Board logo

标题: 小论深度论坛“微点与HIPS的区别” [打印本页]
作者: downtoearth     时间: 2007-11-8 16:21    标题: 小论深度论坛“微点与HIPS的区别”

看nasdaq 高手到了微点论坛做版主了,先恭喜下,以前在中天、绅博拜nasdaq大作 多篇,今天献个丑,做为小小礼物。
【微点与HIPS区别】深度原帖http://bbs.deepin.org/read.php?tid=421680
引用一下:“HIPS作用相当于一个动态的系统分析器”,从软件结构定义:“HIPS:监控,微点:监控+分析+清除 ”, 从软件结构定义来看,监控是二者都有的,区别在于微点有分析和清除,hips没有。
        我们先看看“分析”这个词汇,现代汉语词典中对“分析”的定义是【把一件事物、一种现象、一个概念分成简单的组成部分,找出这些部分的本质属性和彼此之间的关系】。通常我们讲,分析者应该具有思维能力的,比如人。计算机自身是不具备分析能力的,计算机仅仅是一些电子元器件而已,计算机程序具有分析能力吗,应该计算机程序是具有分析能力的,因为程序是人编写的,因此,可以按照人的某种思维模式实现一定的逻辑分析能力。所以说,我认为,hips不能理解为动态的系统分析器,因为hips不具备分析能力,只是动作的报警器,比如瑞星的注册表监控,那也仅仅是注册表修改报警器。而hips仅仅是由程序员在分析了 windows系统的涉及重大安全API调用的基础上,通过程序对这些API进行了监视,由于监控的这些API是很多病毒常常调用的API,所以,大家觉得HIPS具有反病毒的能力。但这些API是任何程序都可以调用的,所以,HIPS对正常应用软件调用被监视的API也会报警,因此,HIPS程序自身是没有分析能力的,只能说是按照程序员的要求实现了API监控报警器的功能而已。
        微点也具有监控能力,但并不是说微点就是在HIPS,重要的是微点具有分析能力,这才是本质的不同。那这种分析能力体现在哪里呢,对程序是病毒还是非病毒的分析能力上,用过微点的人或做个深层测试的人都有体会,微点并不是把所有写注册表启动项、遍历磁盘或者执行网络连接的动作就报警的,通过微点的程序生成日志和注册表修改日志可以看到,程序已经生成、注册表项已经修改,从创建时间和修改时间,以及微点拦截报警发现未知病毒木马时间上看,是有差异的。因此说,微点不是乱报警,而正是象官方说的那样,一旦程序表现出病毒木马行为即拦截并报警提示。另一个重要的特点是微点在发现病毒木马后能够有效清除,这是 hips所不具备的,为什么不提供这种功能呢,因为hips不具备分析能力,所以无法分析出这个API调用的动作是正常程序完成的还是病毒完成的,更谈不上清除的功能了。微点高深之处在于,让程序具备了人分析病毒调用API的行为和正常程序调用API的行为,具备了发现病毒清除病毒的能力。

----------好文章 +2  
         david1126103

[ Last edited by david1126103 on 2007-11-13 at 08:25 ]
作者: bigpoint     时间: 2007-11-8 18:21


  Quote:
Originally posted by downtoearth at 2007-11-8 16:21:
看nasdaq 高手到了微点论坛做版主了,先恭喜下,以前在中天、绅博拜nasdaq大作 多篇,今天献个丑,做为小小礼物。
【微点与HIPS区别】深度原帖http://bbs.deepin.org/read.php?tid=421680
引用一下: ...

你身体不好,干嘛到处乱窜:cool::cool:
作者: downtoearth     时间: 2007-11-8 18:55
身体不好就更应该乱窜啊,锻炼身体
作者: 白银     时间: 2007-11-10 17:35
HIPS防病毒不过是它的功能的一方面而已
HIPS是“人在环中”,由用户进行判断,和微点的程序自身进行判断完全不同
所以这两者是没有可比性的
如果是家庭用户,当然是微点更适合
如果没有一定的相关知识,使用HIPS是达不到高效防护的


-------------- 说的正中要害 +2
               david1126103
            
              

[ Last edited by david1126103 on 2007-11-13 at 08:27 ]
作者: 反黑先锋     时间: 2007-11-12 20:55
说的很好 建议加分
作者: 追风战士     时间: 2007-11-13 16:46
说的真好,又学到了新知识。
作者: zayss     时间: 2007-11-15 10:14
我觉得就是黑盒HIPS和百合HIPS的区别
作者: qq1200282     时间: 2007-11-16 18:05
我觉得某些行为微点应该要指明出来 ...
不要就给"未知木马"等这短短几个字 ....
误报情况真的很严重...
作者: haha     时间: 2007-11-16 22:33


  Quote:
Originally posted by zayss at 2007-11-15 10:14:
我觉得就是黑盒HIPS和百合HIPS的区别

微点主动防御和HIPS在实现防御的过程中,监控技术当然是必不可少的,但不能说微点就是HIPS,HIPS和微点区别在于微点有分析和清除,hips没有,有了分析和清除的功能,这就使微点与HIPS在本质上有了区分。打个比方步枪和机枪他们在发射子弹时都会用到撞针技术,但他们的构造就不同杀伤力也不一样,机枪实现了连发他的杀伤力就远大于步枪,虽然他们都使用了撞针技术,但步枪就是步枪,不能把步枪说成机枪对吗?它们统称为枪。同样的道理微点的主动防御不是HIPS,我倒是有个说法不知版主是否可以接受?我的说法是:微点的主动防御和HIPS都是基于行为监控的防御工具,微点具有判断和清除能力是智能的,HIPS没有。
举个例子:
有些正常软件也会有疑似病毒的动作,hips没有分析的能力所以就同样会报出来让用户判断,这应该算作不分青红皂白吧,只要符合标准的hips是不会区分正常和非正常的都报给用户的,对于普通用户来说,谁能分辨出是与非呢?但微点不同他具有分析和清除功能,能够替用户去区分正常和非正常并放过正常处理非正常,就是因为微点具有的分析能力所以才会给用户减少了这种判断上的困扰.
结论是微点根本就不是HIPS,所以无论是黑盒HIPS和百合HIPS跟微点不沾边。
作者: pypok     时间: 2007-11-16 23:55
到这里就来学习的,学习了!!!
作者: qq1200282     时间: 2007-11-17 06:52
hips是报允许/阻止
微点是报删除/不删除
这智能还真是可怕的智能啊...
....
而且微点就算真的有智能判断 也不要一下子给用户来一个未知木马什么的吧
何况我觉得很奇怪的是"可疑文件"的触发条件 有几个都是可以轻松触发这询问的
而且这些询问如果点了阻止的话微点就会擅自把该程序当为病毒 ....

没啥 口胡了一下 可以无视我的
作者: david1126103     时间: 2007-11-17 07:10


  Quote:
Originally posted by qq1200282 at 2007-11-17 06:52:
hips是报允许/阻止
微点是报删除/不删除
这智能还真是可怕的智能啊...
....
而且微点就算真的有智能判断 也不要一下子给用户来一个未知木马什么的吧
何况我觉得很奇怪的是"可疑文件"的触发条件  ...

说的很有道理
但是“智能”只是相对的
我说我很聪明,那是相对于比我笨的人来说的
相对于我比我聪明的人,我就变成笨蛋了。。。
作者: hyddzcmj     时间: 2007-11-17 10:12
不错 不错 学习了!
作者: qq1200282     时间: 2007-11-17 12:37
- - 啊 对 微点是自己判断
不过hips把智能交给了用户 ....
人类智能vs人工智能 - ,- ....

不过微点的智能还需要多多努力啊 ... 至少要减少下误报 还有报未知木马的时候至少说明下病毒有什么行为让微点报的... 连续api判断的规则就不用公开了
也是口胡 ...不顺眼的话别在意
作者: 巨头     时间: 2007-11-22 18:28
微点就没有误杀吗?一样靠人啊  没人判断要电脑干嘛
作者: lywangqz     时间: 2007-11-23 15:18
领教了!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn