微点交流论坛

标题: 只是在抄作----评所谓的“主动防御软件” [打印本页]

作者: MJ0012 时间: 2006-9-27 00:40 标题: 只是在抄作----评所谓的“主动防御软件”

只是在抄作----评所谓的“主动防御软件”

所谓的主动防御技术，目的是解决“病毒总是出现在杀毒软件更新病毒特征码之前”这个问题，但是，应用主动防御之后，仍然是杀毒软件在明，病毒/木马在暗。病毒/木马制作者可以在自己的电脑上安装一套所谓的主动防御软件，然后慢慢研究，不用费多少时间，无法“主动防御”的病毒/木马就会诞生。所以，说主动防御能解决AV软件杀毒能力滞后的问题，只是一种炒作。据我所知，主动防御或行为检测的概念，在DOS时代就有了，只是没有明确提出来而已。国内的AV要么是买国外的引擎（以至于没有版权，不能深入开发，甚至不能修正bug），要么烂得可以。只好搞点“新概念”吸引眼球，特别是在市场已经被瓜分完毕，新的AV想分杯羹的情况。我前段时间见到一个据说是国内最早(比江民早)搞AV的人，在他看来，国内的查杀毒技术，10几年来就没有大的进步，搞来搞去就那一套。

主动防御依赖于行为检测，即所谓的“病毒行为动作特征库”。显然，这个行为特征库也存在信息滞后问题。比如对于木马修改注册表实现自启动这类行为，正常与否取决于注册表键值，没有一劳永逸的办法，只能是知道一个识别一个。大家可能都用过hijackThis或Autoruns，它们能列出系统中各种能实现自启动的地方，尤其是注册表特别多。随版本的升级，自启动项还在不多增加。再比如，我在《深入挖掘Windows脚本技术》中提到的WMI永久事件，这也是自启动，不知道现在市面上的AV有没有检测这个行为的。群众的创造力是无限的，再举个极端的例子，ACPI是可编程的，仍然写在注册表中(HKEY_LOCAL_MACHINE\HARDWARE\ACPI)，有AV想到了吗？还有，写个dll取名和系统常用dll一样，导出的函数也一样，放在WINNT目录，当explorer.exe启动时，先加载的是这个Trojan Dll。有AV管这个吗？仅仅一个自启动，行为就层出不穷，再来个文件感染行为呢？

如果说，从病毒特征值检测到行为检测，一定程度上减少了“特征库”更新的频率，这是个进步。那么另一方面，误报率恐怕反而会增加。仔细想想就会知道，“擦边球”实在太多了。比如金山词霸（消息钩子、远程线程），Serv-U（安装服务），SoftIce和VMWare（安装驱动），BT和eMule（修改防火墙规则）等等。当然，AV会采取加权方式，只有行为的权值累积到某个阈值才报警。再复杂点的算法是把行为分组，一些普通的行为连贯起来就有了权值。这类方案算不上创新，任谁来设计都能想到。且不论该方案本身的复杂度，即使实现了，离“智能”还差得远着呢。当行为检测碰上QQ——自启动、安装驱动、监听端口、文件传输、屏幕截图、远程控制、安装IE插件、弹出广告，这么多“恶意行为”集中在一个程序里，是木马吗？？我开发安全产品的经验告诉我，控制粒度越精细，例外越多。QQ特例处理了，MSN呢？Skype呢？3721算不算木马？yahoo助手、网易泡泡，IE插件何其多。假设AV记录某个程序的各种行为，列成一张表，隐去文件名等信息后，交给“专家”来判断，能确定该程序是否木马吗？我看难说得很。人做不了的事，程序更搞不定了。

最后，我统计了一下我的电脑（刚安装不久）上Program File下的30个软件，一半以上具有至少一个“恶意行为”，1/3具有两个或两个以上“恶意行为”。从概率上说，全世界有1/3的程序可能被拦截并提示用户，行为拦截机制多数情况在制造麻烦。要知道，多数AV用户是不熟悉计算机的，别指望拦截行为后给出提示，交给用户判断，就能“明辨是非”。而且，不是由用户自己装的就一定是正常的软件，也许是文件捆绑、伪装、欺骗用户执行，或者漏洞溢出执行，或者黑客入侵并像正常用户一般执行程序。当然，这种问题稍稍超出主动防御的范畴了。

总之，我认为目前的主动防御技术，仅仅是原有技术的补充（很多AV已经这么做了），再往多的说就是炒作了。

作者: 莫言 时间: 2006-9-27 00:45
不知道楼主使用过微点吗？建议楼主使用一下微点再下此结论，当然楼主分析的有道理，但是不能一棒子打死，对新生物很多人都是报着怀疑的心态的，但是如果要接受它，用了才知道！

作者: MJ0012 时间: 2006-9-27 01:06
当然用过，你自己看文章就可以知道

作者: zqrsc 时间: 2006-9-27 08:18
楼主转贴是否该贴明出处呢？

作者: 反黑先锋 时间: 2006-9-27 08:49

Quote:

Originally posted by MJ0012 at 2006-9-27 00:40:
只是在抄作----评所谓的“主动防御软件”
所谓的主动防御技术，目的是解决“病毒总是出现在杀毒软件更新病毒特征码之前”这个问题，但是，应用主动防御之后，仍然是杀毒软件在明，病毒/木马 ...

相比国内、国外的扫毒软件依赖于“截获-反应-升级”特征码，其最基础的反病毒技术始终滞后于病毒出现的现状，微点主动防御体系能够更有效地监视电脑的关键区域，找出由各种危险所造成的危害行为并阻挡这些威胁，不管是病毒，蠕虫，特洛伊木马，黑客，后门，还是间谍程序。其优势就是在安全公司发布新的特征码补丁之前，新的威胁横行之际，就能捕获他们!

如果那篇文章的作者　认为微点的实力纯属炒作～

我建议他应该去测试下～　看看微点的查杀未知病毒的实力　是不是炒作！

:cool:答案就在测试中。　

作者: mplmj 时间: 2006-9-27 09:21
主动防御依赖于行为检测，即所谓的“病毒行为动作特征库”。显然，这个行为特征库也存在信息滞后问题。比如对于木马修改注册表实现自启动这类行为，正常与否取决于注册表键值，没有一劳永逸的办法，只能是知道一个识别一个。大家可能都用过hijackThis或Autoruns，它们能列出系统中各种能实现自启动的地方，尤其是注册表特别多。随版本的升级，自启动项还在不多增加。再比如，我在《深入挖掘Windows脚本技术》中提到的WMI永久事件，这也是自启动，不知道现在市面上的AV有没有检测这个行为的。群众的创造力是无限的，再举个极端的例子，ACPI是可编程的，仍然写在注册表中(HKEY_LOCAL_MACHINE\HARDWARE\ACPI)，有AV想到了吗？还有，写个dll取名和系统常用dll一样，导出的函数也一样，放在WINNT目录，当explorer.exe启动时，先加载的是这个Trojan Dll。有AV管这个吗？仅仅一个自启动，行为就层出不穷，再来个文件感染行为呢？
=========================================

楼主是个强人，如果只是监测启动项，那就是江x的“木马一扫光”了。呵呵
楼主可以开发比“木马一扫光”更强的杀软了。拜一个。
难道木马只是随系统启动，然后什么都不做了吗？没有行为的吗？

作者: playworm 时间: 2006-9-27 11:17
有行为如果在监控内，应该可以发现的，怕的是行为不在监控内的，就象前段时间某个用户说的驱动型的甚至什么直接i/o操作磁盘，不用api，会不会出问题？

作者: auto 时间: 2006-9-27 11:25
首先楼主不太厚道：既然是转贴请注明一下贝。
针对楼主所说，偶不敢苟同，偶学问有限简单的说说，大家不要见笑：
楼主说只要是写病毒安装上主动防御软件然后慢慢研究就很快能够写出过主动防御软件的病毒，这个听起来蛮有道理，但是至今偶在各大论坛样本区游荡，至今还没有发现过微点的病毒，我这个人只是相信事实，请楼主给偶一个偶很感兴趣，偶的邮箱楼主可以pm跟我交流。
针对楼主所说的木马利用系统自启动的几个，WMI永久事件也就是脚本后门，这类病毒偶早就操练过，也是没有过微点；对于acpi也就是高级电源管理（楼主说的通俗点大家就会理解的，偶帮你翻译一下），偶记的原来偶得本本的电源管理微点就给报毒了，偶也知道是误报，偶就上报了微点，后来微点升级后，偶得电源管理就被微点识别了不报警了，这说明如果病毒通过这种方式也是没戏，对于楼主说得第三个随着explorer.exe的启动之类的病毒，就不要说了。照样过不了。
最后偶就主动防御软件的误报问题说说偶得看法，对于这类软件误报的现象的确存在，但是据我使用微点半年多以来，微点的误报是越来越少了，比如偶提到的本本的电源管理等，如果一个杀软即能很好的防御绝大多数的病毒，而且其误报也控制得比较好，我们难道不要对这个软件多做点支持，多提供些中肯的建议，别总说空话。
偶得脾气直请大家见谅了

作者: min520ling 时间: 2006-9-29 09:33
对微点科技要有信心

作者: nasdaq 时间: 2006-9-29 12:56
这是第三个发完贴就跑的网友了吧。。。。。。

完全没有探讨问题的诚意嘛

作者: flo 时间: 2006-9-30 16:55
这个是转贴啊，原来是zzzEVAzzz的blog，就是kernel ps的作者。
对auto：
有杀软检测WMI永久事件和ACPI？！万分惊讶中...
我不知道你说微点能杀脚本后门是什么意思，作者提到的WMI永久事件只是脚本后门用到的技术（暴冷门的东西），不能简单把它和脚本后门等同起来。你可以先看看那篇文章，至少我觉得思路还是不错的。
另外把电源管理程序报为病毒也不意味着微点就管ACPI，很有可能仅仅是你的电源管理程序自启动并且作了其它事情就被报毒了。对ACPI编程可是一个很鬼的想法啊。我不太相信微点是因为ACPI而报的毒，而事实证明，微点也主要把自启动对象列为重度可疑。
当然啦，我也帮微点说说话，那么奇怪的病毒毕竟是少数，微点对于目前最泛滥的木马还是有不错的防护能力的。再往深里说，也不能要求那么高吧。

作者: nasdaq 时间: 2006-9-30 22:58
呵呵，原来是zzzEVAzzz在EST发的帖子
http://forum.eviloctal.com/read-htm-tid-15522.html

作者: 枫叶 时间: 2006-10-4 17:29
这样的人也有。靠

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn