微点交流论坛

标题: 关于实时监控，一点不成熟的意见。 [打印本页]

作者: EESTU 时间: 2007-10-23 11:21 标题: 关于实时监控，一点不成熟的意见。

的确MP的理念和技术很先进，效率和效果也很好，但是有一个小问题，MP必须要病毒启动以后才可以查杀，也就是说病毒已经进了你的机器并且开始了破坏行动，万一这个病毒是MP杀不掉的怎么办（没人敢说100%能吧）？退一步说，就算一定能杀掉，那病毒也总是进来过并且开始破坏了（当然结果是被恢复了），对于大多数人来说心里总是不舒服吧，我想这可能也是不少人同时使用其他实时监控软件的原因之一。
所以个人建议MP的实时监控同时也使用特征码扫描技术（当然最好可以有个选择是否同时启用，以迎合某些人的喜好），先把一部分已知病毒挡在机器外（特别是目前MP比较弱的那些网页病毒），尽量减少危险和麻烦。
可能有些人要说这样一来MP不是也和其他AV一样了？我觉得这并不是很重要的事情，对于AV来说，最重要的是效果，那些名头（比如什么唯一一款行为杀毒啦）什么的并不重要，毕竟AV不是普通软件，卖得多是目的，保护大家的PC才是目的吧。

作者: Legend 时间: 2007-10-23 11:30
您好，微点是依据程序行为判断病毒为主，以特征码扫描为辅的安全软件。在对文件打开、复制等操作时，微点自动通过已知病毒特征码扫描其是否是病毒，如果此文件扫描后没有在微点病毒库中，当其运行后，微点依据其行为判断是否是病毒。
只要有进程对系统有破坏微点就会在阻止的同时弹出窗口提示用户，根据用户的不同需求来选择微点下一步的动作。
任何安全软件都不可能做到100%处理病毒，微点主动防御软件一样也需要不断的完善，欢迎楼主对微点进行深入的测试，如果在测试中遇到类似样本，请将至发送到virus@micropoint.com.cn。

作者: EESTU 时间: 2007-10-23 11:51
那比如访问网页的时候下载到IE缓存里面的和用IE下载的那些文件MP怎么对待的?
在这些文件下载到PC里面的过程中，现在的MP已经在用特征码扫描了？
个人比较在意的就是各种文件在进入机器的过程中的扫描，还是那句话，与其进来再杀不如根本不让进来。

作者: Legend 时间: 2007-10-23 11:56
如果有进程对您系统有危害，微点会弹出窗口提示您的。
微点对文件打开、复制等操作时，微点自动通过已知病毒特征码扫描其是否是病毒，如果此文件扫描后没有在微点病毒库中，当其运行后，微点依据其行为判断是否是病毒。

作者: EESTU 时间: 2007-10-23 12:00
= =传奇还是没回答我的问题啊，各种文件进入本机的时候（包括任何一种进入方式）是否进行特征码扫描啊，特别是进入网页的时候IE自动下载的文件，这东西想小心都小心不了（好多大网站都被挂马）。

作者: wyatt 时间: 2007-10-23 14:13
其实有的东西是不便说得太明白的呵
偶以前在群里就经常被管理员告知：涉嫌专利，恕不能相告等等
……

作者: caibin870 时间: 2007-10-23 14:33
扫描还是有必要加入的，不管是什么理由！销售也好...

作者: 520marine 时间: 2007-10-23 16:42
恩支持楼上所说的

作者: yyz219 时间: 2007-10-23 17:54
支持楼主的观点

但是目前如果“万一这个病毒是MP杀不掉”---------最好ghost

作者: wantcm 时间: 2007-10-23 18:17
1。微点包含了特征码识别，对于已知的有害程序，其复制，解压缩等操作的过程中，微点会首先使用特征码查杀。
2。对于不包含在微点的特征码中的程序，微点才以行为查杀为主。
3。

Quote:

MP必须要病毒启动以后才可以查杀，也就是说病毒已经进了你的机器并且开始了破坏行动，退一步说，就算一定能杀掉，那病毒也总是进来过并且开始破坏了

行为查杀的第一个步骤就是，阻止病毒继续运行，病毒的运行产生一系列动作，当某个动作试图侵害的系统的安全微点就会阻止它，而这时候其实病毒并没有对系统造成侵害。学过编程的人都知道现在编程并不需要把功能全部用程序实现，很多功能只需要调用函数库（API）就可以达到目的，即节减了程序体积，又减少了劳动量。对于病毒这种需要“苗条身材”的程序，会大量的调用API，而微点密布在系统中的探针会监视API的调用情况，阻断有害调用。大多数病毒对系统的危害是靠调用API实现的，其程序本身脱离了API就不会有任何危害能力，所以说病毒运行后会直接对系统造成损害是不正确的，它还需要一个API的调用过程。
4。

Quote:

Originally posted by EESTU at 2007-10-23 11:51:
那比如访问网页的时候下载到IE缓存里面的和用IE下载的那些文件MP怎么对待的?
在这些文件下载到PC里面的过程中，现在的MP已经在用特征码扫描了？
个人比较在意的就是各种文件在进入机器的过程中的扫描，还是那句 ...

绝大多数网页木马/病毒是依靠系统漏洞入侵的，预防它们可以靠打系统补丁，使用防火墙，最后一道防线才使杀软。
微点自带系统漏洞扫描和防火墙功能，已经可以阻止大部分网页木马/病毒的侵害，少部分已经下载的微点会在其复制过程中用特征码查杀，更何况还有行为查杀这最后一道防线。整套防御体系已经有四层之多了！
5。楼主的主要意思就是要微点增加特征扫描监控不是么？而微点现在已经存在了这个功能了！超版的解释中已经提到了只是你没有仔细看没有发现而已。
6。

Quote:

万一这个病毒是MP杀不掉的怎么办（没人敢说100%能吧）

行为查毒发现不了的，特征码就能发现么？为什么要研究行为查毒技术？就是因为特征码扫描漏查太严重了！
一种新病毒被发现，传统杀软需要获得样本，提取它的特征，制作升级补丁，这个补丁只针对这一种病毒，碰到变种需要再重复提取！
而对于微点来说，一个新病毒被发现，如果他没有使用“跨时代的新技术”，那么它就是可识别的！根本就不需要获得样本，提取特征码，制作补丁。
如果这个新病毒使用了微点无法判断的新技术，微点只要获得了样本，将这种新的病毒行为提取出来，那么更新后的微点就会对其一些列变种都有查杀能力了。

[ Last edited by wantcm on 2007-10-23 at 18:45 ]

作者: EESTU 时间: 2007-10-24 08:21
突然意识到我是不是会错意了，难道传奇说的文件打开,复制里面的复制是指任何复制，包括其他机器的文件进入本机（IE下载的东西也算）的这种复制，而不只是从本地硬盘/u盘里面复制。是这样么
PS:关于6，这种基本知识你认为我不知道么，我的意思是说，某些已知病毒可以干掉AV，但是必须要进入机器并运行之后才可以干掉AV，这类的病毒（别跟我说你没见过）用特征码扫描的话要比行为查杀更安全，因为一旦运行了AV未必挡的住，但是发现了不运行就没事。

作者: caibin870 时间: 2007-10-24 09:33
总之只有更好的，没有最好的啊

作者: wantcm 时间: 2007-10-24 09:56

Quote:

Originally posted by EESTU at 2007-10-24 08:21:
突然意识到我是不是会错意了，难道传奇说的文件打开,复制里面的复制是指任何复制，包括其他机器的文件进入本机（IE下载的东西也算）的这种复制，而不只是从本地硬盘/u盘里面复制。是这样么
PS:关于6，这种基本知 ...

对于你说的AV终结者类的病毒,微点可以很好的查杀.

作者: 反黑先锋 时间: 2007-10-24 13:29

Quote:

Originally posted by EESTU at 2007-10-23 11:51:
访问网页的时候下载到IE缓存里面的和用IE下载的那些文件MP怎么对待的?

在这些文件下载到PC里面的过程中，现在的MP已经在用特征码扫描了？
个人比较在意的就是各种文件在进入机器的过程中的扫描，还是那句话，与其进来再杀不如根本不让进来。

特征码(防御已知病毒) +行为识别（防御未知新病毒）

特征码
http://bbs.micropoint.com.cn/sho ... =%C5%DD%C5%DD%CD%F8

行为识别
http://bbs.micropoint.com.cn/sho ... 4%BA%DA%CF%C8%B7%E6

http://bbs.micropoint.com.cn/sho ... Bshendu1&page=2

作者: 微点放大是焦点 时间: 2007-10-24 13:55
微点现在存在的问题跟传统杀软比较我做个比喻:"就像是飞机和汽车一样,飞机(微点)能比汽车(传统杀软)跑得快.但是飞机也不能完全抛弃汽车上的东西,只少飞机还得跟汽车一样留有几个轮胎(静态扫描引擎)
哈哈,我感觉情况就是如此了.比喻是否恰当,得看大家意见了.

作者: backhamchen 时间: 2007-10-24 14:00
我暂时有其他的杀软与微点配对所以扫描功能对我来说只能起一定的辅助

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn