微点交流论坛

标题: 微点与卡巴立体防御的体系比较 [打印本页]

作者: wjd1969 时间: 2008-12-16 01:42 标题: 微点与卡巴立体防御的体系比较

微点与卡巴立体防御的体系比较-卡巴部分已经得到工程师确认无误
Tags: 卡巴立体防御

微点：**IPS（没有看到官方白皮书无法判断）+行为分析+白名单+病毒库+自我保护+防火墙（感谢指正）

PS：关于有网友质疑微点的云安全，经过核实软件本身和隐私声明微点没有云安全。[以隐私声明和官方白皮书为准]

拥有云安全的厂商：
MCAFEE PANDA 趋势 SYMANTEC 金山卡巴

KIS2009：**IPS（4D）+交互HIPS（4D）+PDM+病毒库+启发+沙盘+云安全+防火墙+隐私保护+反广告+家长控制+DNA基因扫描+扫描行为分析+运行行为分析+自我保护等

注意：此贴内容不涉及谁好谁坏，仅是带领大家走入卡巴、微点的防御体系！

微点的**IPS与卡巴的**IPS是完全不一样的两个概念，虽然都是智能，但是其运作却大不一样。

我们来看一下微点**IPS的判断机理：
1，进行白名单核对，相同不拦截，不同则进行2。
2，与病毒库特征进行对比---失败则进行3。
3，行为分析，查杀本体与衍生物，并给予提示，被过的要不没有提示，要不拦截不完全）
这也是为什么微点的防御非常出色的原因（部分关键步骤已经省略）

再来看一下卡巴的立体防御体系：
1，进行病毒库、DNA库、不正常的混合壳和可疑程序核对，没有则进行2
2，扫描启发分析，虚拟机在这里进行启发分析，具体可以见到的报法为Heur.Downloader等，没有则进行3
3，扫描启发+扫描DNA启发分析，具体报法为Heur.Trojan.Generic、 Heur.Virus.Generic等，没有则进行4（1），4（2）

注：以下步骤按照自动模式下的**IPS（4d）分析
4（1）、核对白名单和数字签名，没有则进行5（1）
5（1）、自动分组（沙盘运行），并根据初步判断的danger index进行分析，使本体获得相应组别的权限。
6（1）、有些病毒会释放衍生物，此时，每生成一个衍生物并激发运行，都会重复前几个步骤。这里有可能会随着衍生物的行为，使本体病毒的组别发生变化，例如从低受限---->高受限
7（1）、生成的衍生物有些是可以通过1、2、3进行拦截的或者嵌入驱动等等。而有些则被过，此时进入动态行为启发分析，即与行为库中的某些病毒行为进行核对，详见的报法Behavior Similar Trojan xxxx
8（1）、如果没有则会进行整体的最后核对以及评估，包括云安全机理都会在这里进行分析。
这也就是为什么卡巴的立体防御比较难过得原因（注意，有些关键步骤已经省略！）

以上只是形象化描述，具体的比这个要复杂的多例如提升权限等等等等。

注：以下步骤按照交互模式下的**IPS（4d）分析
4（2）基本类似于自动模式，但是有些步骤需要人工干预，包括提升权限，联网提示等多方面提示。

经过7月份我们的测试结果,我们可以看出:
卡巴立体防御成绩基本在97%-100%之间（7月抛去一天HIPS未测试）
微点防御成绩基本在90%-100%之间（不包括个别跳水，基本很稳定）

这个数据完全可以表明，两种防御体系都可以应对最新的病毒，都是主动防御的领头羊。同样是出色的软件！

PS：纠正几个观点
1、微点的HIPS比卡巴HIPS好
防御体系不一样，根本无法对比，而且与版规不符！

2、卡巴的立体防御比微点好
防御体系不一样，根本无法对比，而且与版规不符！

3、KIS=KAV+半个微点
严重错误，KIS从整体水平肯定是超过微点（按照7月成绩说话），但是微点同样优秀！主动防御这块几乎是伯仲之间！

4、卡巴交互模式天下无敌
严重错误,天下没有密不透风的墙，关键在于自己的习惯！

最后给各个fans的话：
卡巴、微点的fans不管怎样，请大家互相帮助双方的软件，不要因为个别人而引发口水，发现对方的BUG可以通过官方的信箱进行上报，口水的讨论是无法解决问题的。不管最后谁获胜，高兴的人总是那些 XX 杀毒软件公司。俗话说得好，螳螂捕蝉黄雀在后。这恐怕就是杀毒界的潜规则！

作者: mamsds 时间: 2008-12-16 16:54
我觉得，卡巴斯基得主动防御根本就比位点的差了一个层次——一个是全智能化的，一个根本就是完整的HIPS，亏卡巴斯基还好意思用交互式和微点比，首先这个比赛就一点不公平，而完全不符合一般用户的实际计算机知识！！！！
我觉得微点绝对比卡巴斯基强！

作者: mumaniu 时间: 2008-12-16 19:23
对付新病毒未知病毒微点棋高一着技高一筹
这个楼主明显是向着卡巴斯基
因为微点优势明显所以有人到处宣传水平差不多唯恐微点独霸市场

作者: mumaniu 时间: 2008-12-16 19:29
楼主何必写这么多，你不累别人看的都嫌累
拿一些未知病毒在微点和卡巴斯基上测试一下不是就知道那个好了
避开事实谈虚无的东西就是心虚就是吹牛

作者: ballpointpen 时间: 2008-12-17 10:56
这应该是转帖，来自http://bbs.kafan.cn/。

作者: jirijin121 时间: 2008-12-22 09:12
微点和卡巴都装、都用！不过，卡巴是用来职业杀毒的，微点随机启动

作者: 燕赵之士 时间: 2008-12-22 19:56
卡巴也用过，但老说些专业用语，让人摸不到头脑

作者: 拳皇2001 时间: 2008-12-24 18:27

Quote:

Originally posted by mamsds at 2008-12-16 16:54:
我觉得，卡巴斯基得主动防御根本就比位点的差了一个层次——一个是全智能化的，一个根本就是完整的HIPS，亏卡巴斯基还好意思用交互式和微点比，首先这个比赛就一点不公平，而完全不符合一般用户的实际计算机知识！ ...

不可能有全智能化的反病毒软件，虽然理论上可以实现，但是以目前的人工智能水平，还做不到全智能化，如果将这些工作都交给软件去完成，那么就会出现大量的误报和漏报，采取一定的交互式还是比较合理的。

作者: lotei 时间: 2008-12-25 18:10
卡巴的主动防御整体被弱化！整体防御被强化，特别资源访问控制这块我个人觉得不错。卡巴主防=智能行HIPS+HIPS+资源访问控制+沙盒+。。。。总得来说！单纯从主动防御本身，微点出色于卡巴的，主动防御能力卡巴需要借鉴微点，微点也要从卡巴身上吸取经验！在防御上，微点和卡巴都走在前面！

作者: lj213015 时间: 2008-12-26 22:23
很明显这里是微点的论坛，大家帮微点说话可以理解
但有的人说道话明显有点过火
先了解一下什么是HIPS，了解一下卡巴的主动防御原理，自己用过卡巴再来这里说话
卡饭论坛每天都有大量未知病毒进行测试，从成绩来看卡巴确实略强于微点
当然，如果有人非要说里面有假，那我觉得也没讨论的必要了
只能说卡巴在智能性上不如微点，有时候是报行为，但新版的这种情况已经很少了，并非像有些人说的是完全的HIPS
我只是想说，要判断哪个好先去对两者都有充分的了解，都去用了再发表意见
如果什么都先入为主，主观臆断，什么都认为是微点最强的话
那么这个论坛几真的成了微点的枪坛了，对微点的发展也毫无益处

作者: wjd1969 时间: 2008-12-28 12:57
支持楼上的观点,任何事情都要实事求是,夸夸其谈地意淫有害无益的,
我们支持微点,因为它是国产杀软的骄傲,并且是个新技术,
微点的确不错,但是卡巴也有它强悍之处,各有所长,
完全没有必要为了宣传微点而去贬低卡巴,
这样只会让人笑话的.

作者: mumaniu 时间: 2008-12-28 17:43
卡巴交互模式天下无敌
这句话就说明卡巴斯基技术不成熟落后微点两三年
微点是自动识别处理未知病毒新病毒

作者: 拳皇2001 时间: 2008-12-29 15:14

Quote:

Originally posted by mumaniu at 2008-12-28 17:43:
卡巴交互模式天下无敌
这句话就说明卡巴斯基技术不成熟落后微点两三年
微点是自动识别处理未知病毒新病毒

如果可以熟练地使用交互模式，那么防御的效果是很完美的，前提是使用者要有丰富的相关知识，这也是交互模式目前最大的不足。
卡巴斯基并不存在技术落后的问题，只是软件的侧重点不同而已，而且用户的使用习惯不一样，完全的自动处理和一定的人机交互各有优劣。至于微点的自动处理未知病毒，你可以去微点的论坛看看，看看每天有多少误报。
微点应该只是把病毒特征码换成了行为特征，相当于特征码的启发式而已，这种自动处理的结果还很不完善，也会出现大量的误报。

作者: 8383745687 时间: 2008-12-30 15:38
LZ发的这贴本来就是参考的，特别是2楼的仁兄，就算你是微点的FANS，也不用这么贬低卡巴吧？说实话，卡巴从6开始用，很不错，微点和卡巴2个的技术标准不一样，侧重点也不一样，但都不妨碍它们是杰出的杀软，我建议这贴可以锁了，以防变口水贴

作者: 月_翔 时间: 2008-12-31 07:42
汗。。。你们支持微点是对地，但溺爱是不对滴。从整体来讲卡巴要强于微点很多。而且微点的驱动着实要好好改进改进。

作者: liyunjie199508 时间: 2009-1-1 14:45

Quote:

Originally posted by lj213015 at 2008-12-26 22:23:
很明显这里是微点的论坛，大家帮微点说话可以理解
但有的人说道话明显有点过火
先了解一下什么是HIPS，了解一下卡巴的主动防御原理，自己用过卡巴再来这里说话
卡饭论坛每天都有大量未知病毒进行测试，从成绩来 ...

支持,任何事情都要实事求是
我们支持微点,因为它是国产杀软的骄傲,并且是个新技术,
微点的确不错,但是卡巴也有它强悍之处,各有所长,
完全没有必要为了宣传微点而去贬低卡巴,
这样只会让人笑话的.

建议微点论坛，也经常作未知或已知病毒测试，可设立专版，也可和其它杀毒软件比较，有比较才有认识，才能提高。

作者: mumaniu 时间: 2009-1-1 16:21
如果可以熟练地使用交互模式，那么防御的效果是很完美的，前提是使用者要有丰富的相关知识，这也是交互模式目前最大的不足。
卡巴斯基是电脑专家才会使用的2流杀毒软件
普通人用自动识别查杀未知病毒新病毒的微点软件比较好，北京奥运会就是用技术领先的微点软件保护奥运会开闭幕式的方案不泄密的

作者: mumaniu 时间: 2009-1-1 16:27
卡巴交互模式天下无敌
这句话就说明卡巴斯基技术不成熟落后微点两三年
微点是自动识别处理未知病毒新病毒

作者: mumaniu 时间: 2009-1-1 16:33
只要微点善于克制未知病毒新病毒有一些误报也是可以宽容的，
未知病毒新病毒天天暴增，还有比微点更好的杀毒软件吗？

作者: fqbasedebug 时间: 2009-2-1 23:59
卡巴的交互式使用模式是适合高手使用的，至少设置好了就是无敌

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn