标题: =====杀毒软件、HIPS与微点 沙盘 分析几者区别===== [打印本页]

---

作者: 御剑临风     时间: 2009-1-7 14:30    标题: =====杀毒软件、HIPS与微点 沙盘 分析几者区别=====

这里首先说一下，之所以把微点单独拿出来比较，是因为它既不同于传统杀软，又不同于通常意义的HIPS，从我个人的理解，微点不具备杀毒引擎，所以是绝对不能归类为杀软的，它更倾向与HIPS，不过更为智能化。今天作这个比较，是想让大家清晰认识三者的区别和各自的优劣
一、总论
1、杀毒软件
纯个人理解，杀软需具备三大要素：
病毒特征库、杀毒引擎、监控
通过扫描，将系统中文件的特征码与其病毒特征库的特征码进行比对，如果特征码相符，则被判定为病毒，并通过杀毒引擎清除或删除。监控也是同样道理。
总之，杀软是基于病毒特征库的。
2、HIPS
HIPS也需要具备三大要素：（为了便于说明，后面对HIPS的规则处理假定为询问）
规则、监控、拦截
若某个程序在运行过程中，触发了HIPS设定的某个规则，则HIPS会予以询问，并提示用户操作，而不论这个程序是否有害。即使正常的程序，也有可能被询问。
3、微点
微点的特征非常明显：
行为库、监控、拦截，外加一个包过滤墙
所谓行为库，是由程序的连串行为构成，病毒通常具有类似的连串行为，比如释放驱动、改写注册表、释放系统文件、自启动等等，微点便是以这样的方式来判断病毒和木马的，所以某些单一的行为或者未知的行为，不论有害还是无害，只要不触发微点的行为库，便会被放行。

二、举例说明
仅仅说理论，可能大家听不懂也很枯燥，这里就举个例子说明
假设一个潜逃的杀人犯，我们的三大是如何抓住他的
1、杀软
通过识别犯人的相貌、身高、体重等特征，以判断他不是要找的犯人。如果犯人乔装打扮，且易容手法高超，完全改变了原来的外在特征，则杀软很有可能抓不住他（这就是所谓的加壳、免杀）。如果犯人继续作案，那么杀软会重新搜集犯人的特征，重新辨认（也就是更新病毒库）。垃圾杀软会将其当做一个新犯人，优秀杀软却可以识别犯人的基因特征，除非犯人改变基因（这就是所谓的脱壳，真正脱壳能力强的没几个，蜘蛛可是算是最优秀的，脱壳依赖的是引擎）。
2、HIPS
如果犯人就此改过自新，不再犯案，那么HIPS将会就此放过它。如果某一天，犯人继续有了作案的动机，假设他是拿枪去杀人，首先，犯人伸手去衣兜里（不管是不是去掏枪），HIPS会提示，是否阻止它？如果你放行，犯人会进行下一个动作，把枪拿出来，HIPS继续报警，是否阻止。如果放行，犯人接下来会瞄准目标，HIPS继续询问。再放行，犯人开枪杀死目标，系统崩溃，HIPS就此下课。
（还有一类特殊的HIPS，就是沙盘，比较有名的就是defensewall，就是它会虚拟一个环境，让犯人在虚拟的环境中杀人，事实上，犯人并没有真正杀死目标，一切都是南柯一梦。犯人的所有行为在虚拟环境中完成，不对真是系统构成威胁）
3、微点
如果犯人就此改过自新，不再犯案，那么微点也会就此放过它，这和HIPS相同。但接下来的就不同了。犯人进行第一个动作，伸手去衣兜里，微点不予理会，因为这一动作本身无害，也许犯人不是掏枪，只是掏钱而已。如果接下来，犯人掏出的不是凶器，微点无视，如果犯人掏出的是枪，微点会在此时报警，这两个动作加在一起才形成了威胁，只有在这种情况下，微点才会询问。如果犯人掏出的是一种微点从未见过，且不知道否会构成威胁的东西，微点仍然放行，然后目标人物被干掉

三、优劣比较
1、杀软
他的优缺点很明显，事前防御和事后补救俱全。事前防御是依靠病毒特征码，一切他所不知道的病毒或者因为加壳改变了代码的病毒，均不会被识别。但一旦收集到新的特征码，杀软仍可依靠强大的扫描能力进行查杀。
2、HIPS
事前防御滴水不漏，但事事要求用户决定是否放行，如果用户基础知识不足，错误放行，那么病毒将会侵入系统，HIPS没有查杀能力，也许可以继续拦截病毒的行为，但不能杀灭病毒本身，更不能修复被感染的文件
3、微点
事前防御根据病毒行为库判定，并不会对所有单一行为报警，只有当连串行为构成危险并触发其行为库事，微点才会报警。但如果某程序的连串行为不在微点的行为库之内，即微点无法识别这种行为是否有害事，系统被会病毒侵入，微点同样不具备查杀的能力，最多只能拦截病毒的部分行为，而无法杀灭。

四、继续举例
假设手动更改 .TXT的文件关联，使其关联到写字板程序
微点不会报警，因为这一单一行为不会对系统造成威胁
而EQ、中网S3等典型的HIPS，如果对这一文件关联设定了规则，则他们会提示这一修改，询问你是否放行。如果设定的规则是禁止的，则他们会直接禁止，使你无法改动文件关联。相对而言，EQ、中网的防御更为严密，但对使用者的要求更高，你需要自行判断某一程序的行为是否有害。
微点同样有规则，它的规则是以行为库（由程序的连串行为构成，病毒通常具有类似的连串行为，比如释放驱动、改写注册表、释放系统文件、自启动等等，微点便是以这样的方式来判断病毒和木马的）的形式体现，某个行为，无论是单一还是连串，无论有害还是无害，如果不在微点行为库的范围内，则不会被拦截。

五、总结
微点对某些广告和流氓的拦截不是很好，对IE插件的加载也很少报警，因为这些广告程序和插件，并不具备明显的病毒连串行为，这些程序通常只是改写一下注册表劫持浏览器，甚至不会自启动。
微点仍是建立在对已知行为的判断的基础上，对未知的病毒行为仍然毫无办法。只不过病毒行为通常是类似的，通过很少的行为库就能起到很好的防御作用。从这个意义上说，微点仍是被动而不是主动。
而中网和EQ，如果你对系统注册表关键位置进行了一些规则设定（EQ和中网内置的注册表防护规则非常全面），这些广告和流氓想劫持浏览器就成了不可能的事
杀软则不是通过程序的行为来判断，而是通过程序的特征码
最后一句话：
杀软通过程序本身的代码特征来判定是否有害
HIPS通过程序的单一行为来判定是否有害
微点通过程序的连串行为来判定是否有害
另外一个特殊的沙盘，基本不作判定，任由程序在虚拟环境中运行，使其无法破坏系统

[ Last edited by 御剑临风 on 2009-1-7 at 14:33 ]

---

作者: jaber     时间: 2009-1-7 14:32
请去除乱码，否则删帖！

---

作者: snhao     时间: 2009-1-7 15:21
希望微点不断完善行为库。

---

作者: wusoodl     时间: 2009-1-9 09:44
学习了

---

作者: 燕赵之士     时间: 2009-1-9 10:48
说的很形象

---

作者: mumaniu     时间: 2009-1-9 12:30
至少现在对付未知病毒和新病毒没有比微点更好的杀毒软件了，微点越完善对使用者越有利而已

---

作者: 御剑临风     时间: 2009-1-10 20:25
让朋友们好好看看就知道区别了

---

作者: 五型输入法     时间: 2009-1-10 22:45
除了广告和流氓软件、IE插件等外，请楼主举例说明某些病毒的行为特征不在微点的行为特征库中的。
注意，请举实例，并说明病毒的行为是如何绕过行为特征库的？

---

作者: 御剑临风     时间: 2009-1-10 23:38

Quote:

Originally posted by 五型输入法 at 2009-1-10 22:45: 除了广告和流氓软件、IE插件等外，请楼主举例说明某些病毒的行为特征不在微点的行为特征库中的。 注意，请举实例，并说明病毒的行为是如何绕过行为特征库的？

怎么说你呢！说你小白吧 有点不尊重人了

你见过那个杀毒软件查杀流氓软件了？

你又知道什么叫流氓软件吗？所谓的流氓软件一般都是正规公司编写的程序

他不是病毒 当然也不是什么好东西

他是属于病毒和正规软件之间的灰色地带  目前还没有相关法律制约



你贸贸然的把他们杀了  人家不起诉你就怪了

利用微点主动防御软件分析和清除恶意软件和插件http://service.micropoint.com.cn ... 20071112171512.html


还说什么请举实例 搞的你像个专家似的  最讨厌这样的人了

你这么本事 搞一个出来吧  大家拭目以待 共同期待

[ Last edited by 御剑临风 on 2009-1-10 at 23:39 ]

---

作者: 不能注册     时间: 2009-1-11 09:24
感觉混微点论坛的人有点盲目崇拜XX，很多人搞不清微点和hips的关系啊，不管微点加入了病毒库，还是行为库，微点主动的基础和hips一样，相当于一个娘（监控api等底层的东西）生了2个孩子，一个需要喂饭吃（hips），一个会自己吃饭（微点），再大的不同都是一个根，非说不同就是微点多了病毒库，还有行为库（相当于hips的规则是微点专家做的），微点现在不是还没有出病毒扫描吗！


“2、HIPS
HIPS也需要具备三大要素：（为了便于说明，后面对HIPS的规则处理假定为询问）
规则、监控、拦截
若某个程序在运行过程中，触发了HIPS设定的某个规则，则HIPS会予以询问，并提示用户操作，而不论这个程序是否有害。即使正常的程序，也有可能被询问。
3、微点
微点的特征非常明显：
行为库、监控、拦截，外加一个包过滤墙
”

微点行为库应该是微点专家设定的hips规则库，2者没有明确意义上的区别，如果hips设定好的专家的规则，也可以在他举枪的时候才第一次报警，或者直接在举枪时干掉他，（为了便于说明，后面对HIPS的规则处理假定为询问---也就是微点没提供询问的功能啊）没必要非得误导大家hips是动作监控器，如想你说的那么麻烦还要规则做啥？hips也有静的可怕规则


“2、HIPS
如果犯人就此改过自新，不再犯案，那么HIPS将会就此放过它。如果某一天，犯人继续有了作案的动机，假设他是拿枪去杀人，首先，犯人伸手去衣兜里（不管是不是去掏枪），HIPS会提示，是否阻止它？如果你放行，犯人会进行下一个动作，把枪拿出来，HIPS继续报警，是否阻止。如果放行，犯人接下来会瞄准目标，HIPS继续询问。再放行，犯人开枪杀死目标，系统崩溃，HIPS就此下课。
（还有一类特殊的HIPS，就是沙盘，比较有名的就是defensewall，就是它会虚拟一个环境，让犯人在虚拟的环境中杀人，事实上，犯人并没有真正杀死目标，一切都是南柯一梦。犯人的所有行为在虚拟环境中完成，不对真是系统构成威胁）
3、微点
如果犯人就此改过自新，不再犯案，那么微点也会就此放过它，这和HIPS相同。但接下来的就不同了。犯人进行第一个动作，伸手去衣兜里，微点不予理会，因为这一动作本身无害，也许犯人不是掏枪，只是掏钱而已。如果接下来，犯人掏出的不是凶器，微点无视，如果犯人掏出的是枪，微点会在此时报警，这两个动作加在一起才形成了威胁，只有在这种情况下，微点才会询问。如果犯人掏出的是一种微点从未见过，且不知道否会构成威胁的东西，微点仍然放行，然后目标人物被干掉”


“但接下来的就不同了。”是不同了，因为你设定HIPS的规则为询问了，而微点根据规则自动了。。。



“有时候， 我觉得微点其实跟hips也没有本质区别， 就是事先编制了规则， 作了优化，
搞了个规则库，自动化检索－－－也就是所谓的“专家系统”， 再加上特征码技术。
微点应该很有前途的。 虽然有些东西可能会漏网，也会有误报（或者报警提示很含糊不清） 但是很智能， 也足够安全了。
”这个是卡饭贴下的沙发

[ Last edited by 不能注册 on 2009-1-11 at 09:59 ]

---

作者: 五型输入法     时间: 2009-1-11 11:38

Quote:

Originally posted by 御剑临风 at 2009-1-10 23:38: 怎么说你呢！说你小白吧 有点不尊重人了 你见过那个杀毒软件查杀流氓软件了？ 你又知道什么叫流氓软件吗？所谓的流氓软件一般都是正规公司编写的程序 他不是病毒 当然也不是什么好东西 他是属于病 ...

看来，楼主不是搞学问的人，喜欢人身攻击，连做人的道理都不懂。

说流氓软件、IE插件等微点查杀效率不高，是你自己提出来的，现在你又说杀毒软件不杀这些，你不是自相矛盾吗？你写是一回事，回答又是一回事，有这样做人的吗？

你文章中的很多东西是主观臆测，没有根据，所以本人要你举一些实利来说明，结果你举不出来，却恼羞成怒，显得没有修养。

年轻人，火气不要那么大，搞学问应该踏踏实实，主观猜测也未尝不可，但要说明是自己的观点，有待证实，别回答不出来就恼羞成怒，甚至进行人身攻击。

---

作者: 御剑临风     时间: 2009-1-11 13:00
你举证啊？ 你也没有啊 我就是看不起你

谁主张 谁举证 原则你懂吗？

你说我说的不对？ 你说出理由和依据啊

看来，楼上的不是搞学问的人，喜欢人身攻击，连做人的道理都不懂。

说流氓软件、IE插件等微点查杀效率不高，是你自己提出来的，现在你又说杀毒软件不杀这些，你不是自相矛盾吗？你写是一回事，回答又是一回事，有这样做人的吗？

你文章中的很多东西是主观臆测，没有根据，所以本人要你举一些实利来说明，结果你举不出来，却恼羞成怒，显得没有修养。

年轻人，火气不要那么大，搞学问应该踏踏实实，主观猜测也未尝不可，但要说明是自己的观点，有待证实，别回答不出来就恼羞成怒，甚至进行人身攻击。

---

作者: 五型输入法     时间: 2009-1-11 17:59

Quote:

Originally posted by 御剑临风 at 2009-1-11 13:00: 你举证啊？ 你也没有啊 我就是看不起你 谁主张 谁举证 原则你懂吗？ 你说我说的不对？ 你说出理由和依据啊 看来，楼上的不是搞学问的人，喜欢人身攻击，连做人的道理都不懂。 说流氓软件、IE插件等微 ...

l楼主也懂“谁主张 谁举证”？
在这个帖子中我没有任何主张，只是问你问题，但你的帖子中有不少论点，却没有举证。“谁主张 谁举证”，你举证了吗？
你这个人就这水平，还看不起人，狂妄！！

---

作者: kihiuyhjgh     时间: 2009-1-11 18:22
谢谢分享

---

作者: kihiuyhjgh     时间: 2009-1-11 18:24

Quote:

Originally posted by 五型输入法 at 2009-1-11 17:59: l楼主也懂“谁主张 谁举证”？ 在这个帖子中我没有任何主张，只是问你问题，但你的帖子中有不少论点，却没有举证。“谁主张 谁举证”，你举证了吗？ 你这个人就这水平，还看不起人，狂妄！！

你怀疑什么 你举证出来？ 你拿出证据？
他说他的好！ 你证明他不好啊 你说他没有举证实例

他说他举证了。那你说说实例是啥啊？ 你懂吗？？ 说说  我也想知道？

谁主张 谁举证 原则  我说你服务不好  我服务怎么不好了

你要说出来 应为 你说他没有举证的  你就要证明

---

作者: 五型输入法     时间: 2009-1-11 22:12

Quote:

Originally posted by kihiuyhjgh at 2009-1-11 18:24: 你怀疑什么 你举证出来？ 你拿出证据？ 他说他的好！ 你证明他不好啊 你说他没有举证实例 他说他举证了。那你说说实例是啥啊？ 你懂吗？？ 说说  我也想知道？ 谁主张 谁举证 原则  我说你服务不好  ...

呵呵，这就好笑了。我是一个问问题的人，要我举证。
如果说要我拿出证据来，我就拿这篇帖子，这篇帖子的某些方面只有主张（论点），没有论据（举证）。
例如，楼主说：“某个行为，无论是单一还是连串，无论有害还是无害，如果不在微点行为库的范围内，则不会被拦截。”这是一个论点（主张），但却没有论据（举证）。这就说明楼主只有主张，没有举证。
谁主张，谁举证，我就要求楼主举出实例来说明他的结论，一点也过分。微点主动防御有没有碰到这样的例子？如果有，就说出来，如果没有，也可以说明。就这么简单的事情，楼主不愿意说，还要。。。。。。唉！

[ Last edited by 五型输入法 on 2009-1-11 at 22:14 ]

---

作者: 御剑临风     时间: 2009-1-12 13:47

Quote:

Originally posted by 五型输入法 at 2009-1-11 22:12: 呵呵，这就好笑了。我是一个问问题的人，要我举证。 如果说要我拿出证据来，我就拿这篇帖子，这篇帖子的某些方面只有主张（论点），没有论据（举证）。 例如，楼主说：“某个行为，无论是单一还是连串，无论 ...

Threatfire号称智能 界面好看。。呵呵

其实呢还是 让自己动手选择的。让用户参与的过多！如果用户个个都是高手了

还用他吗？还有微点智能的说（微点奥运会唯一指定防病毒产品）

http://bbs.micropoint.com.cn/showthread.asp?tid=46584&fpage=1

---

作者: 五型输入法     时间: 2009-1-13 18:25

Quote:

Originally posted by 御剑临风 at 2009-1-12 13:47: Threatfire号称智能 界面好看。。呵呵 其实呢还是 让自己动手选择的。让用户参与的过多！如果用户个个都是高手了 还用他吗？还有微点智能的说（微点奥运会唯一指定防病毒产品） [url]http://bbs.m ...

楼主，这是另一个问题，你应该在“超级巡警”的回帖中讨论。

我知道你对微点杀毒软件非常热爱，而我对你提问也不是打击微点，本人是支持微点的，让你举例子是为了你的帖子更有说服力。

实际上，虽然各种木马病毒的行为特征各异，但只要抓住其中的最主要共同行为特征，利用人工智能分析（模仿病毒专家），就可以防止绝大多数的木马病毒，这可能是微点判别率高的原因，木马病毒也很难绕过行为特征库，当然就难于找到绕过的实例。

---

作者: kihiuyhjgh     时间: 2009-1-13 22:37
支持微点 应为他智能。省心，我懒人啊，反正我单独微点使用快半年了电脑也没啥事
用别的绿色版杀软扫描系统了 就发现一些脚本没有威胁意义和恶意代码

我的QQ号 游戏账户没啥事 呵呵

---

作者: 御剑临风     时间: 2009-1-21 21:00
微点很不错的说。

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn