微点交流论坛

标题: 国产杀毒软件缺的是什么？不是主动防御这个概念，而是强大而适用的虚拟机技术！ [打印本页]

作者: calm_cs 时间: 2006-8-26 13:49 标题: 国产杀毒软件缺的是什么？不是主动防御这个概念，而是强大而适用的虚拟机技术！

站在技术的角度而言，我不知道微点的这款产品有什么创新的技术。当然它的理念是当前该领域的一个热门话题。做技术的人都知道，一个理念，实现它的技术有很多，效果也相差甚远。我个人觉得，微点所使用的技术，还不足以支持它成为一款单一的杀毒软件。这些挂接技术用在某些特殊的领域效果也许好不错，比如检测间谍软件。但它是不能取代传统杀毒软件的。换句话说，光靠它，不能起到很好的保护效果，大家可以看看其它类似的产品，都只能作为传统杀毒软件的补充。国产杀毒软件缺的是强大的虚拟机技术。卡巴的杀毒能力为什么这么强，除了它完善的病毒库以外，它强大的虚拟机技术才是个中关键。没有虚拟机的配合，杀毒软件很难对付千千万万的加壳病毒。我觉得随着计算机性能的提高，虚拟机的工作效率也很越来越高，这种技术必将大量的应用于未来的杀毒软件之中。我们中国的技术人员是不是应该静下心来，多做些实实在在的技术，少弄些热门的概念了。

作者: aidi 时间: 2006-8-26 16:56
微点好像不是提出“主动防御”这个概念的第一人；
但是微点是第一个真正实现了“主动防御技术“的；
一个进程要有怎样的行为,通过监控她调用了什么样的API就能够清楚,像是读写文件就必然要调CreateFile()，OpenFile()，NtOpenFile()，ZwOpenFile()等函数，要访问网络就必然要使用Socket函数。因此只要挂接系统API(尽量挂接RING0层的API，如果挂接RING3层的API将有可能被绕过)，就可以知道一个进程将有什么动作，如果有危害系统的动作该怎么样处理等等。就像某些杀毒软件一样，在它的安装目录里可以找到几个驱动文件，其实这些驱动就是挂接了ntoskrnl.exe，ndis.sys等系统关键模块里的API，从而对进程的普通行为，网络行为，注册表行为进行监视的。

启发式扫描是通过分析指令出现的顺序，或特定组合情况等常见病毒的标准特征来决定文件是否感染未知病毒。因为病毒要达到感染和破坏的目的，通常的行为都会有一定的特征，例如非常规读写文件，终结自身，非常规切入零环等等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。
但要是那个程序加壳了怎么办？要是那个程序把自己的指令加密了怎么办？要是程序到了内存中才把指令的加密解除运行本身呢？相对于传统的特征值扫描，它可以发现那些病毒的变种程序，但也避免不了误报；

虚拟机技术由软件模拟出来的程序虚拟运行环境，就像我们看的电影《黑客帝国》一样。在这一环境中虚拟执行的程序，就像生活在母体(Matrix)中的人，不论好坏，其一切行为都是受到建筑师(architect)控制的。虽然病毒通过各种方式来躲避杀毒软件，但是当它运行在虚拟机中时，它并不知道自己的一切行为都在被虚拟机所监控，所以当它在虚拟机中脱去伪装进行传染时，就会被虚拟机所发现，如此一来，利用虚拟机技术就可以发现大部分的变形病毒和大量的未知病毒。但是抛开资源占用的问题，我们还是可以发现，这个由软件模拟出来的程序本身所模拟的环境有时还是不能够完全满足某些有害程序运行的触发条件；

所以，主动防御技术、启发式扫描技术、虚拟机技术都需要更长时期的发展完善，他们各有利弊，不要轻易评定任何一种新技术的出现；

[ Last edited by aidi on 2006-8-26 at 17:01 ]

作者: 285166790 时间: 2006-8-26 18:41
现在运用主动防御的杀毒软件多了，比如卡巴斯基6.0和江民2006都有类似功能，但是他们都只是把主动防御作为一种辅助手段，我认为这是很明智很科学的做法，因为以目前的技术单靠行为就想准确的判断病毒是不可靠的，而且单靠这种方式也不能清楚未运行的病毒，错过了清除病毒的最佳时机

作者: aidi 时间: 2006-8-26 18:54
汗！
现在的杀毒软件还都运用特征值扫描呢，但结果是什么？
你能够说他们都是一样的吗？杀毒效果都相同吗？
同样的道理“主动防御”四个字是一样的，但真正实现主动防御的技术是不同的；
关键是在于这个“技术”；
卡巴的行为监控更倾向于进程监控感觉和ssm 差不多
所有的动作需要使用者来响应；
微点的是通过动态仿真反病毒专家系统依据行为判断规则知识库来判定程序的有害行为，不同于单一动作的判断；

作者: calm_cs 时间: 2006-8-26 19:22 标题: 误会啊！

二楼的朋友有些误会哈。首先我要澄清一点，我并不是说“主动防御”不好，而是微点现在采用的技术不能单独完成对病毒的有效防护。我强调的是单独啥，而且这恰恰是微点没有告诉普通消费者的地方，或者说是我还没有看到。至于系统挂接，由于工作关系，我可能比较熟悉，有机会我们可以好好聊聊。不过我想说的是你对启发式扫描有一点误解。启发式扫描技术在具体的实施的时候，是结合了虚拟机技术的，即是它是现在虚拟机中运行，待病毒程序的本体杯还原以后，在进行分析的，所以你说的启发式技术的不足之处，你不对的。不过你指出的虚拟机的缺陷确很正确，这真是当前和以后虚拟机技术急待解决的问题，特别是如何在效率和正确率上找一个平衡点，是大家共同努力的方向。我之所以喜欢虚拟机技术，是因为它不单可以用于启发式扫描，还可以用于特征码扫描的时候，它可以有效的解决病毒加壳的问题。如何你有兴趣的话，可以去清华的BBS上看看对防病毒技术介绍的一些文章，写得挺不错的。

作者: flo 时间: 2006-8-26 20:45

Quote:

Originally posted by calm_cs at 2006-8-26 19:22:
二楼的朋友有些误会哈。首先我要澄清一点，我并不是说“主动防御”不好，而是微点现在采用的技术不能单独完成对病毒的有效防护。我强调的是单独啥，而且这恰恰是微点没有告诉普通消费者的地方，或者说是我还没有看 ...

呵呵，有可能是因为帖来的文章所以aidi朋友对于这些技术和微点这套软件不太了解。
微点SSDT涂改得并不多。和注册表有关的函数统统都没Hook。它主要Hook了NtWriteFile和NtCreateProcess（所谓程序来源分析）、NtOpenProcess（自我保护）、NtCreateThread（监控建立远端线程）。至于网络，应该用的TDI，我没仔细研究。（其实这个防御体系还是很脆弱的，普通用户解决些小木马用用还行）
至于启发式扫描和虚拟机。虚拟机么不是作为单独技术存在的。它总是配合其他脱壳、查变形、多态病毒的特殊程序的。启发式扫描，我不是很了解啊，我只知道到入口点去看看有没有重定位，大概是最基本的方法了，还有么有可能是暴搜Kernel32.dll基址等的诡异行为吧。

[ Last edited by flo on 2006-8-26 at 22:02 ]

作者: hshy83 时间: 2006-8-27 09:59
希望增加病毒扫描，没有病毒扫描，这病毒是轻而一举的就进入电脑了（下载时）。这电脑里呆着病毒，谁会安心啊。不小心把微点关了，那病毒发作怎么办，等到病毒已经发作在处理时，已经晚了。
希望微点要多花心思，做到完美。

作者: fujianwzh 时间: 2006-8-27 10:13
怎么说来说去又把微点说成了是杀毒软件？拜托楼主看看清除。

作者: flo 时间: 2006-8-27 10:58

Quote:

Originally posted by fujianwzh at 2006-8-27 10:13:
怎么说来说去又把微点说成了是杀毒软件？拜托楼主看看清除。

关键的不是概念，而是技术实质或者说概念的定义。

作者: hshy83 时间: 2006-8-27 18:52
微点不要忘了自己始终是杀毒软件。

作者: playworm 时间: 2006-8-28 08:46
学习了学习了。

作者: sxh_sxh 时间: 2006-8-28 09:00

Quote:

Originally posted by 285166790 at 2006-8-26 18:41:
现在运用主动防御的杀毒软件多了，比如卡巴斯基6.0和江民2006都有类似功能，但是他们都只是把主动防御作为一种辅助手段，我认为这是很明智很科学的做法，因为以目前的技术单靠行为就想准确的判断病毒是不可靠的， ...

卡巴斯基正在开发“主动防御”，而其他杀软件只是“启发式”，这是两个不同的概念。

作者: sxh_sxh 时间: 2006-8-28 09:03

Quote:

微点可以单独使用，您可以多游览一些贴子。

作者: calm_cs 时间: 2006-8-28 11:33
微点当然可以单独使用，不过在不依靠传统杀毒软件的情况下，我十分怀疑微点对计算机的安全维护作用。因为微点并不一唯一的一款"主动防御"概念的产品。其它类似的产品都还只能宣称是一款辅助工具，它不能取代传统的杀毒软件。在这里我不想质疑贵公司的技术水平，我想说的是你们所做的都是内部测试，这在反病毒领域是不够的。国际上有很多专业的测试机构，它们有完整的病毒样本，经过它们的测试获得的数据更能说明问题。因为必需要有一个大家信服的测试流程和测试数据，才能说明微点软件的有效性。我也希望我们中国自己的软件能够大大领先于国际的同类产品。希望微点公司能早日拿出这样的测试数据。

作者: nikitaluo 时间: 2006-8-28 11:35
其实看了不少帖子，我觉得不少朋友的观点是对的，微点主动防御系统是好的。也可以说开发得非常不错的（本人试用过，的确如此）。但一个技术不代表一个领域。换句话说，是不是目前几种防杀毒技术就不能结合或融合呢？

我觉得不要一开始就排斥。对某一技术的研究和理解、认知、讨论等是没问题，但不要由于因为认可了某一技术而排斥另一技术。

就好象光到底是波还是粒子的历史争议，结果是光既是波也是粒子。

作者: aidi 时间: 2006-8-28 12:48

Quote:

Originally posted by calm_cs at 2006-8-28 11:33 AM:
微点当然可以单独使用，不过在不依靠传统杀毒软件的情况下，我十分怀疑微点对计算机的安全维护作用。因为微点并不一唯一的一款"主动防御"概念的产品。其它类似的产品都还只能宣称是一款辅助工具，它不能 ...

正如说讲，微点并不是唯一的一款“主动防御”概念的产品；
“主动防御”微点所做的并不是只是概念，他做到了技术上的创新；
可以让其他厂商的“主动防御”单拿出来跟微点的“主动防御”一起测试，相信就会很明显的看出这其中的区别；（在完全没有病毒库的情况下）

ps：微点好像只是没有手动扫描的按钮，但是不知你发现没有时在你解压缩或者打开文件夹的时候微点也会报出一些具体的木马、蠕虫、间谍、病毒；可见他还是融合了特征码扫描的技术，只是没有推出这个功能；

作者: hshy83 时间: 2006-8-28 13:00
江民也在搞主动防御啊！！！
微点要加油，不能落在他们的后面。

作者: flo 时间: 2006-8-28 13:23

Quote:

Originally posted by aidi at 2006-8-28 12:48:

正如说讲，微点并不是唯一的一款“主动防御”概念的产品；
“主动防御”微点所做的并不是只是概念，他做到了技术上的创新；
可以让其他厂商的“主动防御”单拿出来跟微点的“主动防御”一起测试，相信就会很 ...

这个很好理解啊，因为其他杀软并不打算把主动防御作为主要的防御手段。所以并没有考虑通过防御作出判断。但是就微点这样一款打算通过程序行为作出判断为主要防御手段的软件来说，这个防御手段的要求就很高了。因为特征码再不好，在病毒库完全的假定下，它能够防住任何一种病毒。但是纯粹依靠微点的“主动防御”有些东西是完全搞不定的。很多东西一进内存杀软就没戏了。
杀毒引擎和病毒库不是什么一蹴而就的技术，微点想必也在积累之中，所以虽然运用了这样的技术，但还不成熟。

作者: aidi 时间: 2006-8-28 13:54
“但是纯粹依靠微点的“主动防御”有些东西是完全搞不定的。很多东西一进内存杀软就没戏了。”

这个可不好说，进入内存具体是指什么？还不是要有病毒的行为?
微点是底层的驱动加载，应该可以监控到这些行为，处理就是理所当然的了；
杀毒引擎和病毒库哪个厂商也不敢说已经做得相当完美，只是各有优缺，各有发展；
病毒开发者也是在不断的更新进步，大家都是在发展之中，最终利弊只能用时间来考验；

作者: 反黑先锋 时间: 2006-8-28 14:10

Quote:

Originally posted by aidi at 2006-8-28 13:54:
“但是纯粹依靠微点的“主动防御”有些东西是完全搞不定的。很多东西一进内存杀软就没戏了。”

这个可不好说，进入内存具体是指什么？还不是要有病毒的行为?
微点是底层的驱动加载，应该可以监控到这些行为， ...

:lol:有楼上大家的支持相信微点的主动防御一定会不断完善。

帅！

作者: calm_cs 时间: 2006-8-28 14:25 标题: 杀毒技术原理的一些资料

http://www.jijiao.com.cn/avtech/antiVtech/index.htm
这是清华BBS上的一些关于杀毒技术的原理的资料，感兴趣的朋友可以去看看。希望有更多的朋友和病毒爱好者来了解和参与对杀毒技术的讨论。

作者: flo 时间: 2006-8-28 14:37

Quote:

微点的监控并不完全。
它没有监控任何驱动加载行为。以微点现行的手段，它最多监控到加载驱动这一行为。但是这一驱动再往后到底干了什么事情它是没有可能了解的，更不要说判断某个驱动又没有危险性。而且如果微点尝试监控驱动加载后的行为，也会带来许多兼容性问题。
且不说加载驱动，这个要求似乎有点高哦:D。从行为分析本身讲，很多基本用户行为就可以用来做后门。最简单的，比方说，启动网页浏览器，这个行为很正常吧。那么要是启动iexplore http://xxx.com/?Message。就可以将Message发送给xxx.com了吧。而且还有许多变相的非标准的自启动方法（只是因为现在大家都特征码一下，所以再诡异的行为意义也不大）。所谓的复杂的逻辑分析，最多也就是某组行为的串联或单个行为的加权，恶意、善意很难说啊:mad:。

[ Last edited by flo on 2006-8-28 at 15:40 ]

作者: 反黑先锋 时间: 2006-8-28 16:59

Quote:

Originally posted by flo at 2006-8-28 14:37:

微点的监控并不完全。
它没有监控任何驱动加载行为。以微点现行的手段，它最多监控到加载驱动这一行为。但是这一驱动再往后到底干了什么事情它是没有可能了解的，更不要说判断某个驱动又没有危险性。而且如果微 ...

lol:呵呵要求是很高啊！不然那些王牌杀软公司早就研制出主动防御了，

微点正在不断提升自己的主动防御，

这是个开始。

作者: hshy83 时间: 2006-8-28 17:17
支持微点，别忘了给朋友介绍，在网上宣传。

作者: flo 时间: 2006-8-28 20:53
我个人并不反对行为分析，也不会有人会反对技术创新。只是必须清醒地意识到每一种技术的局限性。较准确地防御未知病毒当然是个极好的想法，但是能否实现是另外一回事。
现在的加壳等技术是针对特征码的不足。行为分析恰恰能针对这样的不足，这很好。但行为分析软件的知识库再怎么先进也是有限的，不可能面对无限的代码变化，也没有什么行为是病毒木马非要用到的。
特征码再不好，但是已经经历了时间的洗礼，是一个成熟的技术。比方说为了应对单纯特征码，VXer搞出了变形和多态技术。在现在白痴木马疯狂的时代，这些技术也被用到了各种壳上。AVer于是开发出了虚拟机技术来应对。
而行为分析若流行起来了也会遇到自己的问题（特别是单纯的行为分析）。因为各种行为太多了。单单以自启动来说，看看KIS6的注册表监控。System Startup就有44处。这还不全，还有一些注册表键值可以被利用。除了注册表之外，还有其他的自启动啊。举个例子，比方说我把桌面快捷图标的路径全改一下。又或者把QQ的timplatform.exe替换一下。可以利用的地方多得是。这些都是用户模式的小儿科游戏，若是索性底层一点呢？
路长着呢，呵呵。:P

作者: 微点专家 时间: 2006-8-28 20:57
微点正在不断提升自己的主动防御。
我等待
微点帝国

作者: nasdaq 时间: 2006-8-28 21:16

Quote:

Originally posted by flo at 2006-8-28 20:53:
我个人并不反对行为分析，也不会有人会反对技术创新。只是必须清醒地意识到每一种技术的局限性。较准确地防御未知病毒当然是个极好的想法，但是能否实现是另外一回事。
现在的加壳等技术是针对特征码的不足。行为 ...

呵呵，理论上特征码可以侦别出所有的有害程序。但很遗憾，这个推断是建立在一个不可能完成的前提之上——收集到所有的样本。忽略误报问题（其实无法忽略，只是每家公司都不公开而已），特征码技术的可靠性确实不错，但是在宽带网络时代，滞后性就足以造成很恶劣的影响。

微点在努力解决滞后性这个问题，我个人认为微点的行为引擎方案是一个很好的尝试，而卡巴的疯狂升级方案更有点儿治标不治本的味道

另外，建议flo朋友，自己试用，测试一下微点。出于市场目的，微点的官方只能以目前的这种口径进行宣传和讲解。

flo您是明眼人，自己试验一下就明白了，什么叫融合？什么叫双引擎？什么叫作综合查杀效果？

我个人意见，微点的综合查杀和防治效果可以说是很出色的，一旦公开发售，规模效应一起来，想必效果可以更出色。呵呵，注意我说的是综合效果。

PS：calm_cs 朋友的这两个帖子质量都很高，大家在一起很好的讨论一些技术和理念问题，赞一个

作者: flo 时间: 2006-8-28 22:26

Quote:

Originally posted by nasdaq at 2006-8-28 21:16:

呵呵，理论上特征码可以侦别出所有的有害程序。但很遗憾，这个推断是建立在一个不可能完成的前提之上——收集到所有的样本。忽略误报问题（其实无法忽略，只是每家公司都不公开而已），特征码技术的可靠性确实 ...

呵呵，我并没有否定微点尤其明显的优势。至少“原木马”可以查的话，加壳了以后也一样没有问题。单就这点上已经是很不错的。
行为分析一直无法深入推广的原因就是对用户门槛的要求，微点的尝试当然是很欢迎的。
只是，我希望微点能够完善自己的技术（包括传统特征码），我确实试用过微点的。它的缺陷和硬伤也确实存在。我担心的也正是如果它规模效应起来后的问题。因为就原理上说，它的“知识库”本身也是滞后的吧，只不过不是像特征码针对一个，是针对一类。如果有和木马多打交道，很容易想出过它的方法。
如果没有特征码，则：若一个新类型的木马出现，微点随即总结了“规则知识库”。我们现在已经可以看到，微点本身误报率就很高。若是添加了一个规则，则误报率又会陡然上升。而每个规则要成熟起来又需要一段时间。因此微点相当需要使用特征码技术作应急事件的缓冲。
因此才希望微点的设计能具有前瞻性，真正地主动起来。
另一方面，我也很希望微点尽快上市（可以先以辅助防御软件上市，等到自己准备好了，再通过XX认证），毕竟一个东西到底好不好，还是市场说了算，不是我们这几张嘴巴可以决定的。

[ Last edited by flo on 2006-8-28 at 22:34 ]

作者: nikitaluo 时间: 2006-8-29 13:44

Quote:

Originally posted by flo at 2006-8-28 22:26:

呵呵，我并没有否定微点尤其明显的优势。至少“原木马”可以查的话，加壳了以后也一样没有问题。单就这点上已经是很不错的。
行为分析一直无法深入推广的原因就是对用户门槛的要求，微点的尝试当然是很欢迎的 ...

说得好。

作者: 微点专家 时间: 2006-8-29 13:47
微点不是在尝试。
微点已经成功了。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn