微点交流论坛

标题: 对微点产品的一些疑问！ [打印本页]

作者: calm_cs 时间: 2006-8-26 11:13 标题: 对微点产品的一些疑问！

我没有用过这个产品，但是从对他的介绍来说，我觉得它用的是APIHook技术，而不是虚拟机技术。两者的优劣暂不讨论，我知道国外的一家著名的光盘保护企业starforce也才退出了一款概念相同的产品，叫 safe‘n’sec,由于我供职一家虚拟光驱研发公司，和starforce打了多年交道，它们最厉害的就是系统挂接。我觉得他们的产品采用的还是这个技术。但是他们在它的产品主页上向用户明确指出，这个产品可以加强传统杀毒软家对计算机的保护缺不能代替传统的杀毒软件，它应该是与传统的杀毒软件配合使用，而且它的兼容性很好。再这里我只是想了解一下，微点的这款产品到底采用的是什么技术，能够完全替代传统的杀毒软件吗。我对微点的遭遇也很同情，不过我觉得任何厂商都应该把完全的信息向消费者披露，好让消费者去选择。

作者: flo 时间: 2006-8-26 12:19
说些我的粗浅见解吧。
微点这个软件出了基本的APIHook外还是有一点自动化成分的。
我以EXE木马为例，它应该是假定一个EXE木马至少要访问网络或者创建远程线程。
所以它监控了网络和CreateRemoteThread。那么当一个进程有这种行为的时候，它大概就开始看这个进程有没有在一些启动项中出现。如果有的话，就极有可能是一个EXE木马。
从Safe'n'Sec的介绍来说，它应该和System Safety Monitor类似。
从我个人来说微点还是只能辅助传统杀软，而且我也觉得微点这种把自己的技术信息遮遮掩掩的做法很不爽。从它官方披露的信息基本上不能够知道它到底是什么软件。

作者: Legend 时间: 2006-8-26 13:39
微点同时具有杀毒软件和防火墙的功能；
微点主动防御软件通过建立动态仿真反病毒专家系统，依据程序行为自主分析判断技术实时监控系统进程，微点是一套复杂的逻辑判断；
欢迎大家做深入的测试，并提出很中肯的意见

作者: calm_cs 时间: 2006-8-26 14:02
我看了一下，感觉和我提到的那款starforce的工具功能相似。我们都是做程序的，说点实际的东西吧。我们不管里的概念如何，如果光是一款这样的软件，你如何避免许多的误判和虚警了。其实启发式扫描技术也有这个问题。我不否认主动防御类软件的诸多好处（因为我们公司也有这方面的意向，我正在做一些技术评估工作），但是概念有很多模糊之处，作为我们具体的实现者来看，不确定性会给杀毒的效果带来很多的副作用。所以启发式扫描和主动防御一样尽管他们在查杀未知病毒上面有优势，但是它们的精确性与特征码还是有很大的差距。所以现在市场上的杀毒软件，没有谁会只采用启发式扫描。同样，主动防御技术也只能做为传统杀毒软件的一种补充。因为，它永远达不到它的理想状态。我自己还是更看重虚拟机技术。

作者: flo 时间: 2006-8-26 14:38

Quote:

Originally posted by calm_cs at 2006-8-26 14:02:
我看了一下，感觉和我提到的那款starforce的工具功能相似。我们都是做程序的，说点实际的东西吧。我们不管里的概念如何，如果光是一款这样的软件，你如何避免许多的误判和虚警了。其实启发式扫描技术也有这个问题 ...

嘿嘿，赞成。
纯粹的“主动防御”软件要减轻虚警只能对可信程序建立特征库予以排除。
Windows一个如此庞大的系统。行为何其多。我替换一个自启动程序算不算危险？我改一下桌面某个快捷方式的路径算不算危险？我启动一个浏览器算不算危险？我替换一个COM算不算危险？很难说吧。那么，我加载驱动、添加新硬件呢？

作者: Legend 时间: 2006-8-26 15:54
微点是一套复杂的逻辑判断，不是依据单一的动作；
微点主动防御软件依赖于动态仿真反病毒专家系统的病毒识别规则知识库来自动准确判定新病毒，当前流行杀毒软件依赖于专业反病毒人员手工判断提取的病毒特征码。在防范新出现病毒的时间上，微点主动防御软件是实时发现新病毒，当前流行杀毒软件需要等待防病毒公司更新病毒特征码后才能发现病毒。

作者: calm_cs 时间: 2006-8-26 16:06
不是吧，启发式扫描技术在查杀未知病毒上的效果也不错哟。而且所谓的专家系统说白了，就是根据大量的病毒的规律和它们的表现的一种经验的总结。这些经验可以说能够查杀大量的病毒，可是大家都知道这些经验都要进行一定的平衡，怎么说吧，它必须能够有利于查杀更多的病毒，有不至于造成太多“狼来了”的后果。所以，这样它势必会影响病毒的查杀。根基权威的公开病毒测试结果，启发式技术在不依赖任何病毒库的情况下，查杀的准确率是85％，我不是不相信贵公司的技术，但是我觉得你的评测结果在不依赖任何病毒库的充分测试中，未必能比它做的好很多。这也是为什么病毒特征码不能被取代的原因。所以，我还是要说，即使贵公司现在这款软件在查杀防范未知病毒方面有优势，也是不能取代传统的杀毒软件的。

作者: aidi 时间: 2006-8-26 16:24
微点好像没有说过要取代传统的杀毒软件的，楼主自己以为的吧？
启发式扫描应该是传统的特征值扫描的一次更新，它不仅是扫描那些已知的病毒特征值，而其加入了对特定指令的组合情况的扫描，并按照那些病毒常用指令出现的情况及组合，来判断是否为未知的病毒；相对于传统的特征值扫描，它可以发现那些病毒的变种程序，但也避免不了误报；

作者: 一个人的旅行 时间: 2006-8-26 16:25
人家微点从来没有说要去取代传统的杀毒软件技术，在现在病毒日益猖獗，新病毒增加的无论是数量还是传播的速度是传统的提取特征所能解决的吗？

作者: aidi 时间: 2006-8-26 16:35
在几年前，病毒数量不多的时候，特征码扫描这个模式还可以应付自如。但现在的病毒数量剧增，传播的速度越来越快，亡羊补牢的模式已经显露出很大的弊端，不能满足用户的安全需求，用户需要的是未雨绸缪，提前防御。
传统的征码扫描模式造成用户因为病毒造成的损失越大，反病毒市场的商业价值越大，反病毒厂商的利益越大，这是不正常的；
正常合理的逻辑应该是：反病毒厂商的价值应该体现在减少病毒的损害；
也就是说，反病毒市场的商业价值应该和病毒带来的损失成反比。

作者: calm_cs 时间: 2006-8-26 16:56 标题: 呵呵，大家都心平气和的来讲嘛，我也是想和大家讨论一下而已。

我也说了啥，启发式扫描的方式病毒检出率为85％，肯定有漏报啥，所以才需要和特征值比对法结合在一起使用啥。我的意思是微点的产品应该像普通用户披露更多信息，向starforce在它的网站上明确告诉用户的一样，这个软件要和传统的杀毒软件结合在一起使用，才能达到最佳的保护效果。这样普通消费者才有更多的信息来选择合适自己的产品，这也是一家负责任的公司的做法啥。呵呵，我也是今天加班，没什么事上来发发言，大家可以一起来讨论一下啥。从技术上来说，我个人的看法是启发式扫描和主动防御技术在未知病毒的查杀上都很有前景，但我个人更喜欢基于虚拟机技术的启发式扫描。毕竟虚拟机技术在外来的杀毒软件中越来越重要，做好它，可以奠定更好的研发基础啥。当然，这只是我从技术上的认为。毕竟，虚拟机的开发我也还没有进门了，有机会大家好好讨论一下嘛。

作者: calm_cs 时间: 2006-8-26 16:59
其实我还是觉得这个版主不错，好歹没有删我的帖子啥，让我们有一个平等对话的空间。这样大家可以在这个平台上展开对话，各抒己见嘛，没个人的观点不同，对做技术的人来说很正常啥。希望有机会我们继续讨论哈。

作者: aidi 时间: 2006-8-26 17:04
个人觉得这正是微点的自信，它可以完全抛开病毒特征库，在完全没有特征库的情况下依然可以准确判定某一有害程序是木马、间谍、蠕虫、病毒等；虽然他也存在着误报的情况，但毕竟是一种新的技术，还处在发展的阶段，相信他会不断完善的；

作者: sesame 时间: 2006-8-26 18:29

Quote:

Originally posted by aidi at 2006-8-26 17:04:
个人觉得这正是微点的自信，它可以完全抛开病毒特征库，在完全没有特征库的情况下依然可以准确判定某一有害程序是木马、间谍、蠕虫、病毒等；虽然他也存在着误报的情况，但毕竟是一种新的技术，还处在发展的阶段， ...

你这句话让我想起了东方卫士。个人认为主动防御只是辅助技术，完全抛开病毒库是不现实的，国际上早有人对此发表过论文，并获奖，要推翻病毒特征库，不是靠嘴巴，是靠理论

作者: ballpointpen 时间: 2006-8-28 08:52

Quote:

Originally posted by sesame at 2006-8-26 18:29:

你这句话让我想起了东方卫士。个人认为主动防御只是辅助技术，完全抛开病毒库是不现实的，国际上早有人对此发表过论文，并获奖，要推翻病毒特征库，不是靠嘴巴，是靠理论

论文的结论是需要条件的，而不是无条件的，永恒的。
时代变了，会产生新的理论和新的技术。
时间是最好的判官和过滤器，将微点的主动防杀技术及其在计算机安全领域的地位（辅助作用还是主导地位）交给时间吧。

[ Last edited by ballpointpen on 2006-8-28 at 08:54 ]

作者: daming2008 时间: 2006-8-28 10:59
正在试用，看到底如何。

作者: hshy83 时间: 2006-8-28 13:04
还是增加扫描引擎好点，这样比较完善。只要是好软件，别管其他人说什么。

作者: calm_cs 时间: 2006-8-28 14:17 标题: 呵呵，增加扫描引擎也不容易呀

增加扫描引擎可不是那么容易的呀。因为一个扫描引擎的工作效率必然要依靠一个完善的病毒库，如果要达到向目前国外先进的杀毒软件的标准，还需要用一个用虚拟机技术来脱病毒的壳，不然你光扫描文件，以什么为依据来鉴别病毒了。这些都是传统的杀毒软件做的事。如果微点能加上一个卡巴那样的扫描引擎，那当然就非常厉害了。但是这是需要很长时间的积累的。国外的公司，如在光盘保护领域的领导厂商starforce在它的主动"防御产品“的出售时，附带了一款病毒扫描程序，但人家声明这是另一家传统杀毒软件公司的OEM产品，它们自己还做不出来。如果微点真能靠自己做出一款在目前国内来说与主流杀毒软件的病毒扫描引擎相媲美的产品，那就真的是厉害了。呵呵，我说的是自主研发哟，可别像金山一样来个源代码授权，那是商业，不是技术。

作者: calm_cs 时间: 2006-8-28 14:24 标题: 一些有关杀毒技术的基本资料

http://www.jijiao.com.cn/avtech/antiVtech/index.htm
这是清华BBS上的一些关于杀毒技术的原理的资料，感兴趣的朋友可以去看看。希望有更多的朋友和病毒爱好者来了解和参与对杀毒技术的讨论。

作者: hshy83 时间: 2006-8-28 17:20
对于微点增加引擎并不困难，刘旭是谁，瑞星都是他搞出来的。

作者: 微点专家 时间: 2006-8-28 17:31
微点世界第一，不相信可以去比较比较。

作者: 微点专家 时间: 2006-8-28 17:32
微点超过其它的杀毒软件。这是个事实。

作者: calm_cs 时间: 2006-8-29 09:52 标题: 好的引擎不容易做呀

我丝毫没有怀疑刘老师技术的实力，但是我只认技术不认人。名气和技术根底是不能直接划等号的。20楼的朋友可以去我说的那个清华的BBS上看一下现在流行的引擎采用的一些技术，这些都已经大大的超越了当年刘老师和王江民老师做病毒引擎时的技术了。毕竟引擎中的虚拟机技术对世界顶级杀毒厂商来说，也还没有一个较为完美的解决方案。在中国来说，就差得更远了。瑞星的杀毒引擎经过几次改动，性能有了不少的提高。但是，这个虚拟机脱壳方面，还有很多的路要走。我做IT也不久，也才3年多一点儿。但我的感觉是，要不一个东西做到完美，是需要长期不懈的努力的，技术的超越没有捷径。 21楼的朋友，我也很希望微点的软件能做到世界第一，但是这需要很多技术和资金的支持，吹虚和呐喊是没有用的。我发这些帖子也想和大家一起探讨一下，任何软件都有它自身的问题。被我很推崇的"卡巴"也不例外，我昨天装了一个正版的扫描了一下病毒，结果一晚上只扫描了我的一个逻辑分区，而且把我的512M内存都吃晚了。我只是想说，大家都有自己需要解决的问题，对技术我虽然有自己的偏好，但我也喜欢国产的软件能做大做强。至于目前微点的性能，在微点官方拿不出一些国际权威的测试数据的情况下，我只能说那就让时间来检验吧。希望微点越走越好。

作者: aidi 时间: 2006-8-29 11:19
国际权威的测试数据？
还是用户自己的亲身体验更为准确

作者: 微点专家 时间: 2006-8-29 11:57
群众的眼睛是雪亮的。只要大家觉得好用，那就是好软件。

作者: calm_cs 时间: 2006-8-29 14:36
我强调国外的专业测试机构的测试数据(机构名字忘了)，是因为它们拥有庞大的病毒库和比较完善的测试流程，这样才能对一个杀毒软件作出更加完整和令人信服的评价。我们用户的测试限于我们手上的病毒样本，毕竟是片面的，有很大的局限性。这种测试当然代替不了我说提到那些机构的测试评价。呵呵，我不是一个崇洋媚外的人哈，但我也不会轻易相信各位给出的评价。不是因为你们说的不对，是因为你们做得不够，不能代替专业测试机构给出的数据。就像QA将测试报告给我看时我强调的一样，我既关心测试的结果，更关心它们测试流程的正确性和测试案例的充分性。希望微点能经得起时间的考验。

作者: wjker 时间: 2006-8-29 15:50
我在IT里面只是混口饭吃,
你们说的这些我不是很明白,不过我相信一种正确的技术指导思想,会产生强大的技术改革,相反则误导.技术实力将证明技术指导思想的正确性.
到底能不能坚信自己的技术指导思想是正确的?技术实力是雄厚的?这就要用开拓的思维,用坚强的技术实力证明.
还有一点,给什么操作系统编写杀毒软件,最好能把这个操作系统各方面的性能和弱点更好的掌握,以便做到和操作系统的紧密结合.

[ Last edited by wjker on 2006-8-29 at 15:58 ]

作者: idea 时间: 2006-8-29 21:58 标题: 个人觉得这是个不错的帖子！

大家能一块儿心平气和地讨论问题，没有挑衅，没有谩骂，各自说出自己的观点，这种氛围不错，calm_cs，超版及楼上的几位朋友辛苦了，希望以后能更多地看到你们这样的讨论。

作者: 微点专家 时间: 2006-8-29 22:03
是的，在一个论坛就是朋友。大家在一起讨论的是技术，发表的是自己的观点。千万不要骂人！！！很不文明哦！！！
大家多多发贴！！！

作者: wgpdls 时间: 2006-8-29 22:30
感觉LZ谈得很诚恳，是真实为微点考虑的。
试用微点快一年了，觉得它在查杀新病毒或木马上确有优势，但误报问题真是令人恼火，论坛上的兄弟也只管叫人添加到信任。。。。。。。。问题是：普通用户对微点的报警，是该信自己还是信微点？如果信自己，那装微点何用？如果信微点，那将给自己造成许多麻烦！

作者: 含笑半步颠 时间: 2006-8-30 10:58
感觉大家都是为了微点的发展，好

我很同意27楼的观点，“一种正确的技术指导思想,会产生强大的技术改革”。大家都很赞赏刘老师的主动防御思想，但技术改革必然要不断解决出现的新问题，也就是在不断解决新问题的过程中不断成长和完善。
我想以刘老师当年做瑞星的气势，相信微点绝对不会差，也绝对不会仅仅让微点停留在国内。其实我觉得微点现在面临的应该不是什么国际权威的检测，而是如何能够获得销售许可证，如何让产品能够销售能够有充足的资金维护技术的发展和产品的发展和完善

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn