标题:
微点的程序行为判断
[打印本页]
作者:
chinadyj
时间:
2009-8-29 09:46
标题:
微点的程序行为判断
不知用过微点,研究过微点的朋友有没有发觉,单单装微点的话,有些病毒还是不能够成功拦截。但是在加装个其他的杀毒软件,微点就变得“敏感"了。注意,是微点敏感了。好像我单装微点,运行某个病毒,微点没反应。但是加上个瑞星卡巴之类的,就算不是很棒的杀软,微点就强多了。是微点强多了,因为在杀软起作用之前微点就拦截了。我想这应该是归咎于微点的对程序行为判断的原理吧。
微点的帮助文件写到,微点主动防御的思路是:通过对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼成病毒识别规则知识库,模拟专家发现新病毒的机理,通过分布在操作系统的众多探针,动态监视所运行程序调用各种应用程序编程接口(API)的动作,将程序的一系列动作通过逻辑关系分析组成有意义的行为,再综合应用病毒识别规则知识,实现自动判定病毒。
可知,微点对病毒的判断主要是根据程序的行为,应该是对一系列程序行为加以判断。所以某些病毒要躲过微点,只要它的行为级别低过微点的起作用的级别,就可以了。
我想现在不少微点拦不到的病毒应该就是这类了吧。但是加上个杀毒软件的话,这就不同了。很多病毒针对杀软,都是首先要把杀软破坏掉,好像卡巴之类的已经被人破惯了。当病毒发现杀软的时候,破坏的行为一出现,微点就拦了。但没有杀软的时候,因为没有这一高危的行为,微点就让他过了。所以,装个杀软好像更多是引蛇出洞的作用,引人犯罪,要不微点就被骗了。
我不知我想的对不对,微点的主动防御的确有这种情况,对某些行为的危险性还是低估了。很多病毒却通过这种低风险的行为进入了系统,如果我说得有一点点对的话我就很高兴了。希望微点能够继续改进,毕竟这条路走了不少很长,还有很大潜力。不过对于有些人标榜自己用一个微点就够了,我觉得还是不要那么自大吧。
作者:
囚中城
时间:
2009-8-29 09:50
好像是其它软件扫描文件夹时,那些不动的病毒,微点也会有所提示
作者:
lsj301
时间:
2009-8-29 11:42
大概其它杀软存在时它扫描病毒时激活了病毒行为,所以微点拦截了,其它杀软不存在时,有些病毒暂时潜伏,不启动病毒行为,所以微点不拦截。
作者:
雄视王者
时间:
2009-8-29 11:55
别的杀毒软件触发了隐藏病毒,所以引起了微点的监控。
作者:
oksoft123
时间:
2009-8-29 13:56
疑似是不是用搜索选“*.*”且包括隐藏文件,把整个电脑的文件搜一遍,就相当于所有文件都触发了一遍,是不是相当于查毒?
我小白。
作者:
ai921
时间:
2009-8-29 15:55
楼上的好想法!
作者:
chinadyj
时间:
2009-8-30 09:29
楼上的应该还没理解,不是杀软触发病毒,微点才拦截. 而是, 病毒有对杀软不利的行为被微点发现了. 这些病毒有些杀软还扫描不出.如果是微点单奔的话,即使即使双击病毒微点也不拦!!!
作者:
chinadyj
时间:
2009-8-30 09:30
和杀软扫描没有关系. 我测试的两个病毒小红伞也扫不出.
作者:
chinadyj
时间:
2009-8-30 09:32
病毒先是通过CMD运行感染,但微点不拦. 后来我用HIPS就可以阻止了,病毒就不感染
作者:
chinadyj
时间:
2009-8-30 09:38
所以,我认为这是微点对程序行为判断的问题, 微点放过了CMD的运行,导致病毒感染.生成了13个木马
作者:
chinadyj
时间:
2009-8-30 09:40
但是,微点还是不报,我怀疑是我的系统有问题. 之前有人反映过不同的系统,微点的效果是不一样的.
作者:
f8312519
时间:
2009-8-30 22:10
恩.每个人的系统不同.病毒运行也就不同.所以感觉微点作用也就不同
其它都一样病毒运行微点就拦截.如果破坏小达不到微点的报警的话,微点就放了
所以微点还是得加强行为拦截.还有对感染病毒的处理办法!
微点要走的路还很长
反正一直支持微点.期待他的再一次进步!
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
