Board logo

标题: 对于一些微点主动防御的观点和反驳 [打印本页]
作者: david1126103     时间: 2007-11-11 18:52    标题: 对于一些微点主动防御的观点和反驳



  Quote:
3、微点
微点的特征非常明显: 
行为库、监控、拦截,外加一个包过滤墙 
所谓行为库,是由程序的连串行为构成,病毒通常具有类似的连串行为,比如释放驱动、改写注册表、释放系统文件、自启动等等,微点便是以这样的方式来判断病毒和木马的,所以某些单一的行为或者未知的行为,不论有害还是无害,只要不触发微点的行为库,便会被放行。

微点有病毒库的,也就是有特征码,某些已知病毒直接触发特征码对比扫描
如果一个病毒只有单一行为,比如只加载自启动,那么这个程序没有任何意义,他启动了又能干什么呢?(当然用特征码就可以判断了),病毒的自身复制传播联网下载是一连串有意义的行为。。。

  Quote:
HIPS 
如果犯人就此改过自新,不再犯案,那么HIPS将会就此放过它。如果某一天,犯人继续有了作案的动机,假设他是拿枪去杀人,首先,犯人伸手去衣兜里(不管是不是去掏枪),HIPS会提示,是否阻止它?如果你放行,犯人会进行下一个动作,把枪拿出来,HIPS继续报警,是否阻止。如果放行,犯人接下来会瞄准目标,HIPS继续询问。再放行,犯人开枪杀死目标,系统崩溃,HIPS就此下课。 

比喻的很好,也就是不到最后你不知道他要干嘛。。。也许他只是拿枪出来玩玩。。但是你却把他杀了,也有可能你阻止了一场谋杀。。。这些由谁来判断?由你自己。。。
我们为什么不找个好点的保镖(微点)?而不用整天提心吊胆,担心对方想杀我。。。
我一生中也许只会遇到几次这样 的危险。为什么要我用每时每刻的担心做为代价?这些完全可以交给我的保镖去做。。
以上我想说明的是作为软件的易用性。。。大家可以自己体会

  Quote:
3、微点 
如果犯人就此改过自新,不再犯案,那么微点也会就此放过它,这和HIPS相同。但接下来的就不同了。犯人进行第一个动作,伸手去衣兜里,微点不予理会,因为这一动作本身无害,也许犯人不是掏枪,只是掏钱而已。如果接下来,犯人掏出的不是凶器,微点无视,如果犯人掏出的是枪,微点会在此时报警,这两个动作加在一起才形成了威胁,只有在这种情况下,微点才会询问。如果犯人掏出的是一种微点从未见过,且不知道否会构成威胁的东西,微点仍然放行,然后目标人物被干掉

恩!这段话证明了我上面说的,微点是个好保镖,这段里作者说如果犯人掏出的是一种微点从未见过,且不知道否会构成威胁的东西,微点仍然放行,然后目标人物被干掉
这个比喻不好,如果犯人最终目的是想杀我,那么不管他掏出什么东西,微点保镖都会保护我,前提是他想杀我这个行为,而不是用什么东西杀我。
杀是一种行为。。。这种行为微点保护,而不是用什么来杀。。

  Quote:
2、HIPS  
事前防御滴水不漏,但事事要求用户决定是否放行,如果用户基础知识不足,错误放行,那么病毒将会侵入系统,HIPS没有查杀能力,也许可以继续拦截病毒的行为,但不能杀灭病毒本身,更不能修复被感染的文件 

3、微点 
事前防御根据病毒行为库判定,并不会对所有单一行为报警,只有当连串行为构成危险并触发其行为库事,微点才会报警。但如果某程序的连串行为不在微点的行为库之内,即微点无法识别这种行为是否有害事,系统被会病毒侵入,微点同样不具备查杀的能力,最多只能拦截病毒的部分行为,而无法杀灭。 

两相比较用户应该更愿意用微点吧。。。病毒要找到一种新的行为,几乎不可能,即使有了,只要微点收入行为库,病毒想要再找到一种新的行为就更难了

  Quote:
  四、继续举例 
假设手动更改 .TXT的文件关联,使其关联到写字板程序 
微点不会报警,因为这一单一行为不会对系统造成威胁 
 
而EQ、中网S3等典型的HIPS,如果对这一文件关联设定了规则,则他们会提示这一修改,询问你是否放行。如果设定的规则是禁止的,则他们会直接禁止,使你无法改动文件关联。相对而言,EQ、中网的防御更为严密,但对使用者的要求更高,你需要自行判断某一程序的行为是否有害。

微点同样有规则,它的规则是以行为库(由程序的连串行为构成,病毒通常具有类似的连串行为,比如释放驱动、改写注册表、释放系统文件、自启动等等,微点便是以这样的方式来判断病毒和木马的)的形式体现,某个行为,无论是单一还是连串,无论有害还是无害,如果不在微点行为库的范围内,则不会被拦截。 
   

又回到了我前面说的软件易用性上了,既然是对系统无害,普通用户当然不希望看到那跳出的警示提示吧。。
微点拦截的目的是看此行为是有害还是无害再来拦截,而不是要用户自己去判断他有害还是无害
。。。

  Quote:
    五、总结 
微点对某些广告和流氓的拦截不是很好,对IE插件的加载也很少报警,因为这些广告程序和插件,并不具备明显的病毒连串行为,这些程序通常只是改写一下注册表劫持浏览器,甚至不会自启动。 
微点仍是建立在对已知行为的判断的基础上,对未知的病毒行为仍然毫无办法。只不过病毒行为通常是类似的,通过很少的行为库就能起到很好的防御作用。从这个意义上说,微点仍是被动而不是主动。
而中网和EQ,如果你对系统注册表关键位置进行了一些规则设定(EQ和中网内置的注册表防护规则非常全面),这些广告和流氓想劫持浏览器就成了不可能的事 

杀软则不是通过程序的行为来判断,而是通过程序的特征码 
 
最后一句话:
杀软通过程序本身的代码特征来判定是否有害 
HIPS通过程序的单一行为来判定是否有害 
微点通过程序的连串行为来判定是否有害 
另外一个特殊的沙盘,基本不作判定,任由程序在虚拟环境中运行,使其无法破坏系统

作者犯了几个错误
1。微点是主动防御软件是杀毒软件,而HIPS是主机入侵防御软件不是杀毒软件, 这是两个概念
所以他们毫无可比性,不知道有什么好比的?
2.HIPS通过程序的单一行为来判定是否有害  不是HIPS来判定有害,是HIPS给出行为,由用户来判断是否有害
最终总结下我的发言他们最大的区别就是微点可以告诉你该怎么做,他来帮你判断好人坏人,而HIPS是你告诉他该怎么做,你来判断好人坏人。。
作者: 0qop0     时间: 2007-11-11 23:28
看不懂~~但能坐沙发已经很满足了~~
作者: lotei     时间: 2007-11-12 01:37
微点可以告诉你该怎么做,他来帮你判断好人坏人,而HIPS是你告诉他该怎么做,你来判断好人坏人。。
楼主描述的很形象!
作者: qq2008444     时间: 2007-11-14 14:45


  Quote:
引用第53楼nasdaq于2007-08-11 23:40发表的  :
(5.黑箱行为规则特征更重要的是保证用户安全,而不单是为了防止竞争。
6.简析微点杀毒原理,微点为什么可以未卜先知查杀明天的病毒?
7.微点和HIPS的区别)

[所以说,我觉得微点采用黑箱行为规则,不是一个简单为了保护自己产品利益的行为,因为从整体结构看,黑箱行为规则对于最大限度保证用户安全是非常必要的。而且安全产品对自身核心部分采用黑箱机制是一贯的传统,比如说没有一家杀软公布他们的特征码拾取方案,没有一家杀软公布他们的虚拟机,没有一家杀软公布他们的启发式规则。保护产品是一方面,但更重要的是对安全检测技术的保密,可以有效提高病毒木马的编写技术门槛,增加他们的开发难度,从而在整体上尽可能地保护用户的系统安全。

PS:黑箱就是指不公开、保密的意思。白箱与之相对。

当然,同样作为一名信息安全技术的爱好者,我对上述的这些保密技术也是非常感兴趣的。反汇编彻底分析软件结构,难度太大,离我们太遥远。大家要注意到,我们网友间为了研究分析安全软件,出了一些很有意思的小工具,比如说针对特征码扫描的分析工具CCL特征码定位器等。我想,既然大家对微点的行为分析这么有兴趣,为什么没有人去做一个行为探测器呢?目前还没有看到类似的工具,但应该是不远了~!

但正是因为如此,行为分析没有一个准确的定位判断什么程序动作是合法什么程序动作是非法,只能靠开发人员"经验"判断,这个也是行为判断误报多的主要原因.nasdaq所讲的都是"理想化"的,正常的程序也有可能调用所谓的"危险"API,做所谓的"危险"程序行为,这对新手来说每一个选择都是一种冒险,从这点来考虑,那些说微点是高级HIPS的人应该也是这么认为的.



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn