Board logo

标题: “微点”其实并不适合普通用户 [打印本页]
作者: 无奈无赖     时间: 2006-8-23 22:12    标题: “微点”其实并不适合普通用户

任何有进程注入,键盘钩子,消息钩子,修改硬盘分区表信息等行为的软件都会被微点判断为未知间谍软件或者未知什么的,忘了。

举个例子,现在玩游戏不用外挂的可能很少,外挂都使用钩子技术。某些软件会向硬盘分区表写入信息来判断软件是否注册等等。不过我感觉影响最大的可能是外挂了,一般使用外挂的都害怕外挂有木马,会被盗号。但微点又恰恰会将外挂的行为判定为可疑程序。

对于绝大多数普通用户来说,他们根本无法准确判断,只会觉得恐慌。其实有很多程序是需要用到这些功能的。这是一种宁肯错杀一千不肯放过一人的办法,虽然从某种意义上说确实有效,但它并不适合普通用户。

也许这就是新闻媒体报道的微点无法取得什么什么证的原因吧。其实这种技术,在我看来也并不是什么先进的技术,对关键API进行HOOK即可达到这种目的。
作者: Legend     时间: 2006-8-23 22:26
微点主动防御软件是根据程序的行为判定病毒,如果一个程序的行为符合病毒的行为特征,微点就会立即判断其为病毒.
建议参看微点主动防御软件的技术特点:http://bbs.micropoint.com.cn/showthread.asp?tid=140&fpage=1

如遇到可疑的程序;欢迎您发到我们的邮箱:virus@micropoint.com.cn 我们做进一步的测试分析,谢谢。
作者: flo     时间: 2006-8-23 23:13
呵呵,LZ其实说得没错。本来这个软件就是基于Hook SSDT和TDI Filter的啦。确实不是什么先进的技术。任谁开发都会这么做。
至于误报,微点似乎打算把已知的误报程序做成特征库。如果能做得比较完备,应该还是适合初级用户使用的。其实就是排除列表啦。
关于无法通过检测,我也持同样的观点。把这么套不能扫描磁盘的软件推给人家检测,谁都会无从下手。正常的步骤是准备两个文件库,一个是正常文件库,一个是病毒文件库。让杀软扫一下,就可以测试误报率和检出率。但是像这样HookAPI的东西,难道要让我把病毒一个个运行一下,看看你能不能检测清除么?不太现实啊。
作者: gxdiyer     时间: 2006-8-23 23:36
我一直用SSM,暂时不打算用微点。
作者: 和尚     时间: 2006-8-23 23:39
两位高手似乎要告诉大家微点没有通过检测是因为技术太烂?
微点真需要像你们这样的高手来做测试完善微点。哈哈
作者: 最爱咔吧     时间: 2006-8-24 00:04


  Quote:
Originally posted by 和尚 at 2006-8-23 23:39:
两位高手似乎要告诉大家微点没有通过检测是因为技术太烂?
微点真需要像你们这样的高手来做测试完善微点。哈哈

对技术不能盲从 你的意思是 微点就是技术高高在上?

楼主分析的很有道理
作者: playworm     时间: 2006-8-24 08:34
第三楼说的有点道理,微点应该再做一个磁盘扫描系统,一是用户可以全盘查杀磁盘,二是应付有关部门的检测工作。微点主动防御检测时说是实时防火墙。
作者: playworm     时间: 2006-8-24 08:42
其实一楼这种情况,由于自己用外挂,所以要自己承当相应的风险,用外挂对正版软件服务商来说是不合法的,外挂一般由程序高手编的,如果你相信他,你自己用了当然后果自负,当然你有本事自己编一个外挂来用,当然无风险了,我也无话可说。从这个角度来说,微点本身可以做出一点改进,就是提示用户的信息除了说明这个程序的行为如:“警告:这个程序试图修改硬盘分区表,该后果可能是……,是否还继续运行。”,让这些用不合法程序的用户自己去评估风险。
作者: 反黑先锋     时间: 2006-8-24 09:00


  Quote:
Originally posted by playworm at 2006-8-24 08:42:
其实一楼这种情况,由于自己用外挂,所以要自己承当相应的风险,用外挂对正版软件服务商来说是不合法的,外挂一般由程序高手编的,如果你相信他,你自己用了当然后果自负,当然你有本事自己编一个外挂来用,当然无 ...

用外挂是有风险的。
作者: 无奈无赖     时间: 2006-8-24 09:08


  Quote:
Originally posted by flo at 2006-8-23 23:13:
呵呵,LZ其实说得没错。本来这个软件就是基于Hook SSDT和TDI Filter的啦。确实不是什么先进的技术。任谁开发都会这么做。
至于误报,微点似乎打算把已知的误报程序做成特征库。如果能做得比较完备,应该还是适合 ...

其实,检测软件的行为并不是一定要运行一下的,杀软都采用虚拟机技术,将监控文件拖到虚拟机里一转就知道它有什么行为了。

如果把已知的误报做成特征库,想法倒是不错,不过,不太现实。如果确实是这样的,今后用户就不是向杀软厂商举报病毒了,而是举报会被误报的正常软件了,这似乎有点讽刺哈。
作者: 无奈无赖     时间: 2006-8-24 09:09


  Quote:
Originally posted by playworm at 2006-8-24 08:42:
其实一楼这种情况,由于自己用外挂,所以要自己承当相应的风险,用外挂对正版软件服务商来说是不合法的,外挂一般由程序高手编的,如果你相信他,你自己用了当然后果自负,当然你有本事自己编一个外挂来用,当然无 ...

很不幸,我是外挂开发者。如果用户都用了微点,我就会失去百分之九十的用户。因为他们不懂,下载下来微点一报警就以为是下的病毒了,看都不看就删了。
作者: playworm     时间: 2006-8-24 09:28
呵呵,真的太不幸了,好象也没有更好的办法。什么事都有个信用问题的,谁知道你编的程序里面是不是包含木马呢,现在这个社会,真的是信用危机,什么都不敢保证的。
作者: 无奈无赖     时间: 2006-8-24 09:38
按照常规的根据特征码方法确定是否病毒,因为文件都是人工分析过的,所以出现误报的可能性极小。
作者: Legend     时间: 2006-8-24 09:41
微点主动防御软件不是单独的HOOK API,微点主动防御软件依然处于发展中,主动防御技术也在不断的更新和探索,病毒技术也在不断的进步,在与病毒的对抗中,更加完善主动防御是我们的目标,也是所有反病毒用户的期望。我们非常欢迎大家能够做深入的测试,并能够提出很中肯的意见和建议
作者: 含笑半步颠     时间: 2006-8-24 09:56
明白楼主为什么这么说微点了,原来是因为触及了楼主的利益。使用外挂本身就是不合法的事情,开发外挂就更是违法了,涉及侵犯人家的版权了。好像前些日子已经报道过因为开发外挂被起诉的案件了。外挂的开发都是个人行为,谁能保证开发者不会在外挂里面做手脚呢,也许某一天就可能出现某某利用外挂控制对某某网站的攻击。
如果真的象楼主所说的微点主动防御软件仅仅是hook api的话,估计主动防御软件早就泛滥了。我得理解是hook api是获取程序的动作信息,我觉得微点更有价值的技术应该是"结合反病毒专家判定病毒的经验,提炼成病毒识别规则知识库",恐怕这个病毒识别规则知识库不是一般人能够设计出来的
个人的一点看法,别扔板砖哦
作者: 反黑先锋     时间: 2006-8-24 10:36


  Quote:
Originally posted by Legend at 2006-8-24 09:41:
微点主动防御软件不是单独的HOOK API,微点主动防御软件依然处于发展中,主动防御技术也在不断的更新和探索,病毒技术也在不断的进步,在与病毒的对抗中,更加完善主动防御是我们的目标,也是所有反病毒用户的期望 ...

微点防御软件需要不断的完善 不断的变强

 支持版主! 
作者: mygad97     时间: 2006-8-24 10:59
看了几位说的观点本人有点不同意见 很多人的思想总喜欢停留的过去 认为把电脑扫描一便才是预防病毒的王道 但这样的后果是用户即麻烦有浪费系统资源和用户的时间  我个人觉得微点的这种理念符合用户的需要和以后的发展 就比如一个曾经的小偷虽然他曾经是小偷 但他现在并没有在偷东西 所以也没必要抓他   同样道理  病毒没有活动你有何必非要全盘扫描来找它呢他活动了微点自然会拦截  
     还有关于误报一类的   就我所知道很多知名的病毒软件推出时误报也很高 有的虽然推出了很多年 但误报率还是很高 我相信不说也是到是那款软件了 至于误报可以慢慢完善  但微点的这种防御理念却是很好的  祝微点能早日成功上市
作者: nasdaq     时间: 2006-8-24 13:23
呵呵,我个人认为:行为判断+特征码+巨大的白名单库,反倒是最适于“菜鸟”消费者的。因为它可以相当程度的降低用户的操作和参与度。

新装一台机器,比较一下普通防火墙询问网络连接的数量和微点弹出的询问网络连接的数量,我觉得的上述言论是有一定根据的。

微点目前的问题,在于白名单相对比较薄弱,如果白名单足够强大的话,微点的用户体验应该是很出色的,更适合“菜鸟”使用者。

反病毒那块也是这个道理,目前的白名单还不够强大。

正如管理员说的那样,微点也在不断探索。

我个人觉得微点是有一定进步意义的。

PS:本贴的气氛甚好,大家都在说一些切实的感受,呵呵,商业宣传毕竟是商业宣传,以商业口号为基础讨论就没意思了,还是真实感受好~!

PS:我以前的一个回帖里也说过,我很欣赏微点论坛这种包容的氛围,就像微点的超高兼容性一样。某些杀软的官方论坛,太排外了。。。
作者: 小家伙是我     时间: 2006-8-24 23:22
楼主没有这么强吧?
作者: FairLife     时间: 2006-8-25 00:45


  Quote:
Originally posted by nasdaq at 2006-8-24 13:23:
呵呵,我个人认为:行为判断+特征码+巨大的白名单库,反倒是最适于“菜鸟”消费者的。因为它可以相当程度的降低用户的操作和参与度。

新装一台机器,比较一下普通防火墙询问网络连接的数量和微点弹出的询问网络 ...

我懒,顶一下
作者: Legend     时间: 2006-8-25 13:09
微点主动防御软件通过建立动态仿真反病毒专家系统,依据程序行为自主分析判断技术实时监控系统进程,微点主动防御软件采用智能识别方式控制网络访问行为,微点主动防御软件能够准确识别的正常程序发生网络访问行为时,自动放行不再提醒用户;其他程序的异常网络访问行为,微点主动防御软件弹出报警提醒用户是否放行。
如果关闭智能识别,对任何程序的网络访问行为皆弹出报警窗口提醒用户;
智能识别功能的开启与关闭操作:主界面-程序访问网络策略-智能识别勾选,默认状态为勾选
作者: wuwen131     时间: 2007-1-3 17:58
任何技术都有其弱点,难道你可以给微点的技术做个全面的解释吗?
  把核心代码发表出来看看,LZ  这样我就相信你拉
作者: 62596168     时间: 2007-1-3 19:35
根据程序的行为判定病毒,看来挺先进的。。

还没用过微点,学习下再试用。。
作者: 八闽汀江子     时间: 2007-1-3 20:07
这些对微点有意见的贴子,现在发出来,对东方微点还是有参考意义的!

但是几乎都觉得有点古灵精怪的!

比如说东方微点写注册信息不可删除,但其他杀软也好些都是这样呀,但东方微点又不能指出来说某某某杀软也是这样,因为这样的话就等于将自己与其他大多数杀软公司置于敌对状态

又比如说误杀,其他杀软误杀也多啊,但东方微点 没法说其他杀软都误杀,说的话也会得罪一大帮人

......
作者: 八闽汀江子     时间: 2007-1-3 20:10
俺觉得这个贴子不适合普通用户看哈!
作者: 八闽汀江子     时间: 2007-1-3 20:16
据我几个在福厦搞特殊软件的老乡说福州一带有很多做行业软件的,也难怪有这么多高人来提意见,让我这头菜牛听听新鲜。谢谢哈!虽然不适合我看也凑下热闹!
作者: zuilong     时间: 2007-1-3 22:32
微点应该再做一个磁盘扫描系统,一是用户可以全盘查杀磁盘,二是应付有关部门的检测工作。微点主动防御检测时说是实时防火墙。
作者: Legend     时间: 2007-1-3 22:34
谢谢您的建议 我们会认真考虑 欢迎您继续作深入的测试使用
作者: caoyunse     时间: 2007-1-4 12:57    标题: 微点很好呀!

昨天一口气将瑞星给删除了,尽管是正版,而且是从2002年一直延续到现在的唯一正版软件。一点不后悔!装了微点,进程少到了30以下,太让人高兴了。而且每个进程能看管理的有条不紊,实在是好。弱弱的问一下,价格会是多少?每个软件限制装几台机器?
作者: Legend     时间: 2007-1-4 13:37
微点软件目前处于公测阶段免费注册升级使用,相同注册信息只提供一台机子正常注册升级;
请随时关注我们的官方网站和论坛。
作者: fengjing1000     时间: 2007-1-5 17:14
LZ说的有一定的道理,并不是应为他开发外挂利益受损才提出来的,现在玩游戏的人特别多,所以外挂就成了必然产物.大部分玩游戏的用户用的外挂都被微点清除了那么很多人会认为微点误杀,但那大部份为了玩游戏不得不放弃微点,只要外挂不对电脑产生破坏应该不要查杀,有些人说外挂有一定风险还违法,但请问有多少软件无风险,杀软也可以有风险呀.用盗版也有风险还一定违法.就拿微软的系统来说有几个人真正用的是去买正版的?卡巴有几个用的真正是自己买正版的
作者: tlsd2001     时间: 2007-1-12 13:32
顾客就是上帝,你杀毒要适合大家,别的我也不多说,不是老外技术不好而是现实困难,当初火车刚出来流言一堆的:),所以慢慢来
作者: zjf     时间: 2007-1-12 16:23
看了一个精华帖,这又一个,两个都是以外挂为例子的,

个人认为把外挂判为病毒\可疑\危险都是可以的,游戏厂商都在反外挂,他们的反外挂措施也会让你们的辛苦泡汤,你们为什么不找他们理论呢?可能你们会说,我重新开发一个让他的反外挂查不到的东东,呵呵,有能耐你开发一个微点查不到的东东!呵呵,相信游戏厂商如果有微点的技术的话,你们才真的光剩哭了.

如果你还感觉不平衡的话,看看那些注册机软件,现在在各大下载站下载的注册机压缩包内都有一个README一类的东西,无非是网站的广告等,但在最后都会注明,现在的注册机会被杀软认为是病毒类,并且很理解的说是为了反盗版.那些注册机都是作者辛苦写出来免费给大家使用的,被判为病毒不比你冤???

PS:我玩跑跑的时候经常看到有人在不停发言:用挂死全家!
    不知你有啥想法
作者: mm520     时间: 2007-1-12 21:05


  Quote:
Originally posted by 无奈无赖 at 2006-8-23 22:12:
任何有进程注入,键盘钩子,消息钩子,修改硬盘分区表信息等行为的软件都会被微点判断为未知间谍软件或者未知什么的,忘了。

举个例子,现在玩游戏不用外挂的可能很少,外挂都使用钩子技术。某些软件会向硬盘分 ...

api hook并不是一个稳定的技术,也不能解决所有的可疑行为的检测
作者: 蓝色寒冰+     时间: 2007-1-12 21:30
安全与负责永远是矛盾体,相信自学多一点知识才是不变的途径
作者: leemiki     时间: 2007-1-12 22:10
偶也試用試用這個



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn