Board logo

标题: 我的微点主动防御软件使用体会之行为监测技术 [打印本页]
作者: Legend     时间: 2006-12-2 10:26    标题: 我的微点主动防御软件使用体会之行为监测技术

微点周年测试参赛作品选
原作者:linsb

我的微点主动防御软件使用体会之行为监测技术




    用了微点主动防御以有一段时间,在这段时间里微点让我学到许多许多。如果说遇到微点是因为巧合,而后面的长期使用微点是因为源于对这个软件以及对这种技术的信赖。早在我读书的时候,安全课程上,行为监控这项技术就作为一项反病毒的前沿技术给老师提到了。行为监控技术,顾名思义,是就通过病毒行为来判定病毒的。依靠行为是如何来判断病毒的呢,其实通过多年的观察和研究,人们发现病毒有一些行为,是病毒共有的,而且比较特殊,在正常的程序中,这些行为比较少见。当程序运行时,监测其行为,如果发现了病毒行为,立刻报警或阻塞可疑的程序,微点正是采用的这种技术方法,通过复杂的判断规则,来阻塞和清除病毒程序的。

    事实上,21世纪的病毒,已经进入了一个崭新的时代了。从功能上来划分,早期的病毒意在破坏计算机软件或者硬件,而当今的病毒却多以窃取目标计算机的信息为目的。从作者目的上来划分,早期的病毒开发者意在炫耀能力或者证明实力,而当今的病毒开发者更多的考虑到利益的问题。当今的病毒与黑客技术结合进入了新的病毒时代。因此我大胆的假设,现在的计算机可以简单的分为安全和健康。木马和等间谍程序危害计算的安全,传统的病毒则危害计算机的健康。相信大家都宁愿你的计算机不健康,也不要你的计算机不安全。计算机受到破坏要比机密被盗取要轻得多,信息的泄漏小则侵害你的个人隐私,大则危害公司命脉,号称软件大王的微软,都曾被黑客入侵而导致大量windows源代码外泄,造成损失过亿。显然安全比健康要重要得多。

    要您的计算机安全就对杀软提出了更高的要求,传统的杀软大部分采用的是以扫描特征值来查杀病毒,这种技术的缺点在于查杀病毒的能力滞后严重。只有当新的病毒或者木马被发现才能查杀,局限性相对较高。以行为监控为主要核心的微点则不然,采用行为查杀病毒的技术特点,使得他有天生就有很好的查杀未知病毒的特性。因此查杀病毒就比传统的要杀软效率要高得多。采用行为监控的微点其优越性不仅显现于此。对于加壳的木马的防御和查杀更是以行为监控为核心的微点的拿手好戏,大家知道,现在的木马和病毒大都采用了加壳技术来躲避传统木马的查杀,由于传统的杀软采用特征值来判断病毒,而加壳之后的病毒使的原来的特征值发生了改变,导致杀软无法识别,从而逃避杀软的查杀。特别是现在的加壳技术泛滥,甚至出现加壳的程序,就算你不懂如何加壳,采用加壳程序照样能让你的木马或者病毒千变万化,使得靠特征值扫描的杀软更加力不从心。而加壳病毒在行为监控为核心的微点面前是完全没有作用的,无论它的面目怎么变化,它总逃不了要做病毒行为,一旦行为被发现,加多少壳也逃不掉给查杀的命运。为了证明微点的可靠性,我下了一个盗取QQ木马的生成器以及几款加壳工具,我采用一个较为出名的加壳工具JDPack2.0,让生成的木马加完壳之后,先让国内某知名杀软**07版本扫描,没有任何病毒提示,然后打开微点,运行该木马,微点马上提示发现木马,完全清楚该木马程序。显然利用行为来判断木马比采用特征值来判断木马要优越得多。

    以行为监控为核心的微点另一个优势则体现在它对多态病毒的查杀能力。多态病毒特别是完全多态病毒的出现,使得传统的特征值扫描技术完全失去作用。多态病毒是一组通过算法加密过的病毒代码,当多态病毒运行时,先执行解密代码,对加密代码解密,然后再执行代码。这些通过加密的病毒程序,传统特征值是无法对付的,由于以行为为判断基础的微点不需理会你有多么复杂的加密体系,一旦行为被发现,同样逃不过微点的捕杀。比如对针对杀软而设计的幽灵病毒,One-half病毒,Casper病毒,这些对传统病毒有着巨大冲击的病毒,病毒的本身是千变万化的,在这些病毒面前单纯的特征值扫描是完全失去作用的,微点依靠行为检测技术,从行为的手段,让这几种病毒无处藏身,从而很好的查杀这些典型的多态病毒,从上面的例子我们可以看到以行为监控为核心的微点的先进性是显而易见的。

    总而言之,以行为监控为核心的微点主动防御摆脱了传统杀软以特征值扫描为主要的手段,使得这款国产杀软在国内和国外具有了较高的技术水平和杀毒能力。

    时代在变,病毒木马技术也在变,旧的以特征值已经很难再满足新的病毒时代的需求了,人们迫切的希望能够有更好更先进的技术能够让他们的计算机更加安全、健康。微点主动防御的诞生正是满足了这一需求。更让人兴奋的是,这款采用国际领先技术的杀毒软件是出自我们国人之手。尽管现在的微点碰到了许多的困难,但我相信聪明的微点人会挺过去的,衷心希望微点能够成功。

ID: linsb
作者: 顺其自然     时间: 2006-12-5 19:35
支持
作者: 反黑先锋     时间: 2007-6-1 00:35
21世纪的病毒,已经进入了一个崭新的时代了。从功能上来划分,早期的病毒意在破坏计算机软件或者硬件,而当今的病毒却多以窃取目标计算机的信息为目的。从作者目的上来划分,早期的病毒开发者意在炫耀能力或者证明实力,而当今的病毒开发者更多的考虑到利益的问题。 经典:cool:
作者: Linwin     时间: 2007-6-1 00:48
MP加油啦~
作者: 稻草人791     时间: 2007-6-1 02:25
微点加油了!
作者: moonsilver     时间: 2007-6-1 15:45
国际领先技术?有点什么技术?领先了哪些国际软件?:D

[ Last edited by moonsilver on 2007-6-1 at 15:49 ]
作者: Linwin     时间: 2007-6-1 19:19
主动防御技术吧~
作者: LeeH2010     时间: 2007-6-2 09:23
好文章啊,很好的体会。
作者: sweetl     时间: 2007-6-2 09:34



坚决支持!!!


作者: 牛行天下     时间: 2007-6-2 10:16
期待微点 改进界面 早日上市
作者: safeage     时间: 2007-6-15 01:56
顶顶顶顶
写得好啊
我给你加分!!!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn