在就不会了!再说微点也提供了可信程序。
作者: 最爱咔吧     时间: 2006-7-30 15:43


  Quote:
Originally posted by 末妍 at 2006-7-30 15:39:
楼主喜欢用卡巴就用吧!不要在这边捣乱或者挑泼离间,其实道理很简单,微点的误报率是有,不过肯定在不断的减低。我以前用讯雷的时候微点会报,现在就不会了!再说微点也提供了可信程序。

呵呵 不报迅雷了就报其他的吧 反正总有报的  随着应用程序的越来越多, 行为判断这一技术从根本上来说就是无法避免误报的 要降低误报.只有改动引擎 而这一后果又是降低对病毒的敏感性......

PS:我只是觉得卡吧好而已 在这边捣乱或者挑泼离间  呵呵

[ Last edited by 最爱咔吧 on 2006-7-30 at 15:45 ]
作者: nasdaq     时间: 2006-7-30 16:26
这个,我个人对卡巴的意见主要在于其品质比较糙(俄罗斯人的通病)

优点:1.卡巴病毒库的广谱和疯狂的病毒库升级速度稳居全球之冠
         2.引擎技术先进,特别是在支持复合文件格式的数量上,和解壳算法上,我不敢说第一,至少也是稳居前列。

缺点:1.糙,太糙,我是从卡巴4.0开始接触的,想必不少人都知道,卸载不成功,需要单独下载卸载程序这个典故吧,俄罗斯的工业产品也是很糙呢,特别说明一点:糙并不意味着不能用不好用,而是一种给人不太完善的感觉。
          2.为了维护其病毒库德的广谱性提高查杀效果(卡巴最主要的卖点),卡巴选择了疯狂更新(好像是每小时更新)这种市场行为。这个压力是非常大的,我测试的感受是,受样本来源的限制,卡巴有时只把一些病毒的残体(譬如说木马种植过程中的批处理文件和注册表文件)加入病毒库,而由于没得到木马本体的样本,所以无法查杀木马本体。我们实事求是地讲,查杀批处理和注册表其实真没什么用,并不能避免该木马产生破坏作用,只有查杀木马的本体文件才能真正解决问题。但是为什么卡巴会做这种无实际意义的事呢?其实就是一个市场行为,就为了让他的查杀数量看起来非常大,好提高其销量,当然目前国内的一些杀毒也是这么干的。呵呵,现在杀软们动辄就每天更新数百种病毒,其实很多都是副产品呢。但我们确实没法把这种行为称之为凑数,因为这些副产品确实是由病毒产生的,确实应该被清理掉。我只是觉得卡巴做得比较突出而已。


最后呢,希望大家不要对“最爱咔吧”人身攻击,大家对事儿不对人。

杀软的市场竞争很激烈的,如果都像你我一样纯追捧,微点正式销售的时候就会很艰难了。欢迎最爱咔吧这样的好同志多提意见,我虽然不是微点的工作人员,但我觉得目前微点双引擎的综合查杀效果应该是优于特征码单引擎的,呵呵,我有私心,我想一直用微点呢~!

当然,提意见要言之有物,要有根据。向那些枪手写的纯诬蔑型的文,大家最好不要回帖开骂,让它自己沉底就完了。

我觉得我们微点社区应该体现出和其他杀软社区不一样的精神风貌,就像微点可以兼容绝大多数杀软一样,我们微点社民也应该能接受绝大多数不同意见,共创和谐社会,共创和谐社区~!

[ Last edited by nasdaq on 2006-7-30 at 16:32 ]
作者: 最爱咔吧     时间: 2006-7-30 17:02


  Quote:
Originally posted by nasdaq at 2006-7-30 16:26:
微点双引擎的综合查杀效果应该是优于特征码单引擎的,

呵呵  说得不错
关于这个 我觉得因为微点也发现行为判断不是万能,还是得依靠病毒特征码, 在宣传时就不要对特征码丝毫不谈,象置顶得那些 没有一点提到 微点使用特征码

对于杀软没有绝对完美的, 就像再强的卡吧你们也会有做工粗糙的关点:cool:,不要把微点的行为判断说成能完全包治百病,去掉他的神秘色彩才能让更多人接受 也才能让其发展的更好:lol:

[ Last edited by 最爱咔吧 on 2006-7-30 at 17:29 ]
作者: 反黑先锋     时间: 2006-7-30 17:19


  Quote:
Originally posted by nasdaq at 2006-7-30 16:26:
这个,我个人对卡巴的意见主要在于其品质比较糙(俄罗斯人的通病)

我觉得我们微点社区应该体现出和其他杀软社区不一样的精神风貌,就像微点可以兼容绝大多数杀软一样,我们微点社民也应该能接受绝大多数不同意见,共创和谐社会,共创和谐社区~!

:D说的太好了!!!!!!!!!!!!!!!!!!
支持!!!!!!!!!!!!!!!!!!!!!!!
作者: 反黑先锋     时间: 2006-7-30 17:21


  Quote:
Originally posted by 最爱咔吧 at 2006-7-30 17:02:

呵呵  说得不错
关于这个 我觉得因为微点也发现行为判断不是万能,还是得依靠病毒特征码, 在宣传时就不要对特征码丝毫不谈,象置顶得那些 没有一点提到 微点使用特征码

对于杀软没有绝对完美的, 不要把微点 ...

没有完美的安全方案 支持!!!!!!!!!:cool:
作者: tcbao     时间: 2006-7-31 16:11


  Quote:
Originally posted by 最爱咔吧 at 2006-7-30 12:02:

哦 这样啊 恩  你测试的都是些小毒而已....测试过一些恶性的病毒吗? 你去非凡论坛可以拿到一些恶性的病毒测试一下.

对了不要太相信微点的 行为判断 那些左键一点下样本就报警的 并且微点 ...

快要失望了
作者: 含笑半步颠     时间: 2006-7-31 16:42


  Quote:
Originally posted by 最爱咔吧 at 2006-7-30 05:02 PM:

呵呵  说得不错
关于这个 我觉得因为微点也发现行为判断不是万能,还是得依靠病毒特征码, 在宣传时就不要对特征码丝毫不谈,象置顶得那些 没有一点提到 微点使用特征码

对于杀软没有绝对完美的, 就像再强的 ...

微点是新生事物,需要不断的发展和成长,需要很多人不断的支持,尤其是在这个已经被特征值扫描技术统治10几年的反病毒领域中,主动防御技术被普遍接受还是需要点时间。看了论坛和其他论坛的一些关于微点的帖子,很多朋友对微点提出了很多具体的而且很细致的建议,我想这就是对微点的支持,如果您真是抱着让微点发展得更好的想法,我想您应该举出您对微点具体细致的建议和意见,而不是简简单单的说微点不如卡巴斯基。
作者: 反黑先锋     时间: 2006-8-1 12:04


  Quote:
Originally posted by 含笑半步颠 at 2006-7-31 16:42:


微点是新生事物,需要不断的发展和成长,需要很多人不断的支持,尤其是在这个已经被特征值扫描技术统治10几年的反病毒领域中,主动防御技术被普遍接受还是需要点时间。看了论坛和其他论坛的一些关于微点的帖子 ...

对 多提意见!
作者: micoyoung     时间: 2006-8-1 12:53
看了,好多,还是不能下决心用微点~~
偶再等等吧
作者: lylfromjs     时间: 2006-8-6 17:33    标题: 我一直同时用微点和瑞星。

微点更适全实时监控,其他杀软更适合全盘扫描。我的电脑从今年初安装微点到现在,虽常遭遇病毒,但未有损失。当然日常使用注意不上不信任的网站,并在注册表中把所的的RUN和RUNONCE的权限都拒绝了可能也是本人不受毒害的原因。
作者: qyjdiy     时间: 2006-8-7 21:40    标题:

坚持:)支持:D
作者: zxy06     时间: 2006-8-8 18:53
路过,受益非浅,但我还想试用一段时间的微点。
作者: 水元素     时间: 2006-8-10 09:31
刚对江民失望就看到了微点,支持微点!
作者: 反黑先锋     时间: 2006-8-19 18:30


  Quote:
Originally posted by lylfromjs at 2006-8-6 17:33:
微点更适全实时监控,其他杀软更适合全盘扫描。我的电脑从今年初安装微点到现在,虽常遭遇病毒,但未有损失。当然日常使用注意不上不信任的网站,并在注册表中把所的的RUN和RUNONCE的权限都拒绝了可能也是本人不受 ...

在微点的 “注册表保护”里, 可以全部设置为“保护”

如果你愿意 “注册表修复”里可 “锁定注册表” :lol:
作者: masxu     时间: 2006-8-23 19:35
通常用卡巴斯基时什么事都做不了,看着硬盘疯转!不用卡巴斯基了,因为它名声太响,被发现的漏洞越多,不安全!杀毒理念不如微点!杀毒时大多数人都觉得影响其他工作!
作者: 微点专家     时间: 2006-8-28 18:30
大家多发些少见的病毒给微点。好让微点研究。
作者: happy_star     时间: 2006-8-29 13:41
对微点的另一个期望,就是不管软件如何更新,希望在系统资源占用上能有优势,表现在不仅是内存占用,而是CPU占用上也要小,象卡巴(最新的6),虽然内存占用尚好,但CPU占用较多,要知道,我们日常不是用杀毒软件的,而是用电脑的,工作、娱乐等,当卡巴占用相当多的资源时,就会引起应用程序卡,所以希望微点不要发展成那样。要分清主次,杀毒软件仅是一个辅助工具而已,保护电脑的安全而已。不能占用系统太多的资源。
作者: 微点专家     时间: 2006-8-29 13:44
很多低配置的用户使用微点也没问题。
作者: calm_cs     时间: 2006-8-29 14:20    标题: 楼主对启发式扫描有些误解哈

楼主对启发式扫描有些误解,具体的原理楼主可以去看看清华BBS上对启发式扫描原理的介绍(地址在我发的其它帖子中)。首先启发式扫描是不需要病毒特征码的,它与行为分析很相似。它也是根据对病毒程序规则的分析来识别病毒,所以它可以对付很多的未知病毒。不同的是,启发式的这个扫描过程是在一个可控的虚拟机上来完成的。这里就不讨论特征码扫描了,这方面的资料比较多,技术也很成熟,优点和局限大家都很清楚。我则说强调国外的专业测试机构的测试数据,是因为它们拥有庞大的病毒库和比较完善的测试流程,这样才能对一个软件作出更加完整和令人信服的评价。我们用户的测试限于我们手上的病毒样本,毕竟是片面的,有很大的局限性。这种测试当然代替不了我说提到那些机构的测试评价。呵呵,我不是一个崇洋媚外的人哈,但我也不会轻易相信各位给出的评价。不是因为你们说的不对,是因为你们做得不够。
作者: Legend     时间: 2006-8-29 14:21


  Quote:
Originally posted by happy_star at 2006-8-29 13:41:
对微点的另一个期望,就是不管软件如何更新,希望在系统资源占用上能有优势,表现在不仅是内存占用,而是CPU占用上也要小,象卡巴(最新的6),虽然内存占用尚好,但CPU占用较多,要知道,我们日常不是用杀毒软件 ...

微点占用系统内存一般在15-20M左右;
如果您发现您的微点占用cpu变得很高可以跟我们联系分析具体原因
作者: yezi     时间: 2006-8-29 15:39
刚查看了下:正常运行时,我的微点占内存9.8多M,没看到占CPU呢
作者: aidi     时间: 2006-8-29 16:39


  Quote:
Originally posted by calm_cs at 2006-8-29 02:20 PM:
楼主对启发式扫描有些误解,具体的原理楼主可以去看看清华BBS上对启发式扫描原理的介绍(地址在我发的其它帖子中)。首先启发式扫描是不需要病毒特征码的,它与行为分析很相似。它也是根据对病毒程序规则的分析来 ...

"一个运用启发式扫描技术的病毒检测软件,实际上就是以特定方式实现的动态高度器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机"启发式扫描能够识别并监控出可疑的程序代码指令序列,如格式化磁盘类操作,实现驻留内存的操作,系统功能调用的操作,等等,所有上述功能操作将被按照安全和可疑的等级可以排序,根据病毒可能使用和具备的特点而授以不同的加权值。
个人理解,启发式扫描通过反汇编,监控程序代码指令,根据病毒常用指令代码特点,给这些代码指令的出现赋予不同的权值,再比对所监控程序反汇编出的源程序代码指令,并按照相应的出现加权,最终权值的总合超过了预先规定的界值被认定为可疑的程序,然后报告“发现可疑程序”;



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn