微点交流论坛

标题: 给微点的建议。 [打印本页]

作者: wcj20236 时间: 2009-3-12 10:26 标题: 给微点的建议。

如题，个人建议罢了。

1.    微点应该对行为识别的动作再提前一点，有些样本居然需要等到动作完成才判断是可疑。当可以判断病毒的时候，当机立断，立即阻止和删除样本主体和衍生物。       减少不可预估的后果。

2.    微点对于已知病毒的判断和清除有个不妥的地方，就是仅仅清除已知病毒体，对于其它衍生物，好多无视。当发现一个程序中含有已知病毒的时候，明显可以把所有衍生物清除。  可能会导致部分软件正常使用，但为了安全，报已知的就可以把所有生成都一并清掉。       微点对于已知病毒的清除有时候反而不如对于未知病毒的清除效果。

3.    微点的跟踪模式（所谓的探针），需要优化，样本虽拦截，但最近确实能感觉出，在微点的机器中运行样本后，系统稳定性变差了，再次运行样本，虽然微点能拦截的样本，还没看到，蓝屏了。    再次重启后系统稳定性就相当差了。

一个微点使用接近2年半的看法。    就不说微点的优势了。  主要是提提意见。

作者: 心随风落 时间: 2009-3-12 10:50
建议还是不错的，不过从实际出发，有的还是有点不符合要求，样本也是程序，无论它做了什么动作，没有危害，你总不能一棒子打死吧，应该是权衡利弊，在有威胁的时候就阻止这就是对的。

已知病毒那个，你运行2次看看。效果不一样的

第三这个呢，其实从稳定性出发还是很好的建议，但是我也是喜欢玩样本的人，基本没遇到你的这种情况，不知道朋友你是怎么测试的样本？是特定的样本导致还是几个样本综合性的导致，还是样本程序自身的兼容性不好？

作者: hanker 时间: 2009-3-12 10:58
楼主测试有问题吧
不用说别的就说已知，微点看到就删除了，哪里还有什么病毒释放的衍生物...

作者: wcj20236 时间: 2009-3-12 11:03

Quote:

Originally posted by 心随风落 at 2009-3-12 10:50:
建议还是不错的，不过从实际出发，有的还是有点不符合要求，样本也是程序，无论它做了什么动作，没有危害，你总不能一棒子打死吧，应该是权衡利弊，在有威胁的时候就阻止这就是对的。

已知病毒那个，你运行2次 ...

对于你的第一个回答，微点就目前的版本，80%以上非已知样本都是等待样本运行结束后判断的。

第二个回答，对，已知病毒第二次运行是会删除衍生物，但貌似这需要第二次的条件吧，没有第二次的条件不会清掉的，再说，第一次的不清理可能就导致系统的不稳定的出现，

第三个回答你，不是特定的样本，比如你运行10个随意样本，你运行到第五个时候，蓝屏一次或其它异常情况，虽然下次再次启动电脑可以启动起来，并且表面没啥病毒，但系统稳定性已经相当差了。

作者: wcj20236 时间: 2009-3-12 11:07

Quote:

Originally posted by hanker at 2009-3-12 10:58:
楼主测试有问题吧
不用说别的就说已知，微点看到就删除了，哪里还有什么病毒释放的衍生物...

呵呵，你错了，已知病毒不一定是单一的已知病毒，可以包含在非已知病毒内，或正常程序内，当微点拦截其中含有的已知的病毒后，程序变成了残废，反而容易引起系统问题，影响稳定性。就更别说一般人的清理掉残余了。

作者: hanker 时间: 2009-3-12 11:12
如果说是某个程序里被置入了已知木马，那微点应该就只删除那个已知木马，其他的不是应该是不删除的，这种是对的。
对系统应该没有什么影响吧？安装的又不是什么驱动之类的。
比如说安装了一个暴风影音，里面被置入了木马，可能会造成暴风影音不能使用，那直接卸载它不就行了.....
总不能让微点把暴风影音给删除吧？

作者: 心随风落 时间: 2009-3-12 11:13

Quote:

Originally posted by wcj20236 at 2009-3-12 11:03:

对于你的第一个回答，微点就目前的版本，80%以上非已知样本都是等待样本运行结束后判断的。

第二个回答，对，已知病毒第二次运行是会删除衍生物，但貌似这需要第二次的条件吧，没有第二次的条 ...

80%不是吧，病毒的程序行为有哪些，你都清楚吗？微点是在病毒的什么行为的时候就拦截了你也知道？太强悍了哥们

不能因为人家释放了一个已知就全部歼灭啊，又不是封建社会的株连制度，这是法制社会。不能因为一个罪犯在旅馆住宿了一晚，那整个旅馆的人都要受审吧。

说真的，我运行的样本也不在少数，基本有空的时候，都会去测试样本的。很少遇到你这种情况，基本一个月出现1-3次而已，没有你的这样多！

作者: wcj20236 时间: 2009-3-12 11:16 标题: 回复6楼

某些情况下确实需要一并清除，你举的例子是捆绑而已，如果是替换呢，是不是很容易出问题呢。即使是捆绑，清除掉并没有关系，被确定捆绑已知病毒的东西本来就可以有理由直接清掉。

[ Last edited by wcj20236 on 2009-3-12 at 11:21 ]

作者: wcj20236 时间: 2009-3-12 11:26 标题: 回复7楼

多试几个行为较多的样本看看吧
至于你在7楼的第二段话， 8楼回复了你。

作者: wcj20236 时间: 2009-3-12 11:29
我发现提几个意见没几个人用心去看或想的。反而只是片面的来攻击我。呵呵。。抬高不是好处，任何再优秀的东西都需要去寻找问题，而不是说好啊好啊。意义不大。

作者: wcj20236 时间: 2009-3-12 11:30
超版看到请锁帖。

作者: 心随风落 时间: 2009-3-12 11:34
如果连最基本的讨论都没有，建议的意义不就不存在了！

作者: zgtp 时间: 2009-3-12 12:51

Quote:

Originally posted by hanker at 2009-3-12 10:58:
楼主测试有问题吧
不用说别的就说已知，微点看到就删除了，哪里还有什么病毒释放的衍生物...

很好的微点

作者: snhao 时间: 2009-3-13 08:18
大家都是在讨论并没有一句攻击你的话，你不能因为别人不同意你的观点就认为别人是在攻击。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn