标题: 简单把微点的技术和其他AV技术做个类比 [打印本页]

---

作者: 岚星     时间: 2007-4-25 14:36    标题: 简单把微点的技术和其他AV技术做个类比

如果不对，大有指正的说～

简单打个比方：

传统AV就是警察拿着海捕公文去抓贼——对照上面的照片或画像（特征码），一旦发现有“长是一模一样的”就抓起来。所以如果罪犯化了装、装了马甲（变种、加壳）他就不认得了……

启发式AV就是拿着受害人的“嫌犯描述”去抓人。上面有嫌犯的大致长相（特征码）、行动特点等等，如果发现某个人跟这种描述的“相似程度”超过了设定值，就把它抓起来。所以如果有良民不小心长得比较像……

微点就像是一个经验丰富的警察，他手上也有海捕公文（特征码）等等，但主要靠的是观察——这个家伙眼神不是看人而是老看包、走路不但总是往人多的地方挤还喜欢贴在别人身上，看来不是个善类。那就重点盯着吧，一旦发现他掏出刀子开始划别人的皮包，那微点就会立即把手铐铐在那只黑手上。但如果罪犯今天不打猎，那他就算一直在微点面前晃，微点也不会动他——不过人家没犯事凭什么动他呢？

从这个原理来看，微点的做法应该是最有效的。但是，作为一项新生技术，微点要提取的是“病毒的行为习惯”，这和传统的特征码完全不同，技术成熟度无疑要差很多。如果病毒有了新的行为模式——就像有罪犯采用了新的诈骗手段，老警察也没见过，那微点仍然会失效。而对于新警察，如果他也这样观察，很可能把良民也抓了。
所以，关键在于微点能不能尽可能全面地掌握病毒的行为模式，并把它和普通软件的行为模式很好地区分开。这就像一个新警察成为老手的过程，须要时间和历练。
另外，也要注意病毒会不会产生新的行为模式，比如一个优秀的杀手，甚至可以杀了人却没有人知道他的手法，事前事后始终像个普通人一样。
当然，大概我们普通人是不会希望有这样的病毒出现的……

---

作者: yuxiaoxiao     时间: 2007-4-25 14:58
另外，也要注意病毒会不会产生新的行为模式，比如一个优秀的杀手，甚至可以杀了人却没有人知道他的手法，事前事后始终像个普通人一样。
当然，大概我们普通人是不会希望有这样的病毒出现的……

说得有道理，不过传统杀软能解决吗？

---

作者: sunnyalan     时间: 2007-4-25 17:52
这种病毒可能没办法杀！

---

作者: segourigh     时间: 2007-4-25 18:15
呵呵，有趣的形容，见过很多类似描述微点与其他杀软的区别，总感觉没抓住重点，我个人认为区别应该是智能化这方面，但我又说不出个所以然（真是书到用时方恨少）感觉其他杀软如果比喻为警察，那么微点就像贴身保镖，警察接到名单到处收捕嫌犯，微点看到嫌犯也爱理不理，除非有人攻击当事人，不管是不是良民，一律格杀，哈哈，各位以为然否？

---

作者: 岚星     时间: 2007-4-25 20:00
嗯，4楼说的我觉得是HIPS的特征。微点应该是行为监控＋智能HIPS吧。

智能HIPS实际上这就像警察不管有没有带海捕公文，只要看到有人拿刀子往对方心窝里扎，立马先扣住再说。当然，扣下来了还要问问这是不是个心脏外科医师正在动手术。

而对于这样的判断，就非常头痛了——就算是杀手也会冒充平民的。而有些心脏手术再高明的警察也无法判断危险程度——所以再优秀的HIPS，恐怕给系统打补丁升级的时候也得关掉。
进一步说，捅刀子要管，那扎针呢？所以HIPS要是智能了，必然不是完全的HIPS——只管系统，不管其它。注册服务的病毒可以防，那“删除除C盘之外所有的Word文档”，这种病毒“智能HIPS”怎么管？

这也是我不太看好HIPS的原因。我一向认为，好的安全软件（不仅仅是AV）应该是U&F的——用户可以Use and Forget it。

退一步说，现在好的HIPS软件比比皆是——SSM、犀牛、EQ、Tiny……连咖啡也带了FD。微点去跟他们碰，不如去专心修炼自己的特长。

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn