Board logo

标题: 觉得“主动防御”是无稽之谈的来讨论! [打印本页]
作者: saikm     时间: 2006-9-9 16:45    标题: 觉得“主动防御”是无稽之谈的来讨论!

本人深刻地认为,病毒和杀软是原因与结果的关系,正如有了小偷才出现警察,有了疾病,才会有医生一样。

现在某些人大吹特吹什么“主动防御”,我对“主动”二字实在不敢苟同,看过了所有号称“主动防御”的杀软的技术介绍,无非是针对病毒可能的为害行为进行判断,从而查杀病毒,那么这里就有问题了,这类软件也无非是把以前杀软判断病毒的标准从病毒体转移到了病毒动作上,这就叫主动防御了?以后如果出现一种具有崭新的破坏动作的病毒,此类“主动防御”软件将会立刻失效,势必也变成“被动防御”软件,还是需要靠“病毒动作库”的升级来提高杀毒能力。所以此类软件叫做“行为防御软件”更为贴切。

此外,这类“主动防御”软件还有更致命的缺陷,就是单纯的动作行为,有时候并不能成为判断病毒的依据,一些诸如程序挂接嵌入之类的行为,也并不是病毒的专利,如果杀软把这些作为病毒的判断标准,势必会“错杀好人”!

而且,这类“主动防御”软件居然还有病毒不执行就不会被查杀的“特点”,“特点”两个字之所以加上引号,是因为这种特性非但不能算特点,而且简直就是缺陷。对此,此类杀软对外的解答为:“当一个有害程序文件没有运行时,它对系统的危害动作没有实施,从这一点上讲,它是不具有危险性的”,这个论调就像在说,你把一颗炸弹拿到飞机上去,因为你没有点燃他,那么这颗炸弹就不算危险品一样滑稽可笑~要是这样,我们民航和铁路严禁携带危险品的规定简直多于,我们完全可以利用针对旅客的“行为控制”来保证危险品的安全性……呵呵,天方夜谭。

最后,我认真思考了一下这类“主动防御”软件的出现原因。可以说,是和一些人总是试图一劳永逸的解决病毒问题分不开的,殊不知,技术在进步,病毒在变化,对于病毒,没有任何捷径和特效药可言,这类杀毒软件,也势必会像若干年前的“病毒卡”、“硬杀毒”一样被病毒技术创新所淘汰,大家拭目以待!
作者: player     时间: 2006-9-9 16:55
呵呵,楼上才是无稽之谈,瑞星请来的枪手吧
我测试过多个病毒KV2006,瑞星2006均报无毒,只有微点能发现并且删除
再说说主动防御,世界上不只微点一家能主动防御,卡巴也能主动防御,卡巴可是全球公认的一流反病毒软件,在中国评价得更是神圣,难道卡巴会用一个“没用”的主动防御吗?
作者: Legend     时间: 2006-9-9 17:05
微点是一套复杂的逻辑判断规则,不是楼主所说的那么简单;
微点主动防御技术仍在发展阶段,欢迎您测试并提出很中肯的意见
作者: flo     时间: 2006-9-9 17:31
从原理上说,杀软可以做到找出和已知病毒类似的其他病毒。当然对于完全新类型的病毒,人都要分析好一会,别说程序了。像微点这样的软件确实存在很多的缺陷,仍然需要历练。

楼主可以看看这里:http://www.xfocus.net/articles/200608/883.html,类似的技术还是有意义的,虽然意义多大有待验证,但并不是无稽之谈。
作者: zqrsc     时间: 2006-9-9 17:41
楼主的文笔不错,对汉语言的字面含义 尤其造诣颇深。
感谢楼主对微点的关注。您的关注就是对微点。对国产安全软件行业,乃至对公平的市场竞争的大力支持。在此深表谢意。
另:希望楼主能够从技术的角度,给于微点一如既往地支持与关注。
作者: nasdaq     时间: 2006-9-9 18:29
暂且不谈观点,只是希望楼主能经常来,最好坚持长期讨论

千万不要象前几天某个发帖的朋友,只发了两帖就宣布永远不来了。。。完全没有讨论的诚意和气氛。
作者: nasdaq     时间: 2006-9-9 19:09


  Quote:
Originally posted by flo at 2006-9-9 17:31:
从原理上说,杀软可以做到找出和已知病毒类似的其他病毒。当然对于完全新类型的病毒,人都要分析好一会,别说程序了。像微点这样的软件确实存在很多的缺陷,仍然需要历练。

楼主可以看看这里:http://www.xfocus.net/articles/200608/883.html,类似的技术还是有意义的,虽然意义多大有待验证,但并不是无稽之谈。

:D:D:D:D一下子就暴露出flo是个喜欢技术的好同志。呵呵,安焦撒。
作者: 反黑先锋     时间: 2006-9-10 00:15


  Quote:
Originally posted by flo at 2006-9-9 17:31:
从原理上说,杀软可以做到找出和已知病毒类似的其他病毒。当然对于完全新类型的病毒,人都要分析好一会,别说程序了。像微点这样的软件确实存在很多的缺陷,仍然需要历练。

楼主可以看看这里:[url]http://www ...

首先 转下flo的;)


关于智能化的探讨。

所谓智能化就像截住一个人一样,病毒有一定的套路,虽然这个套路在不断的改变。并非羚羊挂角,无迹可循,还是模模糊糊有一些影像痕迹的。这些病毒的运行过程的痕迹,是防杀病毒智能化并非是海市蜃楼,无法企及。各大杀毒厂商关于智能化防杀病毒的研究也从未中断。以下分三点探讨这个问题

1.为什么需要智能化

1,传统的防杀病毒的方式越来越显示出不足。

依靠病毒样本库和特征码的杀毒方式,随着网络时代流通的加速。在截获病毒样本和病毒大面积发作之间的时间差越来越小,越来越难以防范日益传播迅速的病毒。早期的病毒产生比较慢,而近些年由于计算机知识普遍的提高,病毒产生的速度越来越快,数量也越来越大。特征码病毒库为核心的病毒防杀越来越显出不足之处。何况很多个人编制的病毒甚至不会被发现。而杀毒的根本意义在于保护用户个体的安全,而不仅在于维护整个网络安全。从一定角度来说,只要有一个安装杀毒的用户被感染了(此时样本还为被捕获),就是杀毒厂商的失败。2.智能化病毒随着电脑技术的发展会越来越先进,而传统的防杀病毒方式只是存在于完全被动的防御阶段。智能化病毒甚至能改变特征码逃过传统的防杀方式。

2.能不能实现智能化
当然能实现智能化,其实已经出现了很多这样的工具了。比如一些监控注册表和服务的软件,一些监测工具。例如System Safety Monitor,WinPatrol等此类的工具。防火墙监控外出进程等等都已经在运用了。


3.实现智能化的难点

智能化实现很大的一个难点是,对病毒的判定。

特征码防杀病毒的方法优点就是准确,速度快。

而这恰恰是智能化防杀病毒的难点。从准确上来说,现在所谓的智能化防杀病毒的方法主要是拦截API来作为判断的依据。这样难免会出现正误判或负误判。如果只是拦截,把判断的权力交给使用者,这样判断的准确性又要依靠用户的知识能力决定。如果每个使用病毒防杀软件的用户都是专家,那还要防杀软件干什么?也就是说防杀软件必须判断并自主做出处理。来确认某一个程序是否是病毒。这个确定的准确性很难解决。目前一些所谓智能杀毒的软件都或多或少的存在一些这样的问题。

智能实现的第二个难点: 因为是智能化监测。也就是面对的很可能是全新的病毒,即使判断出来了。那么如何清除呢?这一点对于依靠病毒库的防杀软件来说很简单。因为特定的病毒样本已经被实践过,直到他将会产生什么。而对于智能化的防杀软件来说,这只能依靠一种方式来实现,即完全监控电脑运作的一切行为,这是不可能的。如果这样,防杀软件很可能会占用极大的资源,而且会对用户造成诸多的不便。如果不这样,对彻底清除病毒来说,比较难弄。

出自:智能化防杀未知电脑病毒探讨
http://www.xfocus.net/articles/200608/883.html

 金州[est_vip]2006.8.29
作者: 反黑先锋     时间: 2006-9-10 00:21


  Quote:
Originally posted by saikm at 2006-9-9 16:45:
现在某些人大吹特吹什么“主动防御”,我对“主动”二字实在不敢苟同,看过了所有号称“主动防御”的杀软 ...

;)谈下个人一些想法


目前国内、国际上的所有反病毒产品,都采用“特征码”技术作为最基础的反病毒技术

特征码”技术的局限性是明显的,因为通过这种流程 “截获-反应-升级” ,它的解决方案总是滞后于病毒的出现。


 微点主动防御软件是依据行为判断

“行为断判”技术的核心思想是在病毒对系统造成实质性侵害之前终止它的运行并进行相应的处理。 

 事实证明 行为判断能够查杀未知病毒。

通过这种技术,不需要病毒库,我们就能够发现大部分的新病毒和变种!


:cool:现在的网络 几乎每天都会出现崭新的病毒 如果没有主动防御的技术 
楼主您觉得~  

光靠过期的特征码 能行吗?

 让我们去依靠“截获-反应-升级” ??


这类“主动防御”软件居然还有病毒不执行就不会被查杀的“特点”,“特点”两个字之所以加上引号,是因为这种特性非但不能算特点,而且简直就是缺陷

我们可以换个想法。 

如果将来 微点的主动防御变的更完善 到时候 再加个特征扫描不难吧?

 
微点的主动防御技术在国内是首屈一指的 微点是先锋

;)研究、完善主动防御的困难都让刘旭的微点给碰上了 微点加油啊! 



微点起步不久 微点主动防御技术仍处于发展阶段 

关于主动防御技术,微点正在不断深入研究 不断精进!

 欢迎您测试并提出中肯的意见。
作者: FlowerCode     时间: 2006-9-10 10:31


  Quote:
Originally posted by player at 2006-9-9 16:55:
呵呵,楼上才是无稽之谈,瑞星请来的枪手吧
我测试过多个病毒KV2006,瑞星2006均报无毒,只有微点能发现并且删除
再说说主动防御,世界上不只微点一家能主动防御,卡巴也能主动防御,卡巴可是全球公认的一流反病 ...

需要注意的是,卡巴斯基6.0将主动防御作为一种“缓冲手段”,只寄希望于在更新病毒库前抵挡病毒一个小时。它不会因为一个程序修改了注册表的键值,挂了钩子,安了服务,加载了驱动就直接TerminateProcess并且DeleteFile
它要做的和SSM一样,告诉你“某某程序正试图做某某事,这是某某类危险程序的典型行为,允许吗?”
其实这种辅助防御很有用。例如新版灰鸽子可能会过卡巴斯基的文件扫描,但是它需要打开IE以便绕过防火墙,还需要隐藏进程,这时主动防御就大显身手了。
Warning:Hidden Object:D
最后说一下,瑞星和江民你需要手动脱壳(可以看AVP6的报告,它脱壳就像浏览目录似的:D),然后再扫描。
作者: 微点专家     时间: 2006-9-10 11:14
在很久很久以前
          电脑会中病毒
                         也是无稽之谈
作者: nasdaq     时间: 2006-9-10 12:15


  Quote:
Originally posted by FlowerCode at 2006-9-10 10:31:

需要注意的是,卡巴斯基6.0将主动防御作为一种“缓冲手段”,只寄希望于在更新病毒库前抵挡病毒一个小时。它不会因为一个程序修改了注册表的键值,挂了钩子,安了服务,加载了驱动就直接TerminateProcess并且DeleteFile
它要做的和SSM一样,告诉你“某某程序正试图做某某事,这是某某类危险程序的典型行为,允许吗?”
其实这种辅助防御很有用。例如新版灰鸽子可能会过卡巴斯基的文件扫描,但是它需要打开IE以便绕过防火墙,还需要隐藏进程,这时主动防御就大显身手了。
Warning:Hidden Object
最后说一下,瑞星和江民你需要手动脱壳(可以看AVP6的报告,它脱壳就像浏览目录似的),然后再扫描。

呵呵,我个人认为卡巴这类的“辅助探测”方式,特别不适合初级用户使用,试问哪个初级用户能理解提示上的若干种报警所蕴含的实际意义?

相对来说,微点的人机交互就要好一些,微点可以准确判断的,就明确提示是什么病毒。可疑的部分,给用户的提示也比较明确,删除或是不删除。实际应用的时候,可以建议初级用户,为了安全起见一律删除,如果发觉影响正常使用了,到隔离区进行恢复就ok了。

还有一点,我和FlowerCode朋友的看法不太一样,关于AVP像浏览目录似的这种操作,我觉得是在解析复合文件格式,而不是脱壳。呵呵,具体我也不太懂,请懂行的朋友帮助讲一下,谢谢。

[ Last edited by nasdaq on 2006-9-10 at 15:53 ]
作者: flo     时间: 2006-9-10 12:38


  Quote:
Originally posted by nasdaq at 2006-9-10 12:15:


呵呵,我个人认为卡巴这类的“辅助探测”方式,特别不适合初级用户使用,试问哪个初级用户能理解提示上的若干种报警所蕴含的实际意义?

相对来说,微点的人机交互就要好一些,微点可以准确判断的,就明确提 ...

对于观点一,我完全同意,所以卡巴安装时要求选择是否启用“程序行为分析”,即基本模式和扩展模式的选择。这也是微点这个尝试的意义。
对于脱壳么,杀软的脱壳和我们一般说的脱壳还是有很大区别的。毕竟杀软不是要把程序还原成原来的样子,只需要部分地还原就可以了。只是,KAV6的引擎架构极好,所以会给人像在浏览文件夹的感觉。(在其日志里,若扫描一个文件X:\a.exe,如果被加NSPack,它会显示X:\a.exe/NSPack扫描,如果还有加壳,继续加参数...)



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn