微点交流论坛

标题: 【MJ0011】主动防御和特征查杀没有本质的区别。 [打印本页]

作者: 点饭的百度空间 时间: 2009-8-7 16:11 标题: 【MJ0011】主动防御和特征查杀没有本质的区别。

我们不要再用杀软，要防！
http://hi.baidu.com/micropoint/b ... f4042a97ddd807.html

2009-08-07 14:46 | 360safeMJ0011:

主动防御和特征查杀没有本质的区别。

主动防御的行为拦截一样可以轻易被普通攻击者绕过，一样和特征码一样存在滞后性，理论上来说，不存在真正有效，不存在滞后性的，“未知入侵拦截、防御、检测”软件，也就是不存在真正的“前摄”防御。

只是相对来说，较之已经成熟的免杀体系绕过特征码防御体系来说，主动防御的绕过稍微困难和不为人知一些。

但随着主动防御的普及，这也将不再成为主动防御的优势。而主动防御在攻防上的劣势则在于，其防御体系被绕过后，修补起来更费人力（开发、测试、兼容性影响，版本更迭等），成本远高于传统的特征码更新。

作者: littlefritz 时间: 2009-8-7 18:39
胡说八道

作者: wujiang6518 时间: 2009-8-7 19:59
MS也有一定的道理，不过这对矛盾是永远存在的，就看谁能占上风了。

作者: wsmurderer 时间: 2009-8-7 21:52
是这样的

作者: 微点卫士 时间: 2009-8-7 23:47
真是道高一尺魔高一丈啊:(:(:(

作者: cp0577 时间: 2009-8-8 06:40
主动防御不行。那向哪方面发展呢？
难道是要搞启发式和虚拟机。
ms现在还没有比较完美的方案吧。
只是没种技术都有缺陷。比如启发对未知病毒的防御不理想。
虚拟机呢又费时间和又占资源。而且效果也不太好。
现在也只有主动防御防御效果比较好一些。
不过主动防御对有些人可不是好适应。
例如玩某个网络游戏，玩了一段时间。微点都没报。
忽然有一天微点报这个游戏为未知木马。
这样的事情对一些不懂得玩家会造成一些困然。
好像到目前为止高误报的缺点也还是存在的。

作者: f8312519 时间: 2009-8-8 18:17
更新规则就会导致误报
所以微点白名单是越来越多了
这就是主防目前的问题
怎么在减少误报的同时不降低防护!
微点还需要加油!

作者: hheai 时间: 2009-8-9 10:17
以防为主,才是王道...

作者: mamsds 时间: 2009-8-9 10:27
觉得mj越来越没意思了，有点哗众取宠的感觉，mj你觉得这也不好，那也不好，那你写个来看下啊，我看你写的有点实用的，也就是360文件粉碎了吧...........
少说话，多做事。

作者: jackybaby 时间: 2009-8-10 08:27
LZ其实从侧面肯定了微点，只是他心目中的防毒软件还没问世，目前只有微点符合LZ的要求，嘿嘿。

作者: 化外愚民 时间: 2009-8-10 10:54
没有任何杀毒软件能不被病毒绕过的，那不符合哲学逻辑啊。
mj有水平，就是太偏激了些，按他这个逻辑，世上本无杀毒软件。我甚至曾说特征码式的杀软是废物，甚至是毒物（因为占用了大量的资源），就是指的它的原理也太不成熟了，是很早那种病毒数量很少时的产物，思路上早落后了。

作者: tcjgdw@163.com 时间: 2009-8-10 16:06
加强纵深主防的研究。

作者: lelefree 时间: 2009-8-10 19:14 标题: 主动防御，启发一起来？

作者: mj0011_2 时间: 2009-8-10 19:26

Quote:

Originally posted by mamsds at 2009-8-9 10:27:
觉得mj越来越没意思了，有点哗众取宠的感觉，mj你觉得这也不好，那也不好，那你写个来看下啊，我看你写的有点实用的，也就是360文件粉碎了吧...........
少说话，多做事。

你懂个P

请文明用语

[ Last edited by Legend on 2009-8-11 at 17:05 ]

作者: 黄先生 时间: 2009-8-10 22:40
估计没那么容易绕。

例如你要盗取用户密码，肯定要触发某些规则，一旦触发肯定要被发现。

作者: 点饭的百度空间 时间: 2009-8-11 09:53 标题: 郑文斌《潜伏》人家还是很关心微点的发展的~

抵御未知新病毒的威胁主动防御技术比特征查杀更有效让用户更放心更省心！

写在微点主动防御软件发布后
http://hi.baidu.com/micropoint/b ... 728633acafd5d3.html

今天是一个值得纪念的日子，历经了三年沧桑的微点主动防御软件终于正式发布了。在这三年里，东方微点饱尝了人为的摧残、病毒的蹂躏，克服了层层难关，终于迎来了这一天、圆满上市的这一天。

何为反病毒业免疫时代

刚才看网友博客，发现这么一篇文章——《微点主动防御软件上市反电脑病毒产业进免疫时代》，这篇文章虽然语言简练，但最后一段却值得让人深入，引用如下那么又何为反病毒业免疫时代？

“微点公司总经理刘旭在发布会上表示，希望通过“微点主动防御软件”的问世，改变计算机反病毒领域的生存格局，构建计算机反病毒由被动杀毒到主动防御的新型体系，从而引领用户进入反病毒领域的免疫时代。”

众所周知，现在的病毒业人士与反病毒业人士的比例已经非常不协调，单一靠特征码的方式已经无法应付目前的病毒制造者所带来的压力，再加上网络攻击挂马、漏洞利用等等后天因素造成的大肆量传播。无可厚非，目前的安全软件的任务是严峻的，网民的网络生活也是危险的。如此压力之下，众多安软厂商在08年引用多种机制来应对目前的病毒发展趋势，启发、行为监控、广谱特征等等，疗效五花八门、各不相同，但目的最终只有一个，那就是尽最大的努力来维护用户的互联网合法权益不被侵害，虽然偶尔有些地方很难到位，但我想大多数安软厂商都会尽心尽力的，如果没有做好，受用户谴责也是应该的，毕竟安软是用户请进计算机系统的，一旦驻留系统就得尽到应尽的责任，如果某某杀软或某某主动防御软件在服务正常的情况下导致用户中毒，那么这款软件受谴责是理所当然的，其实谴责这款软件还不如直接谴责他们的反病毒工程师，因为是他们的反病毒工程师没有尽到自己的责任，没有把工作做到位。

如上：病毒层出不穷，意味着反病毒工程师任务艰巨，他们也是人、不是神，倘若面临如此的工作压力以及舆论谴责，也不难想象后果。“行为监控”是一个不错的选择，大量的减免了人为对样本的分析，使得样本分析更智能化、速度化，所以微点的那句广告词“您贴身的反病毒专家”不为过。既然“行为监控”可以对样本进行现场分析，那么这可以省去用户上报样本到安软公司与病毒分析工程师拿到样本开始分析之间的时间差，在这个时间差内或许病毒已经将自身需要做的事情做完了，逗留在用户系统内无非是等待下次作案或者无法自身销毁，一些智能型的病毒会在盗取到应该得到的数据后自身销毁的。以上是一个时间差，这个时间差根据安软的公司不同、病毒分析工程师分析病毒的技术熟练性不同而不同，有长有短，甚至无音讯。同样还有一个时间差，那就是反病毒工程师针对样本进行分析到病毒库或引擎升级，这个时间差虽然对于大规模的反病毒公司或许比较短，但是最少也得一小时左右，这一小时病毒也有%40的机率做完自己需要做的事情（主要为盗号木马发作的环境因素问题，如果中这种木马的用户没有该木马多针对的数据，那么这个木马对该用户而言可以看作几个计算机垃圾文件，没有任何意义）。如此可见，这两个时间差中每一个和用户的系统、财产安全都是息息相关的，减少这两个时间差的大小也就是加快了从用户上报样本到可以判断样本性质的过程，最终得到的结果都是删除与不删除，这点微点做的很好，至少处理病毒都是几秒之内搞定的，从分析到结果也仅仅几秒而已，就算遇到变态的病毒，所见过最长也只是休眠一个小时，等到真正的行为动作后一样被删除。这才是真正的“行为免疫”，同样也对应一个库，那就是APIs规则触发库，如果一个线程使用了病毒类型的APIs调用，那么这个线程就会被结束或挂起。辅助行为免疫的还有“特征免疫”，那就是当用户对被结束的进程映像进行删除后，会自动添加本地特征库，并在不重启微点服务情况下该特征库永远否定这个映像执行。我想这就是刘旭所说的“反病毒领域的免疫时代”的两个重要指标。

预祝微点上市后大放异彩

微点——微小的点，古人云“滴水石穿”，同理，无数个微小的点合成的是一条线，一条四通八达的反病毒路线！就如同它的API规则那样，也是由单一的API调构成的。最后预祝微点在以后凝聚更多这样的点，启明东方，照耀全世界！

BY:unknown author

Ｅ网行天下，
十指踏乾坤。
走我不平路，
拜会鬼魅人。

作者: chinachr 时间: 2009-8-11 20:34
简单一句话，在2005到以后的一段时间中（估计很长），主动防御是王道。

作者: mamsds 时间: 2009-8-12 07:42

Quote:

Originally posted by mj0011_2 at 2009-8-10 19:26:

你懂个P

请文明用语

[ Last edited by Legend on 2009-8-11 at 17:05 ]

我不懂P，我懂C.........

作者: disk 时间: 2009-8-24 18:08
主动防御是属于后盾没错，病毒实质接触到系统微点才拦截，我想是先进行类似启发式的扫描，挡不住，再进行系统HIPS防御吧。

作者: tjanie 时间: 2009-8-24 21:51
看的到微点的长处，好东西是需要精工细做的。

作者: chinadyj 时间: 2009-8-26 16:12
不可否认好像NOD32做的启发式还是不错的，

作者: f8312519 时间: 2009-8-30 22:30
不管怎么样.微点在目前来说还是很好的
就算往后很多年.除非到最后做出来的系统已经没有让病毒利用的漏洞.或者法律管到这一块.推出更完善的法律来保护计算机.做到重罚.我想到那时候所有的杀软都将不存在

作者: koo 时间: 2009-8-31 17:47
MJ就是一大咧咧，咧咧不知道MJ知道是啥意思不，天天胡说八道，不弄点实际的东西

作者: 42602363 时间: 2009-9-15 13:25
特征码杀毒明显落后于行为判断。

更新一个特征码，只能多防一个病毒或木马（可能包括该病毒或木马的部分变种）。
更新一个行为规则，至少可以防一种类型的病毒或木马。所有与该规则吻合的病毒或木马都可以被拦截。

作者: dvbphoenix 时间: 2009-9-19 05:47
对于主动防御这块。。。拼的是方法。。。太露骨了也就被主防发现了。。。

其实很多人一开始就把思路给定死了。。。谁说微点只能有主防？？扫描版的杀软不是要出来了么？？

当年被某渣星迫害而没有财力去做的事情，今天再做也不迟。。。

等杀软做好了。。到时做个整合。。。那就是质的提升了。。。

作者: laohuang001 时间: 2009-10-13 20:36
应主要是防，然后查杀

作者: safeage 时间: 2009-10-13 21:50

Quote:

Originally posted by lelefree at 2009-8-10 19:14:

你真是笑死我了啊，居然装四个安全软件？？
你电脑是未来电脑呀。。

作者: 雄视王者 时间: 2009-10-13 22:48
请个防毒专家。安全总能有点保障了吧！！！！？？？？？呵呵！

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn