Board logo

标题: 猜想微点的“主动防御”原理 [打印本页]
作者: zbzc     时间: 2009-8-17 17:29    标题: 猜想微点的“主动防御”原理

很多人把微点看作是智能的hips,本人不赞同。本人觉得,微点兼有hips,虚拟机技术,病毒码识别技术。由以下三步来实现病毒识别:
1.利用成熟的hips规则,做初步的识别。由嫌疑的程序,进入下一步。
2.动态仿真技术。可能就是虚拟机+仿专家分析识别病毒的成熟方法和规则。
3.列外的,不易通过规则识别的,就用病毒码识别法解决。
大家知道,hips很难实现智能化,智能化的hips查出率都很低,微点就通过2来补救,但有些病毒程序,很难通过行为识别,或者是个列很少,没有必要制定不成熟的规则而影响软件运行,就用3来解决。
作者: HomeSGerMine     时间: 2009-8-17 17:50
LZ说的还是不对,微点不是hips的技术,是主动防御,和hips差很多的,全世界什么杀软敢不拦截驱动?就只有微点敢...hips敢吗?不敢。它会自己判断是不是病毒吗?不会。所以微点就是主动防御,没什么hips什么的,微点和其他现有的技术都不一样,这也为什么称之为主动防御,而不是智能hips了
作者: zbzc     时间: 2009-8-17 20:40
LS认为什么是主动防御呢?hips是什么意思?
作者: lsj301     时间: 2009-8-17 20:54


  Quote:
Originally posted by zbzc at 2009-8-17 20:40:
LS认为什么是主动防御呢?hips是什么意思?

主动防御=智能专家系统+hips
作者: 微点专家     时间: 2009-8-17 20:54
微点不是hips ,重复很多次说了
作者: zbzc     时间: 2009-8-18 11:08
请专家说说,微点是什么?
作者: 微点专家     时间: 2009-8-18 13:38


  Quote:
Originally posted by zbzc at 2009-8-18 11:08:
请专家说说,微点是什么?

微点主动防御软件是一套基于程序行为分析判断技术的全面系统安全防护软件。与传统杀毒软件相比,微点主动防御软件不仅保留了传统杀毒软件的特征码扫描技术,比如文件在被复制、传输、打开时,微点主动防御软件依据病毒特征码进行过滤,快速拦截已知病毒。但更重要的是微点主动防御软件通过程序行为分析判断技术,对病毒等有害程度行为自动监控、自动分析、判断、拦截,实现了对新病毒等有害程序的主动防御,有效解决了特征码扫描技术的滞后性。同时,微点主动防御软件嵌入防火墙、溢出攻击、漏洞扫描、系统分析等等安全功能,使得微点主动防御软件成为一套比较全面的系统安全防护软件。


微点主动防御软件和HIPS有着本质的不同

HIPS类软件针对各种潜在影响系统安全的API动作进行监控/报警,因此称之为API动作监控/拦截器较为准确。比如监控创建文件、安装全局钩子、创建远程线程、修改其它进程内存、创建/修改注册表项等API动作,不管运行的程序是病毒木马还是正常程序,只要程序执行了被监控的API动作,HIPS就会报警,这就造成了大量无效的报警信息,一般用户很难使用。

为了减少HIPS的报警信息,EQ等HIPS采用类似网络防火墙规则包的设置,每条规则仍然对应一个API动作,且规则间没有逻辑关系,仅对某些系统或程序的使用API的动作处理行为进行预先设置,当这些程序运行时,就按照已经预先设置的规则进行处理,减少了询问用户的频度。但在安装软件和驱动,甚至软件升级时,这种规则包有可能影响程序的正常工作,因此,这类HIPS可能会要求暂时关闭保护功能,待软件安装结束后再重新启用保护功能。我们必须注意到,用户安装新软件时常常会遇到病毒,很多恶意软件多采用捆绑的方法欺骗用户安装,因此即使是暂时关闭保护,也是很危险的。

微点主动防御软件和HIPS则有着本质的不同,微点不是根据简单的单一API动作进行报警,而是根据程序一系列API动作构成更有意义的行为,结合病毒行为知识库进行逻辑判断,综合分析这个程序是否是病毒。微点主动防御软件使用程序行为智能分析,实现对病毒的判断更准确,同时也基本杜绝了频繁报警给用户带来的困惑,因此更适合普通用户使用。例如微点主动防御软件不会因为程序只增加一个注册表run项(单一API动作)就报警。而HIPS因为只依据单一的API动作,因此只能报这个程序执行了某个可疑的API动作,询问用户是否允许程序执行这个动作,特别当一个正常程序被病毒捆绑时,用户可能会做出错误的判断。

微点主动防御软件不是HIPS,HIPS是依据简单的单一API动作进行报警;而微点主动防御软件是依据程序一系列API动作构成的有意义的行为,并结合病毒行为知识库进行的一套复杂的逻辑判断,准确判定程序是否是病毒,或者是正常程序。
作者: zbzc     时间: 2009-8-18 18:05
且不论hips的原意,我也知道微点和EQ等的不同,我是觉得,微点对病毒的检出,是分层次检出的。
    微点的核心技术是动态仿真技术,说白了,就是用程序来模仿专家分析判断病毒的技术。怎么模仿呢,首先要创造一个环境让病毒运行(动态),估计就类似虚拟机,另外就是识别,就需要规则。这个过程需要时间。在使用微点的过程中,我发现,只要微点图标中的小黄点转动变慢时,机器运行就受影响,出现报警时,甚至有停顿。这是否可说明,这个动态仿真过程是需要时间的。而通常情况下,机器运行是很流畅的,所以,我才觉得微点识别病毒是分层次的,我说的那三步,也可以叫1.简单识别,2.精确识别,3.辅助识别。而从方法上猜,我认为第一步就和EQ等差不多,我所以把“1“说成是:“利用成熟的hips规则,做初步的识别”。就是没有说微点和EQ等相同呀。
作者: 御剑临风.     时间: 2009-8-18 19:08
2楼表达的已经很清楚了,微点不是HIPS也不是所谓智能HIPS

比如谁敢不拦截驱动! 微点敢,HIPS只要一个创建文件都提示拦截了

还有很多号称有主动防御技术的软件

比如瑞星很多驱动拦截提示。 江民也有,卡巴也有

他们属于HIPS。就是把HIPS照搬回来有的应该加入白名单所有没提示

===================

微点即便这个程序不在白名单里(微点显示在其他)没识别,显然是

微点没有这个程序的白名单,但是微点依然没提示

但是如果程序有害,微点就会提示拦截

很显然使用的技术不同于HIPS。

HIPS没有病毒库 不区分程序好坏,统统提示拦截就是系统单一动作的监控器

微点是根据一系列动作才提示的

(应该可以说微点开发之初应该参考过HIPS)

而且可称道的是微点的误报很低! 查杀率可卡巴等齐名

足以证明微点的技术和能力

[ Last edited by 御剑临风. on 2009-8-18 at 19:10 ]
作者: 御剑临风.     时间: 2009-8-18 19:13
微点公司承担的国家863“基于程序行为自主分析判断的实时防护技术”

http://blog.sina.com.cn/s/blog_5db224580100c6v0.html

【国家863计划】百科 【火炬计划】

http://baike.baidu.com/view/167543.htm

【火炬计划】百科

http://baike.baidu.com/view/145637.htm

这里要说明的是国家出资搞建设

微点承担的是国家863“基于程序行为自主分析判断的实时防护技术”

国家要拨款的。

微点至少获得国家1000万的研究经费!【不知道是不是更多?】

如果这项技术不成熟,国家怎么敢认可刘旭这个院士呢?所以,

除了微点的主动防御技术,其它软件的主动防御大家最好别用,那是在花自己的钱,

当别人的小白鼠。
作者: 御剑临风.     时间: 2009-8-18 19:14
【请参考】:

【微点主动防御软件 先发制人 保护您的数字世界】(微点获得军B认证)全面评测

http://bbs.duote.com/viewthread.php?tid=244353

【05年微点VS熊猫烧香!】
http://bbs.military.china.com/da ... 2588/99/68/4_1.html

【05年11月份的微点可以防住09年的犇牛!】
http://military.club.china.com/d ... 2588/93/81/7_1.html

【用06年微点版本挑战 08年中华吸血鬼】
http://hi.baidu.com/mphope/blog/ ... cfa6ccd0c86ae1.html

【微点老版本照样查杀顶狐木马】
http://bbs.micropoint.com.cn/showthread.asp?tid=50035&fpage=1


微点实战十大病毒汇总
http://bbs.kafan.cn/viewthread.p ... E%B4%F3%B2%A1%B6%BE



别的杀毒软件可以不升级查杀新病毒吗?

微点还是 北京奥运会专用的

http://www.micropoint.com.cn/special/new/

微点获得军B认证【国内其他都是军C认证】(你可以了解一下评定标准)

http://tieba.baidu.com/f?kz=603045821

微点还是国家863计划组的【国家出钱搞建设微点】

微点不好国家会给钱吗(其他杀毒软件都是自己掏钱研究的)

http://bbs.micropoint.com.cn/showthread.asp?tid=56997&page=1

犀牛出现:微点不升级照样查杀

中央电视台 新闻联播(首推)微点主动防御软件

http://soft.deepin.org/read.php?tid=924047

http://www.tudou.com/programs/view/luePLVqQqpk/ 【奥运会视频】

【巧用微点的功能模块,让系统保证99%的安全指数】

http://www.killdu.cn/jiqiao/2510.html

【微点防御功能】

即便病毒过了微点,也可以通过微点强大的分析系统找出程序手动删除

http://article.pchome.net/content-934699.html
作者: zbzc     时间: 2009-8-18 20:05
本人没有说微点是hips,各位不必在这个问题上说那么多,我用微点的时间也够长了,不算之前的试用,预升级号也用到第五个了,关于微点的文章,我也看了很多,本人只是猜测微点识别病毒的原理,或说是试图了解微点识别病毒的过程。大家要说,就说说你们的理解,不要脱离了主题。
作者: 微点专家     时间: 2009-8-18 22:28


  Quote:
Originally posted by zbzc at 2009-8-18 20:05:
本人没有说微点是hips,各位不必在这个问题上说那么多,我用微点的时间也够长了,不算之前的试用,预升级号也用到第五个了,关于微点的文章,我也看了很多,本人只是猜测微点识别病毒的原理,或说是试图了解微点识 ...

:lol:先忽略  你楼上的,^_^。

对于微点的识别病毒的原理我可不知道,那是微点的机密,只有开发者知道吧。我要是也知道了我自己也能开发软件了,:-):D
作者: jackybaby     时间: 2009-8-18 23:09
LZ别琢磨了,头发想白了也没用,多少公司在揣摩微点的秘密,但世上依然只有一个微点。你了解的已经很多了。
作者: 100000     时间: 2009-8-19 00:02
第三点应该是在第一点的位置的

那些已知的 已经入库的

当然是一开始就扫掉

不需要进行下面的分析了
作者: lonber     时间: 2009-8-19 22:22
这贴子有意思。。。。我也来瞎想一下,哈哈。。

微点的行为侦测模块应该是收集程序运行“轨迹”,为了高效,可能在这个收集过程中重点放在高危行为或者说是病毒程序常见行为(这个常见行为是通过分析提炼过的总结,也可以称为规则的集合吧,为了高效,以此作用于侦测过程。哈哈)的点上,然后整理呈交第二步。

行为分析,之所以称为动态,这个行为分析实时运行,一个病毒的行为过程有很多步,微点在病毒运行的先几步下发现如已满足微点的规则时,微点就作出报警,判断为病毒。或者,微点让这些病毒大势疯狂一翻,记录行为,分析出并报为病毒的时候,跟据行为记录,清除程序(杀毒)。

白名单问题:这一点应该是可以肯定一下,要不然,机器会给微点给搞疯的,哈哈。微点在装入电脑后的工作,不是把电脑里存在的所有文件都来个白名单对比的,这点我猜想应该是在首次让某文件激活/运行/活动时,微点再来识别,所以平时微点对系统几乎没有影响。因为微点的聪明,哈哈,,,在认识的程序运行时,微点在一边喝咖啡呢。但如果有陌生程序出现时,微点就会灭掉手中的烟头,迅速出手了,尤其是那些在危险地带(侦测点)出现的家伙。盘查一遍(住址,姓名,身份证儿,考查正在做的事情.......)哈哈。还好电脑里的数据不会像人心那么恐怖,,在电脑里撒谎,不是那么容易的。总有线索可寻。。。(做过的事,在微点的行为侦测下,总是会留下痕迹的)

HIPS只是把这些行为过程进行细化通知过程吧,而微点不会进行通知,,因为微点做的是防毒(报毒)而不只是一款行为检查工具,就像你告诉别人你在“吃饭or工作”而不是“我右手拿着筷子,左手端着碗,嘴在咀嚼......”等等这些动作,同样的是吃,微点得判断出是吃毒药,还是在吃饭(其实这一点才是微点的难点)。呵呵。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn