Board logo

标题: defensewall threatfire 微点深度品评 [打印本页]
作者: wsmurderer     时间: 2009-1-11 22:46    标题: defensewall threatfire 微点深度品评

转自:http://bbs.vc52.cn/viewthread.php?tid=19692
个人觉得写得很不错哦:D
defensewall threatfire 微点深度品评
defensewall属于智能型的HIPS,被称为沙盘类的HIPS,然而defensewall较之沙盘在技术上有极大的飞跃,首先defensewall没有沙盘类的临时存储器,而且defensewall可以通过内置的规则库对自动下载的木马病毒实行免疫,使他无法感染真实的系统,这是沙盘/虚拟机所无法比较的,作者设计初衷就是虚拟技术无法实现真正的安全,所以defensewall设计上就避开了沙盘传统技术,即1.沙盘对正在运行的恶意软件无法实现强制反制措施2.沙盘、虚拟机无法保证信息安全,defensewall成功解决了这两个技术难题,defensewall不仅仅像沙盘、虚拟机保证了操作系统及软件自身的安全,也保证了用户信息安全,也就是在线安全。defensewall较之threatfire 微点更领先的是信任与非信任列表,即使在用户不知情安装的间谍软件也无法运行,即使侥幸逃过,也会通过非信任列表显示出来,予以关闭,defensewall信任与非信任列表成功解决了令threatfire 微点头疼不已的问题,解决了无论是行为监控还是特征码查杀都需要频繁升级的滞后弱点,真正做到了一次安装,永久最新,在我看来,这才是真正的主动防御。(而且优秀的网页防御可与Dr.web相媲美。)
微点 这是另一款智能型的HIPS,他的核心还是属于HIPS范畴的,微点的成功在于它的定制性,当然这也是他的失败处,他第一次明确的将HIPS引入反病毒领域,而不像他的前辈们那样目标过于空泛,规则过于晦涩,微点取得了空前的成功,微点与传统的HIPS不同的是,第一,他的规则是定制性的不容更改,二与传统的拦截不同,微点默认操作是删除,这很适用于专业反病毒领域,微点通过默认系统正常程序和常用应用软件的办法运行,切实解决了日益猖獗的木马泛滥问题,但每个用户所处的网络环境不同,微点很难用一套规则去适应复杂多变的网络环境,为此,微点使用了白名单制度,事实证明,这个方法更是一个败笔,面对庞大的应用软件数目,仅仅靠白名单收集,将是一个艰苦繁琐的过程,而且微点的意义也不在此,而定制的规则又使微点没有可以回旋的余地,这是制约微点发展的最大瓶颈。
threatfire  同样真正开启主动防御的智能HIPS,比Norton Antibot更有效,规则更全面,他的可在定性满足了对安全层次要求不同用户,使人使用起来游刃有余,自定义规则更是给了高手展现身手的机会,是一款真正成熟的主动防御软件,客服了许多技术难题。
defensewall threatfire 微点走在了技术前沿的风口浪尖上,他们仍然面临很多困难,例如缺乏文件修复补救功能等,这使得他们在全面取代特征码查杀技术存在困难,这些软件的出现,造成一个误解就是要取代杀毒软件,我想现在还不是讨论这个话题的时候,他们实在是在昭示我们,安全应该是立体的,互联网安全问题的解决不是用一种单一模式去取代另一种单一模式,我们应该建立一种大安全观,来谋求互联网的安全,这篇帖子实在不是为人们找出一个终极答案,而是指明一种实事求是的探索方向。

[ Last edited by wsmurderer on 2009-1-11 at 22:54 ]
作者: tustin     时间: 2009-1-12 11:25
我用过TF,比较喜欢他的自定义规则,可是他的实现规则的方式(同时结束父进程和子进程)让人崩溃,所以也没有长时间用
作者: wsmurderer     时间: 2009-1-12 12:43
有这么奇怪?好像用过的人都觉得不错的啊,比微点更自由一些
作者: 御剑临风     时间: 2009-1-12 13:55
TF和DE用过一段时间 不怎么好用就换微点了。
作者: cp0577     时间: 2009-1-12 21:39
tf 和de 是什么软件啊?
作者: wsmurderer     时间: 2009-1-12 23:04
threatfire defensewall 跟微点差不多的智能hips类软件
作者: 淡淡的呼吸     时间: 2009-1-14 00:46
不错哈
作者: mingjiao5     时间: 2009-1-14 09:48
顶上
作者: 御剑临风     时间: 2009-1-14 09:54
微点不是HIPS软件麻烦6楼学习一下!在交流区有介绍
沙盘 HIPS 微点 杀毒软件 的区别分析。 去看看吧
作者: zhangkaihui22     时间: 2009-1-14 10:17
我们的微点,是最棒的
作者: wsmurderer     时间: 2009-1-14 14:17
微点虽然口头说不是hips,但其实就是hips(一大半是改良后的hips一小部分传统杀软,组合起来就叫主动防御,呵呵),就不要否认了

[ Last edited by wsmurderer on 2009-1-14 at 14:18 ]
作者: jackybaby     时间: 2009-1-15 11:16


  Quote:
Originally posted by wsmurderer at 2009-1-14 14:17:
微点虽然口头说不是hips,但其实就是hips(一大半是改良后的hips一小部分传统杀软,组合起来就叫主动防御,呵呵),就不要否认了

[ Last edited by wsmurderer on 2009-1-14 at 14:18 ]

微点主动防御软件和HIPS则有着本质的不同,微点不是根据简单的单一API动作进行报警,而是根据程序一系列API动作构成更有意义的行为,结合病毒行为知识库进行逻辑判断,综合分析这个程序是否是病毒。微点主动防御软件使用程序行为智能分析,实现对病毒的判断更准确,同时也基本杜绝了频繁报警给用户带来的困惑,因此更适合普通用户使用。例如微点主动防御软件不会因为程序只增加一个注册表run项(单一API动作)就报警。而HIPS因为只依据单一的API动作,因此只能报这个程序执行了某个可疑的API动作,询问用户是否允许程序执行这个动作,特别当一个正常程序被病毒捆绑时,用户可能会做出错误的判断。

微点主动防御软件不是HIPS,HIPS是依据简单的单一API动作进行报警;而微点主动防御软件是依据程序一系列API动作构成的有意义的行为,并结合病毒行为知识库进行的一套复杂的逻辑判断,准确判定程序是否是病毒,或者是正常程序。

从这点上看,TF和DW没法和微点比。
作者: Linwin     时间: 2009-1-24 15:11
以前用TF的时候,电脑很卡,后来就没有再用了,不知道现在怎样了
作者: 君の蘭     时间: 2009-2-8 13:18
第一次聽說tf
作者: 405016     时间: 2009-2-8 15:39
楼主在精睿的ID是啥
作者: 化外愚民     时间: 2009-2-9 10:56
微点并不只是带了某种规则的hips,因为hips是单步判断的,而微点是多步、综合逻辑判断的。

[ Last edited by 化外愚民 on 2009-2-9 at 10:57 ]



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn