Board logo

标题: [个人推测]微点主动防御机制 [打印本页]
作者: kihong     时间: 2008-3-2 18:02    标题: [个人推测]微点主动防御机制

以下仅是个人推测

看了《主动防御不可能完成的任务》后,我对微点的主动防御机制比较感兴趣。按照我看,其实《主》文中主要是质疑微点的防御流程,即作者假定微点是根据病毒行为来判断病毒的,而由于一些行为可被病毒使用,也会被正常程序所使用,所以微点的主动防御是站不住脚的,很难达到彻底遏制病毒的作用。

而稍微了解一点计算机知识的人都知道,病毒是通过完成一系列的动作从而产生病毒行为。虽然这样一个从发作到产生破坏力的时间很短,但这样一个过程是客观存在的。而我个人觉得,微点的主动防御机制并不是《主》文中作者所说的,是根据病毒行为来判断的。

在微点绞杀病毒的时候(为了更好地排除特征码的影响,这里只指未知病毒),如果我们仔细检查微点的日志,我们会发现,微点对病毒的绞杀是慢于病毒程序的运行,早于病毒产生破坏力。打个比方,甲准备谋杀乙,整个谋杀过程是甲把手伸进口袋,掏出枪,对准乙,开枪,而微点的防御是在甲已经开枪之后子弹射中乙之前。

到这里我们应该理解,微点防御的点是在病毒产生破坏之后,换句话说,如果上例中的甲手中的只是一把水枪,那么不管他模仿得再像,由于不会对乙产生威胁,所以微点并不会对它有任何反击措施。

而我们可以把甲理解为未知程序,乙理解为操作系统,掏真枪理解为是病毒,掏水枪是正常程序,早期的微点之所以频繁报警,是因为他监控的点落在“对准乙”而不是“开枪”。

我觉得,微点的最关键核心技术应该不算主动防御(这也是核心技术),而应该是对病毒的拦截行为(即能在病毒开始产生破坏作用时及时终止病毒进程)。至于所谓的主动防御,其实也只是一套行为规则,与特征码技术相比是大同(都是要对比)小异(代码识别与行为识别),要设置一套监控到点的规则不是难事,难就难在能否及时进行拦截。

用一句话来说,“哪怕你掏出枪来,只要你不开枪,我不会理你,但你一开枪,我就连你的子弹和你一起干掉。”这应该就是微点的强大之处吧。
作者: liudaxue2008     时间: 2008-3-2 18:47
我认同楼住
作者: kihong     时间: 2008-3-6 13:10
版主不发表下吗?
作者: 046569     时间: 2008-3-6 21:11
个人感觉楼主的说法站不住脚。
首先,基于个人的测试,微点很可能并没有沙盘。微点判断病毒需要根据一系列的步骤,所以会晚于病毒操作,这是很致命的。
其次,通过长期使用可以发现,微点类似一个智能型HIPS,拥有强大的规则。但HIPS的弱点是个性化强,所以容易出现误报情况。微点通过设置了例外规则来解决误报问题。但这一操作会有可能带来隐患。
我一直对微点很感兴趣,正在探索其原理。如果你对这也感兴趣的话,可以联系我。QQ:41412418
作者: saysm     时间: 2008-3-6 23:57
LZ的话是有些道理的.  但你说的甲乙所做的时间和地点,都只是你眼中看到的,和个人反应有关系.
如果甲乙所做的一切都要向一个丙汇报,他要做的动作.你说什么怎么样?
CPU又是一个时间轮转的东西.     掏枪的动作,如果在CPU中完成要100个动作的话.
那是可以有时间做反应的,就算只有5个动作:  我列一9个.
1.手伸进口袋.
2.手拿住了枪.
3.拔出口袋.
4.甲指向乙.
5.描准了.
6.开枪.
7.子弹飞去.
8.子弹中了乙.
9.乙死亡.
当枪出来了.CPU轮转是绝对有时间,让甲停止的.   系统是那个世界的一切
作者: kesnet     时间: 2008-3-7 09:04
哈,比方打的够好,不过微点应该不具备楼主所说的能力!
作者: yjwfn502     时间: 2008-3-11 12:05
如果是这样的话,微点反映慢一点点,就完了。。
作者: lotei     时间: 2008-3-12 10:25
事实上一句话!微点了不起的是他的Ai,关于上述几个朋友所提到的有效阻塞问题,原先我也担心过,但目前在我看来,微点做得很好!基本可以不用太在意这个问题。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn