Board logo

标题: 我不看好微点扫描 [打印本页]
作者: 反黑先锋     时间: 2007-2-28 20:17    标题: 我不看好微点扫描

作者nasdaq

前言:我在准备《微点不是病毒终结者》的时候,又琢磨了一下扫描引擎,结论是我个人不太看好微点要推出的扫描引擎。把想法整理出来和大家一起讨论,欢迎朋友们批评指教,共同提高。

一、什么是脱壳
脱壳对于杀毒软件的重要性,是毋庸置疑的。究竟什么是脱壳呢?这要从加壳谈起。本人才疏学浅,我觉得加壳的目的一般来说主要有两类,一是压缩应用程序体积,譬如说很有名的upx压缩壳;还有一个就是为了加密保护应用程序,防止程序的资源被盗用或是被破解,这类壳关注的热点是尽可能避免被脱壳还原出原始程序。无论什么目的,加壳的结果是加壳后的程序将变得和加壳前不一样。

正因为加壳可以使程序文件发生变化,那么把加壳应用到病毒程序上,就可以干扰特征码扫描引擎的判断。因为一般来说加过壳的程序,原始的程序文件就被改变了,所以原有的特征识别方案自然就无效了。当然特征扫描引擎可以用带壳提特征的方法来实现查杀被加壳的已知病毒,但是带壳提特征这种方法实属亡羊补牢,典型的治标不治本。带壳提特征的扫描引擎,一个原始样本加多少壳就衍生出多少个所谓的新变种,这样玩儿下去的话,杀毒游戏还有尽头么?莫忘了理论上壳的数量和种类是无限的,写出一个很棒的壳是很麻烦的事情,但是瞎糊弄出一个只为了改变程序本体,从而暂时逃避带壳提特征扫描引擎追杀的壳,绝对不会是太麻烦的事情。

正是因为带壳提特征十分被动,于是乎,杀毒软件们普遍都很重视脱壳工作,而脱壳的能力也是我们衡量一款杀毒软件杀毒能力的重要标准之一。


二、常见的脱壳方法
有矛就会有盾,常见的脱壳方法主要有两种:算法脱壳和虚拟机脱壳。

算法脱壳,简单说就是加壳算法的逆运算。
优点:效率高,脱壳速度快。
缺点:1.滞后性,只有在详细分析加壳算法后,才有可能写出脱壳算法;加壳算法稍有更新,脱壳算法就必须要进行相应更新。
      2.很多加壳算法的防范反汇编工作做得非常好,数学加密算法也非常棒,我不敢说绝对写不出脱壳算法,但绝对是极大的增加了写出完善脱壳算法的难度。出于效率原因,如果研究一个脱壳算法需要耗费非常长的时间,那么这个加壳算法就可以认为是不可脱壳的,时间是宝贵的,哪家公司也托不起。

虚拟机脱壳,简单说就是创建一个虚拟环境,将程序或是部分程序虚拟运行,由程序自行运行完成从而实现自动脱壳。虚拟机脱壳,实际上是建立在一种心理假设的基础上,虚拟机假设所有加过壳的程序其最终目的都是要正常运行,而加过壳的程序正常运行的前提条件是必须要自行脱壳还原成程序本体。我认为这个假设是成立的,所有给木马加壳的人的目的,都是为了躲避杀毒软件查杀且木马能正常运行发挥作用,除了某些技术bug造成的原因使得木马无法运行,没有人会刻意搞出一批死木马来给大家搞笑用。
优点:虚拟机理论上是可以实现广谱脱壳的,即脱掉所有的壳!
缺点:虚拟机的虚拟运行特性,使得虚拟机脱壳的资源占用较高,脱壳速度较慢。好消息是Intel和微软准备在硬件层面支持虚拟技术,这样就会使得虚拟机获得几乎和真实机一样的程序运行效率。具体支持VT的型号我没太注意,有兴趣的朋友自己去查相关资料吧。

PS:虚拟机并不是什么全新的技术,在DOS时代的加密变形病毒就已经用到了简单的虚拟机。有兴趣的朋友请看下面这篇文章。呵呵,去年在微点论坛,calm_cs大哥强烈推荐的,稍微长了点儿,但是小弟看完后真的受益匪浅。
http://www.jijiao.com.cn/avtech/antiVtech/00000021.htm

光说不练那是假把式,下面来看一下杀软们的真实表演吧。我在绅博看到的下面这个转载太平洋的帖子,真的给我非常大的震撼。我真的没想到,所谓的国内国外著名公司的杀毒软件们,著名的虚拟机们,网络上被风传可以脱上千种壳的超强脱壳引擎们,在扫描同一个样本加不同的12种壳时,无一例外,全都自觉地漏出了带壳提特征的马脚。同一个样本加不同壳,为什么会扫描出不同的病毒名称?这壳究竟是脱了还是没脱?我猜杀软们永远都不会正面答复这个问题,因为答案是带壳提特征http://softbbs.pconline.com.cn/topic.jsp?tid=6087616

希望大家用事实来交流,咱们中国人太容易被网络流言欺骗了。我在去年也非常推崇那个可以脱上千种壳的超强脱壳引擎的引擎架构,我曾经很为它处理复合文件格式的超强能力所倾倒。真的是希望越大,梦醒了失望也越大。


三、我眼中的微点扫描
太平洋那个帖子给我的震撼真的是很大,帖子是去年10月的,我大概是在今年年初在绅博才看到的转贴。如果是少数杀软厂商带壳提特征,多数都可以很好地脱壳,那我会非常坦然地接受,因为不同厂家技术上存在有差异是很正常的。但是,非常遗憾,居然没有一个厂家可以做到完善的脱壳,甚至包括那些网络上风传的国内国外著名的虚拟机技术。太平洋一个无意中的帖子,内涵很丰富呢!可能是因为低调吧,至少我觉得Symantec和McAfee的扫描引擎比我想象的要好,而俄罗斯两兄弟的引擎,只能说让人有些失望。怪谁呢?只能怪网络中吹得太猛了,到处都在说俄罗斯两兄弟的超强脱壳技术,超强引擎…………

我觉得做主动防御和做扫描是不一样的,主动防御目前主要就是一个微点,先入为主,无论微点做得怎么样,它都是这个行业的第一,而后的再来者也只好模拟微点目前的形态;但扫描就不一样了,扫描基本上每家杀软都有,参照物太多了。既然那么多大公司都不行,那微点这么一个小公司又凭什么能做出突破呢?

所以,我个人并不看好微点要推出的扫描引擎。本来微点的程序实时行为判断在对付加壳的问题上是非常具有优势的,因为行为分析对加壳加花等干扰特征码判断的免杀方法都是天然免疫的。我越发不理解微点为什么非要去碰扫描引擎这个大钉子?只是为了迎合用户使用习惯方面的需求?

PS:补一句,目前微点实时监控对已知病毒的扫描似乎没有加入脱壳技术,我想是因为微点目前的形态根本不需要脱壳机制,微点的行为分析对加壳是天然免疫的!就像前面说的,所有加壳后的病毒在真实环境中运行的第一件事就要自动把自己的马甲脱掉,然后执行程序本体,微点会在这个时刻跳出来干掉它。把话都说明白了,免得有人会用微点已知监控也在用带壳提特征来混淆概念。当然还会有一些特殊情况,譬如说加壳出问题做出的死木马,在任务管理器中的形态是进程闪了一下就退出。这个退出和常见木马的自动退出是不一样的,但是外在表现又差不多,对于这种情况,微点是不会报警的。这时候,建议大家把样本直接发给官方测试,毕竟不是每个人都会分析程序退出原因的,微点也不是万能的,谨慎一点比较好。

也许“明知山有虎,偏向虎山行”是刘旭一贯的风格吧。微点已经树立起难能可贵的高技术形象,希望不要被扫描引擎拖了后腿,影响了主体形象。希望微点能够走好。有兴趣的朋友等微点出了扫描,自己去做测试吧。我怕失望,这次就不自己试验了。

我个人的意见是由于众所周知的原因,微点的资源本来就不富裕,更应该优先调配资源搞网络版,由于微点的架构很独特,所以微点网络版的可管理性可扩展性必然都会非常出色,网络版的优势将非常明显!扬长避短才是上策!

篇后:目前尚缺乏理由看好启发式
启发式非常需要完善的脱壳技术作启发式分析的前期准备,因为只有将加过壳的程序还原为程序本体之后,对静态程序代码进行动态分析的启发式才能真正发挥出它的应用意义,发挥出它分析未知病毒的能力。对于那些脱壳不完善,见到壳就报警的启发式,我们该怎么称呼它们?是不是把它们称为假启发才更合适一些呢?请这些同志就不要给启发式丢人啦!好好的一个技术方向被你们做成了今天这样。就凭脱壳不够完善这一点,我在很长一段时间都没有办法看好启发式,除非先解决好脱壳问题。当然,打着启发式的幌子混饭吃还是不错的,人类社会就是这个样子,无论东西做得多不好,总能卖出去,也总会有人买。

网友Vader做了这样一个关于加壳的复杂测试:测试使用一个绝对正常的文件,用各大著名杀毒软件的在线杀毒测试,当然一切正常没有发现病毒。然后加壳用杀毒软件们扫描,结果真挺逗的,有兴趣的朋友自己看人家的原始试验资料吧。
http://publish.it168.com/2006/1213/20061213016905.shtml

PS:呵呵,最近发现IT168挺有意思的,不怕压力,敢说实话!等我先把手头的专栏做好,以后有机会找IT168骗稿费撒。

[ 本帖最后由 nasdaq 于 2007-2-28 18:52 编辑 ]


;) 作为微点测试用户来说 我完全支持微点自主研发的扫描引擎 很好奇! 但说实话我不太看好微点的扫描  微点自主研发的扫描引擎我想可能有2种答案:

一种就是随大流 传统的“带壳提特征”(见壳就报 管你是什么正常程序 扫到壳就是病毒)

第二种可能性比较小 扫描引擎像微点的主动防御技术一样 与众不同 实力超群

其实想一想 扫毒软体们的看家法宝就只有扫描~  要是天天扫下下就能很好的解决安全问题 现在也不会有这么多中毒中木马的用户了  目前受制于某些原因 至今还未上市的微点自主研发的扫描引擎真能超越他们?  我感觉微点更多的是为了考虑广大用户的习惯需求 扫描在当前是必须的 对主动防御也算是一个有益的补充吧。

[ Last edited by 反黑先锋 on 2007-2-28 at 20:55 ]
作者: pcjuju     时间: 2007-2-28 20:21
  大致浏览了一下,感觉到是一篇好文章,赶紧收藏,回去慢慢领会。
作者: 八闽汀江子     时间: 2007-2-28 20:53
没有做不到,只有想不到!

只是时间和精力问题。

我猜想微点的扫描引擎也是不依赖特征码,但是带有特征码的几何技术。

[ Last edited by 八闽汀江子 on 2007-2-28 at 20:58 ]
作者: 钢笔男孩     时间: 2007-2-28 21:16
我也觉得没必要,但见解跟你不一样
作者: 八闽汀江子     时间: 2007-2-28 23:35
这个扫描引擎肯定有存在的价值的!:lol:
作者: Paxson     时间: 2007-2-28 23:59
感觉会有一定突破 不过能不能达到预期 要看实际情况了
作者: 正魔刃     时间: 2007-3-1 14:15
要搞就要搞有突破的东西。
作者: spatyt     时间: 2007-3-1 22:36
说句不太中听的话,我个人认为微点出扫描引擎非常有必要,其存在的价值相当大。楼主在前面说了“......其实想一想 扫毒软体们的看家法宝就只有扫描~  要是天天扫下下就能很好的解决安全问题 现在也不会有这么多中毒中木马的用户了  目前受制于某些原因 至今还未上市的微点自主研发的扫描引擎真能超越他们?  我感觉微点更多的是为了考虑广大用户的习惯需求 扫描在当前是必须的 对主动防御也算是一个有益的补充吧。”,对于这段话,我还真有不同看法。一、如果现在的用户真有这么好的习惯能做到经常性地扫描PC,我想虽然安全问题仍相当严峻,但我想各位网管会轻松许多,在现实中,绝大多数用户是普通用户,连最基本的常识都不具备,我们还能寄希望于用户来分析哪一个进程有害,哪一个进程无害吗?更不要指望用户为系统打丁,因为对他们来说,根本就没有这样的概念,对你所说的更是不知所云。不要以为这是搞笑,更不要以为这是天方夜谭,这样活生生的例子不胜枚举。如果用户真能有象楼主所说的有那样好的习惯,按技术人员所要求的那样进行系统的安全防御,养成良好的安全使用习惯,虽仍不敢说天下太平,但世界会清静许多。二、楼主后面的话我基本赞同,无论多好的一个软件,他必须具有易用性强,使用方便,更重要的一点那便是必须要尽可能迎合绝大多数用户的使用习惯,我想世界上最难改的恐怕就是习惯了。Windows的巨大成功便是最经典的案例,举例来说,现在要让广大的普通用户弃用Windows改用Linux的话,大家认为这现实吗,要知道,毕竟绝大多数用户是普通用户,而不是计算机工程师,更不是专家,我们能指望对一个学其他专业的用户灌输计算机专业知识吗?(当然,特殊个例就不要进行讨论了)。三、基于上述理由,作为一个面向所有用户,而不仅仅是面向计算机专业人士的杀软,要全面推向市场,让绝大多数用户所认可和接受,我想不兼顾传统杀软的优点和使用习惯的话,是相当艰难的,让一个非计算机专业用户去分析系统进程和应用软件的行为是否有害,对绝大多数用户来说,其艰难程度恐怕是难以想象的。可能对我们来说很简单的一个问题,但对绝大多数普通用户来说,却是非常困难的,因为他们根本就不具备基本的基础知识,如何让他们进行判断。更不要跟他们说如何为系统打补丁及为什么要打补丁,如何设置安全策略以及为什么要设置安全策略云云,因此,我想如果有一天所有用户都具备了较高的应用常识并养成了良好的使用习惯的话,世界将会清静和太平许多,我们前方的道路是任重而道远啊......
作者: 千里缘     时间: 2007-3-1 23:07
对于一个新手并且是一个不重视电脑安全的人来说,扫描的确意义不大.而且,如今数百G的大硬盘完全扫一次要多长时间呢?有几个人会有那么大的耐心等你杀软一个文件一个文件的慢慢扫呢?微点走的是主动防御的路子,与别的不同,我个人认为还是坚持下去,不要弄一个"鸡肋"出来了.我遇到的人里面,40G的硬盘很少完全扫过的.
作者: hong54321     时间: 2007-3-1 23:13
我也不支持扫描.微点把自己的主动防御搞好搞精,就可以执牛耳啦,不需要去和其他软件凑热闹
作者: pcjuju     时间: 2007-3-2 10:50


  Quote:
Originally posted by hong54321 at 2007-3-1 23:13:
我也不支持扫描.微点把自己的主动防御搞好搞精,就可以执牛耳啦,不需要去和其他软件凑热闹

  我也有这种想法,可是我的那些朋友啊,却不是这样认为,我们为这个已经争了好几天,还没统一意见。

[ Last edited by pcjuju on 2007-3-2 at 10:51 ]
作者: zmxc     时间: 2007-3-2 22:25    标题: 是金子总是要发光的!!!

我认为微点集中精力做好主动防御是根本!!!精力和资源总是有限的!紧紧把握好技术的真理方向,市场就会主动起来!技术领域得靠技术吃饭!
作者: pxhezheng     时间: 2007-3-3 23:10
全看完了。。。楼主说的很好~~感觉就像偶像~~顶起~
作者: starfish     时间: 2007-3-4 13:53
实在是精品,学习了。对于微点也有一个更为真切的认识。
作者: lig92003     时间: 2007-3-4 17:59
说得没错,现在的扫描引擎几乎要人命,很多杀毒软件都在引擎这里下了很大功夫,可是也没见得有多少好转,建议应该由用户自定扫描方式,就最好.
作者: weicj_cn     时间: 2007-3-4 21:04
我也认为有个自定义扫描比较好,这样可以随用户自愿,因为网上下的东东,不小心就会有病毒,先扫描一下比较好。
作者: st_cn     时间: 2007-3-4 21:09    标题: 不支持微点增加采用特征扫描杀毒

不支持微点增加采用特征扫描杀毒,目前所有的杀毒软件都是基于这样一个原理吧,可是效果差强人意啊!币不要去凑热闹,听说还要买NOD的病毒特征库,犯得着吗?
我们可以选择安装微点和NOD!

专心的做现在的的行为杀毒,挺好!币也请走好!
支持刘旭!
作者: ffjjyy     时间: 2007-3-5 22:24
支持楼主的见解
作者: pcjuju     时间: 2007-3-5 23:26    标题: 晕死了!

  中国的计算机初级用户真是太多了。
  刚才还有人问我,微点怎么查杀本地磁盘啊?
  晕死了!
作者: 100000     时间: 2007-3-6 08:35
如果有突破性的技术,推出扫描功能当然更好!
作者: 天涯海客     时间: 2007-3-6 09:56
这个扫描引擎肯定有存在的价值的
作者: bodhize     时间: 2007-3-6 11:28    标题: 说的好!

个人认为还是有扫描的好,毕竟符合大众的使用习惯,但我敢肯定真的很少有人会彻底的扫描完所有硬盘分区,其实在做好了防护后,扫描功能真的可有可无,试想如果能使进入超级市场的人中没有小偷,那超市还用得着装什么监控设备来扫描每个人吗?但是技术和市场有时候会和我们开玩笑,盖茨还曾经认为微机的内存不会超过640KB呢,有了扫描引擎,用户可以不用,但没有时想用的话,是不是还得找其他的?想想微软为什么在windows中捆绑IE和很多类似的例子吧
作者: hanly     时间: 2007-3-6 15:32
大致浏览了一下,感觉到是一篇好文章,赶紧收藏,回去慢慢领会。
作者: ck^er     时间: 2007-3-6 19:29
如果加入了扫描,个人认为微点就毫无新意了
作者: 471795251     时间: 2007-3-6 21:09
大家不要太过于认真了对微点,我自己曾经亲自测试过,有的时候微点的还不如卡巴,但有的时候……我专门挑选了几个病毒,微点竟然一个都弄不出来,而卡巴却相反。但有的时候卡巴一个也查不出来,微点却完全胜利……
作者: 100000     时间: 2007-3-7 08:50


  Quote:
Originally posted by 471795251 at 2007-3-6 21:09:
大家不要太过于认真了对微点,我自己曾经亲自测试过,有的时候微点的还不如卡巴,但有的时候……我专门挑选了几个病毒,微点竟然一个都弄不出来,而卡巴却相反。但有的时候卡巴一个也查不出来,微点却完全胜利……

微点虽然不能查杀所有的病毒,但是两者作用机制不同,卡巴的特性是只要特征码对上号,不管有毒无毒活的死的都报毒,微点的特征当然基本上是只报活动着的,而这些活动着的,也因为网络状况的不同,可能不会马上报毒......

用来测试微点主动防御的病毒需要
1.可以运行的
2.运行后能在本机做出危害的

很多人都有认真仔细地测试比较过微点的杀毒能力的
您那些微点“弄不出来的”样品可否拿出来共享下?

[ Last edited by 100000 on 2007-3-7 at 08:52 ]
作者: y111u     时间: 2007-3-7 16:42
不支持微点的扫描功能,做好现在的就好
作者: 黑之翼     时间: 2007-3-7 21:22
我个人认为,扫描功能这一项要做就做好的,不燃不要做,免的成话柄!但是就现在微点来看,真的不抱太大希望,如果真的加上去了,这个对微点就象是块鸡肋~```
作者: 反黑先锋     时间: 2007-3-8 01:37
最近朋友老问我微点几时增加扫描功能 看的出他们对扫描还是很热心的   刚在其他论坛看一投票 赞同扫描的一方人数惊人~   大众有需求 扫描很需要 呵呵对他们来说目前扫描还是必需的功能  印度有个暴风陀螺 他也有扫描功能 祝愿微点成功上市 发展的更完善  造福大家
附件 1: sshot-51.png (2007-3-8 01:37, 12.09 K,下载次数: 30)


作者: flo     时间: 2007-3-9 20:26
先说说那个加壳测试吧,以前那篇文章我也看过。
其实那篇文章还是有些问题或者说认识误区的。
首先一点就是,不能指望杀软把一个加了壳的文件还原到加壳之前的状态,作为杀软最多只能部分地还原。再有,虚拟机脱壳是做不到广谱脱壳的,否则就不会有那么多加壳狂人了。现在的保护壳已经相当成熟了,在考虑性能的情况下可以适当地对原始代码进行变型,有时也会边运行边解码(在内存中永远不会出现完整的源码),甚至有的壳自己也会虚拟个CPU来执行指令。何况,再先进的虚拟机也不可能虚拟出一个Windows,总是有破绽的。
再一点,对于“带壳提特征”。个人观点,如果合适的使用的话还是能达到好的效果的。比方说某个壳名曰“XXX木马帝国专用壳”,作为杀软应当完全有理由相信这个壳加的文件是有问题的...
另外,多重加壳的测试其实是没什么说服力的。众所周知,对于多重加壳是危险的。比方说一个壳在运行的时候会校验文件,然后你在那个文件上又加了个壳,于是运行到里面那个壳的时候就会发现文件被修改,于是拒绝运行。而且多重加壳也会导致一些保护壳的强度降低,正常程序几乎不这么做。在许多启发式引擎中多重加壳(尤其是3层以上)是判断文件是否可疑的重要规则之一。顺便说说那个SVKP,此壳以代码变型著称,但是反调试的强度很低,那么对于加了这个壳的目的可以判断为就是用来躲避特征码的,虽然一个好的杀软不应该直接报这个壳,但是这种做法可以理解。
说说启发式,虽然我也被大量不成熟的启发式引擎所“震撼”,但是那只是不成熟的一些,比如NOD32的启发式还是比较优秀的。另外,在Win32下其实许多启发式引擎不会去静态分析代码。对于加壳的程序,知道怎样解密引入表已经可以做出一定判断。通过它调用API的情况(最好还能辅以相关字符串),一般就能判断出来了。比方说,一个调用CreateRemoteThread并且没有CreateWindow的程序基本可以判断为注入型木马。当然,实际做起来会更复杂,要考虑更多的情况。不过,因为现在电脑性能一般都能承受得起行为分析了,所以启发式的不足变得明显。
还想强调一点的是,各种防御病毒的手段都是带有经验色彩的。用来检验它们的误报率或者合理度只有在实战范围中才能检验,造一些符合杀软经验规律但是不是病毒的东西非常容易。就拿微点来说,如果某个软件一运行就复制到Windows目录,然后注册为启动项,但是随后就什么也不做了。虽然微点肯定会报,因为木马都这么干,但是这个却不是木马。想起了以前托佛冲刺班的事情,那种解题规律是荒诞滑稽到一种程度(比如在阅读题里看到特定单词于是答案一定在这两个中间等)。但是问题是就是有暴多题目可以这么做出来,难道就因为它是荒诞滑稽的于是你就不用吗?

PS:似乎偏题了,完善特征库还是有必要的,毕竟很多人是中毒了才想起来要买杀软的,如果某杀软顺利帮助他解决了问题,很可能一个忠实用户就诞生了。

[ Last edited by flo on 2007-3-10 at 11:00 ]
作者: 黑色乱码     时间: 2007-3-9 21:14
又有哪个杀软是完美的呢???
作者: 反黑先锋     时间: 2007-3-10 00:11
“想起了以前托佛冲刺班的事情,那种解题规律是荒诞滑稽到一种程度(比如在阅读题里看到特定单词于是答案一定在这两个中间等)。但是问题是就是有暴多题目可以这么做出来,难道就因为它是荒诞滑稽的于是你就不用吗?

PS:似乎偏题了,完善特征库还是有必要的,毕竟很多人是中毒了才想起来要买杀软的,如果某杀软顺利帮助他解决了问题,很可能一个忠实用户就诞生了。”

T0Y*这是经验啊 嘿嘿 把事情做好和没做好完全是两样 解决好问题就是实在 上帝们只信这个!
作者: 408983504     时间: 2007-3-10 23:56
好文章,收藏拉~!!
作者: lllfeng21     时间: 2007-3-11 23:19
本人不是不同意 微点出扫描    但是时机是否成熟? 是不是要把主动防御做到完美 再去研发扫描   把技术力量用到1点  也可以更快的做好   又作防御又作扫描  技术们也很有压力
作者: idea     时间: 2007-3-13 09:44
看来大家对微点扫描期待很高啊,我也是,
要么别出,要出就出一流的
作者: 王川     时间: 2007-3-15 13:36
严重支持LZ, 不赞成微点搞扫描,那不是微点的初衷.
既然要搞主动防御就要坚持把他搞好搞精,
作者: wowocock     时间: 2007-3-15 13:53
主动防御是个好想法,可如何能把他做好却很困难.
作者: zhangaaa     时间: 2007-3-18 09:59
加扫描好.;);););););)
作者: 拉达曼提斯     时间: 2007-3-23 04:41
当然如果微点可以开发出非常棒的独特的杀毒引擎,我们肯定鼓掌热烈欢迎的!当然啦,难度那是相当的大!
如果只是开发现在已经有的引擎类,我看还是算了吧,我想大家用微点看好的应该就是微点的主动防御技术,把这一块做精就很可贵了!别最后弄个四不像,那就彻底沉沦了~
作者: 青豆     时间: 2007-3-24 16:13
大家想过没有,为什么微点要做扫描引擎呢?

因为普通人(指电脑技术处于初级水平的人)需要,他们需要一款带有扫描引擎的杀毒软件来消除他们对病毒的担心和忧虑,他们以前并没有用过和微点类似的杀毒软件,他们无法估计和想象“行为分析”技术能给他们带来多大的安全感。他们需要一个和传统杀软相同的扫描功能来减轻这种担心。

即使扫描后什么东西也没有发现,他们也会很高兴,因为在他们看来,扫描=杀毒。
对他们来说,扫描成了一种心理安慰、一种习惯,会给他们带来安全感。我记得有人跟我说“听到卡巴的杀猪声,我很兴奋。”

我并不在乎微点的扫描引擎技术有多先进,我认为微点推出“扫描引擎”,给了普通人一个交待,他们会认为微点不是一个“跛腿”的杀软,是一个技术全面的杀软。

而微点的目标群这是这些“普通者”,他们会给微点带来最大的利益。
这些人是不会听你解释“我为什么不需要开发扫描引擎”,他们的耐心有限。
微点要做的是:推出一个性能不太差的扫描引擎,然后依靠强大的自我保护能力和行为分析能力来保护用户的电脑。

用户在微点的保护下,会逐渐认识到“主动防御”“行为分析”的好处,等到那时,扫描引擎自然成了一种摆设,不会在 有更多的人相信扫描引擎能给他们100%的安全了。

(再提一个问题,我们作为使用过和正在使用微点的人,又有多少完全相信微点能给自己带来100%的安全呢,有多少在自己的电脑上仅仅装了微点这一款“杀毒软件或防毒软件”呢,很多人都使用微点加其它杀软的组合,比如卡巴,比如诺顿,比如nod32,等等。。。)

当微点的扫描引擎出现后,会有更多的人抛弃两套杀软同时使用的做法,因为扫描只是一种心理安慰!
作者: CHENBIN     时间: 2007-3-24 21:57
好文章,是原创吗??
作者: 西就     时间: 2007-3-25 05:48
同意nasdaq的观点..扫描引擎的开发..至少现在不是太必需
作者: 西就     时间: 2007-3-25 05:49


  Quote:
Originally posted by CHENBIN at 2007-3-24 21:57:
好文章,是原创吗??

当然原创...大名鼎鼎的nasdaq...:lol:
作者: xuy777     时间: 2007-3-27 13:43
其实楼主的文章更是从mp公司的战略角度出发来写的,的确在自己擅长的领域做精总比分散精力去搞自己不擅长的东西 效率要来得高得多.
一句话,就像有些人自己的产业还没做透做精,就急匆匆地投入到另外一个领域.很可能被两边拖垮.
mp的前提是干净的系统,不然只要病毒危害不发作,mp就不能发现病毒.作为我这个个人用户来说这也不能容忍,所以我把mp和kav同时安装上,mp可以防范未知病毒,kav可以用特征码事后诸葛亮清除硬盘中残存的病毒体.作为个人客户的确需要扫描的功能来让自己放心--最多也就是个心安.
但是从mp的角度首先就要看自己的技术实力和资源是否足够支持他进入传统杀软的行列.
另外就是看mp是否觉得已经把主动防御做到了头,创新能力枯竭了.需要新的切入点了.?
作者: xuy777     时间: 2007-3-27 13:59
接着讲点东西:
我发现很多人都是冲着mp的主动防御来的,但都同时装上各种杀软扫描软件和防火墙.看来心理都是相同的,那么假设大家用得都是要花钱的正版软件,这些东西放到一起价格好像也不低.到那个时候大家就需要摸着口袋盘算成本了.到那时候mp是否有优势还真难说.个人用户因为传统杀软的习惯,觉得mp的东西并不是非常牢靠.那么mp在市场中最突出的价值到底是什么?的确如楼主说的,在于商业用户群.
我想,mp当务之急是把那个防火墙加强,mp的生存之根本就是网络.一方面病毒,一方面就是网络安全.只有这条路走通了,也就达到了楼主所指的路:网络版__其实楼主是指明了mp来大钱的路.当然有了钱可以更好的开发mp,又能赚钱,,,,,,,如此反复岂不美哉....哈哈哈
作者: Legend     时间: 2007-3-27 14:06
微点主动防御软件对有害程序的判断是通过已知特征判断、未知特征判断、行为判断的,您可以参考下微点软件的帮助文件,微点软件是以行为判断为主特征判断为辅的;微点主动防御软件通过动态仿真反病毒专家系统、依据病毒识别规则知识库动态分析判定病毒,对于行为判断的病毒程序会自动提取病毒的特征放到本地特征库中,方便下一次遇到相同病毒的更及时快速防御。
欢迎您继续做深入的测试使用,方便的话请及时反馈给我们您使用中遇到的问题或其他相关信息,我们会不断地努力完善自身做到更好的为用户服务。
作者: xuy777     时间: 2007-3-27 14:47
希望所有的mp用户都这样深入了解楼上所介绍的东西.
作者: 现代化红军     时间: 2007-3-28 01:54    标题: 百度也不是好东西

NND
百度也不是好东西
也打压微点
百度贴吧冷清的要死,很多帖子都限制住了CAO
作者: hbzxw     时间: 2007-3-29 13:49
菜鸟。看不懂
作者: xxxyyy     时间: 2007-3-31 13:59
也看不懂,也太长了,反正大家说谁好就用谁
作者: yanbin007x     时间: 2007-3-31 16:00
我也不太赞成扫描~~~太慢了
不过如果微点能够扫的快准狠,那还是接受的了!
作者: sword555     时间: 2007-4-3 12:21


  Quote:
Originally posted by 千里缘 at 2007-3-1 23:07:
对于一个新手并且是一个不重视电脑安全的人来说,扫描的确意义不大.而且,如今数百G的大硬盘完全扫一次要多长时间呢?有几个人会有那么大的耐心等你杀软一个文件一个文件的慢慢扫呢?微点走的是主动防御的路子,与别的 ...

我同意!扫描太费时了!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn