标题: 主动防御的时间链差异 [打印本页]

---

作者: 八闽汀江子     时间: 2007-1-28 15:52    标题: 主动防御的时间链差异

主动防御，

过程：病毒动作（一个线程，多个线程，同时，不同时）>>>微点监控到其动作>>>微点对监控对象做分析（同时，不同时）>>>微点作出判断>>>微点做出拦截>>>等候用户处理或微点自动处理>>>最终处理

想法：这么一个连贯的过程形成一条动态的时间链，不同的机器或相同机器不同状态下，这条时间链就会有差异，得出的防杀结果也会有差异？
看过几个贴子，有的说防杀了，有的说没拦住，是否与此有关？

“设卡拦截”（我个人的感觉）的防杀机制，如果对方规规矩矩过卡，自然微点可以防杀，但是如果对方强行冲卡，或者蜂拥而至或者卡上人员迷糊了，有时是否就被过了（当然这种情况少见）？

如果能象影子软件一样对程序的行为实行“代理”，给程序装上两条不属于程序自己的腿，让程序着地它就着地，不让程序着地程序就着不了地，该多好！

---

作者: wqxh     时间: 2007-1-29 20:25
这样应该会耗费大量的CPU资源吧。

---

作者: 八闽汀江子     时间: 2007-1-29 22:36

Quote:

Originally posted by wqxh at 2007-1-29 20:25: 这样应该会耗费大量的CPU资源吧。

POWERSHADOW消耗6M内存。

---

作者: fzp070     时间: 2007-2-7 15:50
楼上的,你说的POWERSHADOW消耗6M内存。 只是POWERSHADOW运行时消耗的内存而已,而当有程序或病毒在其中运行时,你的电脑内存消耗肯定就不只是6M了

---

作者: nasdaq     时间: 2007-2-7 23:27
从微点的日志来看，微点监控的源头似乎是基于进程PID，所以我觉得多线程、不同时、时间不连续的病毒对微点来说应该是无效的。

有个朋友说的那个多程序分布式病毒行为，我倒是觉得挺有意思的。不过微点应该可以搞出反制方案。

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn