Board logo

标题: 微点与threatfire有什么区别吗 [打印本页]
作者: mabin830707     时间: 2008-11-23 09:24    标题: 微点与threatfire有什么区别吗

请问版主,微点与threatfire有什么区别吗,或者两者可以同装吗?谢谢!
作者: mamsds     时间: 2008-11-23 09:48
在我印象中,threatfire更像是一个完整的HIPS,跟微点的主动防御不太一样。。。。。。。
作者: Legend     时间: 2008-11-23 10:35
Threadfire是一种HIPS类的软件,HIPS类的软件与微点主动防御软件有本质上的区别。

HIPS类软件针对各种潜在影响系统安全的API动作进行监控/报警,因此称之为API动作监控/拦截器较为准确。比如监控创建文件、安装全局钩子、创建远程线程、修改其它进程内存、创建/修改注册表项等API动作,不管运行的程序是病毒木马还是正常程序,只要程序执行了被监控的API动作,HIPS就会报警,这就造成了大量无效的报警信息,一般用户很难使用。

为了减少HIPS的报警信息,EQ等HIPS采用类似网络防火墙规则包的设置,每条规则仍然对应一个API动作,且规则间没有逻辑关系,仅对某些系统或程序的使用API的动作处理行为进行预先设置,当这些程序运行时,就按照已经预先设置的规则进行处理,减少了询问用户的频度。但在安装软件和驱动,甚至软件升级时,这种规则包有可能影响程序的正常工作,因此,这类HIPS可能会要求暂时关闭保护功能,待软件安装结束后再重新启用保护功能。我们必须注意到,用户安装新软件时常常会遇到病毒,很多恶意软件多采用捆绑的方法欺骗用户安装,因此即使是暂时关闭保护,也是很危险的。

微点主动防御软件和HIPS则有着本质的不同,微点不是根据简单的单一API动作进行报警,而是根据程序一系列API动作构成更有意义的行为,结合病毒行为知识库进行逻辑判断,综合分析这个程序是否是病毒。微点主动防御软件使用程序行为智能分析,实现对病毒的判断更准确,同时也基本杜绝了频繁报警给用户带来的困惑,因此更适合普通用户使用。例如微点主动防御软件不会因为程序只增加一个注册表run项(单一API动作)就报警。而HIPS因为只依据单一的API动作,因此只能报这个程序执行了某个可疑的API动作,询问用户是否允许程序执行这个动作,特别当一个正常程序被病毒捆绑时,用户可能会做出错误的判断。

微点主动防御软件不是HIPS,HIPS是依据简单的单一API动作进行报警;而微点主动防御软件是依据程序一系列API动作构成的有意义的行为,并结合病毒行为知识库进行的一套复杂的逻辑判断,准确判定程序是否是病毒,或者是正常程序。
作者: mabin830707     时间: 2008-11-23 17:09
看来微点是建立在比hips之上的一种更高级的监控,不知道理解得对不对?
作者: 点饭的百度空间     时间: 2008-11-23 18:41
情愿用卡巴主动免疫技术 比这个数字鹰强多了
作者: tangzanbing     时间: 2008-11-24 07:04
呵呵,看来偶的理解不正确,原来微点不完全是HIPS,谢谢楼主。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn