微点交流论坛

标题: 试用微点9个月，说说感想 [打印本页]

作者: keke0905 时间: 2008-12-22 02:35 标题: 试用微点9个月，说说感想

:P新人发帖，请多指教！
小白一个，在一外企工作，本本屡屡中毒，诺顿只管报告，卡巴删之不尽，瑞星熟视无睹，独霸一路趴下，NOD32悄悄走开，很多重要文件丢失或者无法使用，郁闷之极。偶然间，发现一同事本本上装有不知名软件，问之，答曰：微点主动防御！
微点？主动防御？好像从未听说，细细询问之，才知道是国产新秀。问同事好使否？好用否？安全否？其笑而不答，让我自试。于是下载安装文件，安装使用。第一次3个月试用版，第二次同事帮忙申请了预升级。自从安装微点，小白我彻底告别对病毒木马束手无策的历史嘿嘿，再也没有因为中毒而苦闷。相反经过同事的指点和自己的学习，慢慢对微点有了更多的认识，也学会了通过微点分析系统安全性，写下来，请大家指教。
第一篇：微点与传统的杀毒软件以及标准意义的HIPS软件有什么区别？
1.传统杀毒软件的典型特征：病毒特征库、杀毒引擎、以及监控。近年来根据病毒的发展，很多杀软开始加进了主动防御和HIPS模块。一句话，杀软是基于病毒特征库来工作的，即将文件的特征码与其病毒特征库的特征码进行比对，如果特征码相符，则被判定为病毒，并通过杀毒引擎清除或删除，监控也是同样道理，通过特征码的对比来判断是否属于病毒或木马行为。其缺点在于杀软的安全防御要依赖于强大的病毒库支持，一切它所不知道的病毒或者因为加壳改变了代码的病毒，均不会被识别。但一旦收集到新的特征码，杀软仍可依靠强大的扫描能力进行查杀。~~说某人身上藏着C4炸药要去搞破坏，如果杀软的特征库里事先有此人身高，相貌，前科等资料，那么此人会被毫不犹豫的从人群里揪出来就地正法，如果没有相关资料或者此人事先乔装易容，则此人就在安检时过关，并对系统造成一定程度的破坏。此时杀软会重新收集相关资料，更新病毒库，有可能重新抓住并枪毙这个破坏者。如果因为杀软的放行而导致此人对系统造成了毁灭性的破坏，则杀软自身难保。

2.典型HIPS软件的工作原理：规则库、基于系统底层技术的行为实时监控、对系统行为的拦截。加入系统中的某个行为触发了其规则，不管行为本身是否具有危害性，HIPS软件都会跳出来报警，并提示用户操作。因此需要用户有相对较高的计算机安全方面的知识，否则一旦放行错了，HIPS自身不具备查杀能力，因此也无法保证用户的安全。~~说这个人身藏C4出来晃悠，HIPS会询问用户是否准许，如果不准，则此人被按倒在地；如果准许，则任其前进。当此人拿出C4准备爆破，HIPS又会询问用户是否准许其点火，如果不准，则此人在这时被抓；如果用户在无法判断的情况下点头同意，则炸药爆炸，HIPS随着系统一块完蛋去。（沙盘或者影子是另外一种HIPS，即让此人在一个虚拟的环境中活动并且实施破坏，但无论如何也不会对系统造成实质性的破坏，除非此人是黑客中的那位SMITH先生）

3.微点的工作机理：行为特征库，基于底层技术的行为实时监控，对危险行为的拦截，包过滤原则（防火墙）
所谓行为特征库就是指微点事先收集并整理了一套病毒木马的行为特征，基于这些行为建立数据库并引入了智能判断机制。因为病毒和木马通常具有类似的连串行为而不是通过某一个独立的行为来对系统进行破坏的，比如释放驱动、改写注册表、释放系统文件、自加载和自启动等等，微点便是以这样的方式来判断病毒和木马的，所以某些单一的行为或者未知的行为，不论有害还是无害，只要不触发微点的行为库，便会被放行。一旦触发行为库，微点就会像HIPS一样出来报警和拦截，和HIPS不同的是，微点会主动判断其行为的危害性并加以诛杀。当然，如果一连串的行为都没有触动微点的行为库，也会被放行，不管这些行为是否真的有害。
~~说此人乔装易容，怀揣C4到处乱窜，微点不管；此人掏出了C4放在市中心，微点也不管；此人又进一步连上导线接通电源准备爆破，微点手起刀落将其干掉并且通知用户刚将一恐怖分子制服。如果此人将C4炸药混在巧克力里制造了一种微点从未见过的东西，并且不需要连接导线，用先进的无线电遥控或者磁力场感应就能爆破，则微点无法判断其行为是否有害，会将其放过，以至造成破坏。所以微点不断对其行为特征库进行更新和收集，并基于此不断强化其智能判断机制。

最后总结：
杀软通过程序本身的代码特征来判定是否有害，属于被动防御，因此杀软对于广告，流氓和IE插件的拦截不是很好，因为这些东西通常不具备明显的特征码，属于易容高手。因此现在杀软不断地丰富着自身的模块和功能，引入了主动防御和HIPS。为对付繁衍速度呈几何级数递增的越来越多的病毒和木马，老牌杀软们纷纷推出了云计划，以此不断完善自身的病毒库。

HIPS软件是通过规则的设定，看某一单一行为是否触动规则来判断是否会对系统造成破坏，因此对于SSM或者EQ这样的HIPS软件来说，广告软体或者流氓们想修改注册表或者劫持IE是基本上不可能的，前提是使用者要具备一定的素质。

微点则是兼有前二者的特点，一方面它通过对程序连续行为的判断来辨认是否会对系统造成破坏，因为病毒或者木马的很多连续性行为都是类似的，因此只需要很小的行为特征库就能够防范绝大多数的病毒和木马，病毒和木马一活动就会被微点侦测到并加以查杀。如果病毒或木马只是呆在某个角落而不出来搞破坏，则微点不会加以理睬。这一方面类似杀软需要病毒库，但比杀软更加简洁和智能化；另一方面它又具有出色的全局监控和拦截能力，只要触动规则微点就会报警，并加以拦截，询问用户是否放行，具有HIPS的特点。但对于单一性行为或者连续性特征不明显的未知病毒，因为不在行为特征库内，微点也无法判断。因此从这个意义上说，我个人认为微点是一款具有部分主动防御特征的安全软件，但同时它需要收集行为库，又具有被动的特点。

或许现在的安全软件领域里，微点的主动创新还没有取得全行业的认同和追随，也或许有在整体性能上高于微点的其他安全软件，但假以时日，微点成为行业典范也未可知。

作者: keke0905 时间: 2008-12-22 02:44
:lol:自己还有点体会，截了图，和其他菜鸟共勉，请高手指教。