Board logo

标题: 也谈误杀与漏杀 [打印本页]
作者: flyegret2008     时间: 2007-8-23 10:23    标题: 也谈误杀与漏杀

如果把正常程序比作天使,把病毒木马比作魔鬼的话,那么一边是天使一边是魔鬼,可谓泾渭分明。但也有那么一些程序,本身是正常的,但具有类似病毒木马的一些行为;或者一些病毒木马,本身是魔鬼却要竭力乔装成天使,这就使得通过它们的行为来判断倒底是属于哪一边的产生了困难。正所谓一半是天使一半是魔鬼,如果把它们全部归为天使,肯定就要漏杀,如果把它们全部归为魔鬼就要误杀。这是一个两难判断,也是行为杀毒的先天弱点。另外,只有想不到没有做不到,总还有一些程序行为,是在微点行为库之外,这一部分也会被漏过。
      我想微点可能是把两难判断都归为了魔鬼一类,而对其中更有可能是正常程序的那一部分交由用户去判断了,这就对用户提出了一点知识和经验上的要求:怎么去对付那个对话框?由于微点默认是删除和阻止,很多无知的MM点击了确认之后就会来找我问:咋个我的XX用不起了呢?我只好去删除策略。总之 ,安装了微点之后程序的第一次最好由老鸟来运行,要不然也可能误杀,这也算是她的一个缺点吧。
一点浅见,博诸君一笔。
作者: qq2008444     时间: 2007-8-23 10:37
很形象
作者: hanker     时间: 2007-8-23 10:51
天使是正常程序,不会其他程序进行感染或自我疯狂复制。恶魔所做的事就是感染或者自我复制达到恶意制造者的意图。

套用今天一位高人的一句话(忘了是哪个高人了,不好意思)

“病毒也就是那么几套路数,微点只要稍稍动下行为规则库,就能杀倒一片属于这套路数的病毒,即使”黑客“(我这里称为黑客)花进了心思又想起了一套路数,只要微点拿到样本稍稍动下规则库又是杀倒一片有关此类病毒或木马”

大概意思就是这样

所以现在各大杀毒厂商都跑到  主动防御 来的原因,但是能够做到行为识别好像就是微点一家,其他都是采用 HIPS 的路数
作者: hanker     时间: 2007-8-23 11:28
初次接触微点的朋友,会觉得微点很神奇,不用升级居然都可以杀明天的病毒~!其实行为杀毒的原理是很容易理解的:
从逻辑上讲,特征码是一种精确比对方案,病毒的特征码就相当于人的指纹,一个指纹可以确认一个坏人,在杀毒软件上就是一个特征码可以杀一种病毒,所以病毒库中有多少种病毒的特征,杀毒软件就只能杀多少种病毒木马,如果明天出现了新病毒,只能在升级病毒库之后才可以查杀。

而行为杀毒是一种模糊比对方案,所谓的行为杀毒,针对的对象不是单一的指纹而是思路和方法,行为杀毒本质上杀的是病毒和木马的编写思路方法。一种病毒木马的编写思路可以编写出多少种病毒木马?理论上是无限多种的!一条行为规则可以杀一种病毒木马的编写思路,所以一条行为规则理论上就可以查杀无限多种病毒木马,那么一个完善的行为规则库基本上就可以彻底查杀绝绝绝大多数的病毒和木马。明天的病毒还会沿用今天的病毒编写思路么?答案是肯定的,所以微点杀明天的病毒效果也会非常好。

上半年的时候金山做了件好事,气势磅礴地剿灭灰鸽子木马,不过俺们微点的老网友们根本不为所动。为什么呢?因为不管什么灰鸽子、上兴、PCshare、黑洞,这些远程控制木马不管怎么变花样编写思路都是一样的,所以微点见一个杀一个完全不用去专门操心什么灰鸽子。同样的道理,无论是偷QQ的木马、偷传奇的木马、偷WOW的木马,对微点来说也都是一回事,没什么新鲜的,来一个杀一个,来两个就杀一双。

如果后天出了个病毒天才发明了一种全新的病毒编写思路怎么办?其实没什么大不了的,微点分析研究一下新加一条行为规则,就可以把这种新思路的病毒连同它以后所有的变种全部杀掉。嘿嘿,某种程度上说,微点和病毒作者斗法是有着天然优势的,天才的病毒作者挖空心思研究出一种新的病毒编写思路,微点稍微一研究就搞出一种彻底封杀的解决方案。然后病毒天才只能再去闭关研究新方案,斗法的过程微点以逸待劳,最后累也要把病毒天才们累死。。。

所以,我觉得刘旭最大的贡献不是搞出了微点这么一个产品,而是提出了主动防御这么一套体系。正像我们上面分析的那样,杀毒软件面对潮水般涌出的病毒木马已经自顾不暇了,在和病毒作者的斗争中完全处于劣势,被动挨打。卡巴斯基现在都已经每小时升级一次病毒库了,他难道自己不知道累么?没有人不喜欢清闲的,只能说是病毒泛滥迫使卡巴斯基出此下策。主动防御最大的意义就是使整个反病毒行业重新夺回主动权,全面压制住病毒作者的疯狂作案。试问最天才的病毒作者一年能搞出几个全新的病毒编写思路?呵呵,还是那话,用不了几个回合不把病毒天才烦死也要把他给累死。。。

去年在微点论坛讨论这个话题的时候,大家意见还不统一,不少朋友都不认同主动防御是未来的发展方向。不过现如今2008年大势已定,除了微点这个主动防御的棋手,瑞星、江民、卡巴斯基、赛门铁克等主流反病毒厂商都要全面主动防御了。杀毒软件全面换代为主动防御的那一天起,病毒的日子就要越来越难过咯。反病毒行业取得胜利,最终用户也是受益者,大家一起盼望着明年不用再看网游网银被盗的新闻吧!

原创》nasdaq



终于找到这个帖子了,呵呵,给楼主看下
作者: wantcm     时间: 2007-8-23 13:40
楼上的辛苦了~给你加了2分~~

微点的误杀率已经比以前低多了~微点的设计人员一直在努力减少误杀。

愿微点的明天更美好。
作者: hanker     时间: 2007-8-23 13:56
怎么加分?在哪里加?
作者: wantcm     时间: 2007-8-23 15:56
积分 152-----加的是这个~
发帖 148
注册 2007-2-28

只有斑竹才有加分权限
作者: hanker     时间: 2007-8-23 16:07
哦,这样啊,呵呵,谢谢 实习版主啊!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn