Board logo

标题: 【个人谈点对微点先进技术的理解,兼麦咖啡的一些理念】(转帖) [打印本页]
作者: baalism     时间: 2007-1-17 17:49    标题: 【个人谈点对微点先进技术的理解,兼麦咖啡的一些理念】(转帖)

这个帖是从中天在线论坛上面得来的,有主帖与跟贴的内容,我选择了发上来,内面的内容很有说服力

楼主remcn :

【个人谈点对微点先进技术的理解,兼麦咖啡的一些理念】

  补充一下:我所说的下面这些文字,只是我自己的认识水平有限,个人看法而已。有错误请指出,非常感谢!


  不怕丢人,我对微点不太熟悉,对麦咖啡更是一知半解。只能通过简单的说明进行对比,看看微点高在什么地方。这贴子不是为了吵架的,如果想吵架,请另找地儿开枪。

  微点第一个特点(以下特点均是官方技术说明文字):

① 创立动态仿真反病毒专家系统:对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼成病毒识别规则知识库。模拟专家发现新病毒的机理,通过对各种程序动作的自动监视,自动分析程序动作之间的逻辑关系,综合应用病毒识别规则知识,实现自动判定新病毒,达到主动防御的目的。

  据我理解,这一特点的主要意思是:用病毒识别规则知识库来判断某一文件是不是病毒。而这个病毒识别规则知识库是根据反病毒专家判定病毒的经验(对病毒行为规律分析、归纳、总结)而成的。

  也就是说,某一程序,当它在系统中进行某一动作,而这一动作恰恰符合病毒识别规则知识库中的一种或一类,则微点就将其判定为病毒,进而制止它的犯罪行为。不知道我这么理解对不对?

  如果我的理解没有错得太离谱,那么这一技术特点与麦咖啡相比好像并没有太大的优势。在我看来,所谓的病毒行为规律,不外乎就是修改文件(这里的文件概念包括注册表、可执行文件等所有的文件格式)、读取文件(包括密码等私密信息)、建立文件、删除文件(格式化也是删除的一种方式)等几种有限的方式吧?

  打个简单的比方,反病毒专家可能认为:非法修改注册表往往是病毒的一种行为方式,只要非法修改注册表就触动了病毒识别规则知识库。那么,微点是通过某一程序是否非法修改注册表来判断它是否为病毒的(当然不只判断这一条)。而麦咖啡加一条规则,直接禁止对注册表进行操作(你自己指定可以修改注册表的程序除外)。

  也就是说,微点病毒识别规则知识库中的所有病毒行为判断规则,在麦咖啡中都可以用一种更为极端的方式来实现。你认为它在系统文件夹下私自写文件改文件是病毒行为,那麦咖啡直接就禁止除了你指定的程序外不能动系统文件夹下的任何文件。哪个更极端?

② 自动准确判定新病毒:分布在操作系统的众多探针,动态监视所运行程序调用各种应用编程接口(api)的动作,自动分析程序动作之间的逻辑关系,自动判定程序行为的合法性,实现自动诊断新病毒,明确报告诊断结论;有效克服当前安全技术大多依据单一动作,频繁询问是否允许修改注册表或访问网络,给用户带来困惑以及用户因难以自行判断,导致误判、造成危害产生或正常程序无法运行的缺陷。
  首先,我认为,越来越多的软件开始借鉴一些病毒的技术。在这种情况下,如果一款新软件像以往的病毒一样采用新的接口动作,微点如何判定这一新软件到底是不是病毒?尤其是,像一些涉及系统底层接口的软件,怎么判断?有没有误判的可能性?
 
  第二,我们平常所用的软件基本是有数的。就算出现了新软件,对一个非新手来说,它的功能、需要的支持基本上也能断定。比如新出了一款浏览器,根据它的软件说明,我想作出一个大致的判断应该不难:需要通过80端口上网,需要对缓存区进行读写,需要支持HTTP和FTP下载支持等等。而这些东西,在麦咖啡里完全可以通过自定义规则中的排除来搞定,在这几条限定规则中把这款浏览器的进程给排除掉,就万事OK了。

  也就是说:微点能做到的,麦咖啡也能做到,只是对使用者的技术水平要求不同而已。
③ 程序行为监控并举:在全面监视程序运行的同时,自主分析程序行为,发现新病毒后,自动阻止病毒行为并终止病毒程序运行,自动清除病毒,并自动修复注册表。

  发现新病毒后自动阻止病毒行为,对一款防/杀毒软件来说都是必要的。问题是,杀软的进程优先级比较麻烦。如果病毒进程的优先级高于杀软,想把它干掉恐怕不太可能。微点在没有系统底层代码的前提下,能保证这种情况不会发生吗?要知道,几家国际知名杀软可大多拿到了微软公布的部分底层代码。
作者: baalism     时间: 2007-1-17 17:49
④ 自动提取特征值实现多重防护:在采用动态仿真技术的同时,有效克服特征值扫描技术滞后于病毒出现的缺陷,发现新病毒后自动提取病毒特征值,并自动更新本地未知特征库,实现“捕获、分析、升级”自动化,有利于对此后同一个病毒攻击的快速检测,使用户系统得到安全高效的多重防护。
  特征值扫描确实滞后于病毒的出现。我理解微点的这一技术特点,应该是:通过行为判断技术判定病毒,接着在本机直接提取特征值加入本地未知特征库,从而避免变种损害,以及官方升级病毒特征的麻烦。

  这一点非常好,严重支持。麦咖啡能达到的程度是:即使知道你是病毒,即使我不想杀毒,并且直接手动启动该病毒,也无法运行。记得剑盟某牛人发过一条麦咖啡的规则,开启之后计算机处于“无敌”状态,任何操作都不能进行,除非你手动指定哪个程序是良民(包括系统本身极其重要的一些进程,比如SVCHOST)。孰优孰劣,自行判断。

⑤ 可视化显示监控信息:对所监控程序行为的信息可视化显示,用户可随时了解计算机正在运行哪些程序,其中哪些是系统程序,哪些是应用程序,还可进一步了解程序是何时安装,什么时候运行,运行时是否修改了注册表启动项,是否生成新的程序文件,程序是否具有自启动,程序由谁启动执行,程序调用了哪些模块,以及当前网络使用状况等等。用户直观掌握系统运行状态,并依据其分析系统安全性。既可用作系统分析工具,又可作为用户了解计算机系统的学习工具。
  非常赞同的一点是:可视化显示监控信息,可以作为用户了解计算机系统的学习工具。因为这种可视化显示,有N多的进程查看软件可以做到。如果是为了看这个,我想,也并没有必要一直开着它占用系统资源,需要看的时候打开看一下就行了。对新手来说,这个特点着实不错。

  总而言之,我的看法:微点开辟了一条杀毒防毒的新路子,可喜可贺。国产杀/防软件为有微点应该可以长出一口气了。

  但是,诸位,请不要由此就声称微点天下无敌,因为这并不是事实。可能对某些用户来说,微点直观、聪明,但并不代表它的功能别的软件就无法企及。从另一个层面上来说,如果熟用了麦咖啡,自己配置规则,除了那个可有可无的可视化监控信息化,其它的统统不在话下。

形象点说,
微点是:发现谁在做坏事,制止并将其投入大牢或枪毙,完好地解决他带来的一切后果。
麦咖啡是:一套详细的制度,保证任何想犯法的人都没有犯法的机会。
写到这里,怎么突然发现这简直有点像中国跟美国的执法系统——这是题外话,不要多想,呵呵。

最后,祝微点越走越好,不管瑞星多么混蛋,都不要阻碍了微点前进的脚步。
建议:计算机水平比较高的用户,不妨试试麦咖啡企业版。对参数、进程名、规则不耐烦的朋友,微点绝对是最佳的选择。
作者: baalism     时间: 2007-1-17 17:50
wsheng82 跟帖:

1.“不外乎就是修改文件(这里的文件概念包括注册表、可执行文件等所有的文件格式)、读取文件(包括密码等私密信息)、建立文件、删除文件(格式化也是删除的一种方式)等几种有限的方式吧?

这个太基础了,所谓病毒行为规则包括感染(修改文件)、安装钩子程序、添加修改SPI、注入进程、非法开启端口、等等。LZ提到的Mcafee所谓极端的操作,其实就是简单的封锁目录或者注册表,其实要做到这点非常容易,就用windows权限管理也可以操作。这一点相比较,Mcafee没有什么优势,反而显得单一。假如设定封锁windows目录或注册表,那要安装一个驱动程序的时候,LZ肯定要禁用Mcafee的这条规则,假如此时病毒趁机进入了呢?当然你可以把某个程序添加到排处列表,但是,对于这样一次性的操作,你会那么麻烦吗?更何况,有些病毒根本不需要自我安装到系统目录,比如熊猫烧香,直接感染所有能感染的可执行文件,LZ会设定Mcafee锁定所有硬盘驱动吗?

2.“像一些涉及系统底层接口的软件。。。”首先,没有程序比操作系统更大的权限。一般用户所使用的应用程序的权限都为Ring3,大部份底层功能受到系统的限制不可访问系统保护的资源。如果要说到系统底层相关的病毒,我只想到CIH(自CIH以后,似乎没有什么病毒有更大的突破),但是CIH只能感染Win 9X,对NT无效,因为9x下面是可以用中断门和调用门等来进入ring0,2k/xp下面由于某些限制,只能通过调用门来进入ring0。要进入系统底层,写个driver。需要安装驱动的软件也有,look'n'stop,大家都知道每次安装驱动的时候系统都有提示的。所以这个问题上,不存在。。。退一步来说,即使真的有凶猛的病毒突破NT底层,那么想一下会做什么?又回到第一个问题上。要想运行在系统底层,不容易,有一些指令是非常危险的,如果错用,将导致整个系统崩溃,病毒自己也崩溃了。要想突破NT底层也不容易,真正运行在NT底层的软件,我知道的,好像只有1个,那就是Norton公司的,因为他有微软授权的win代码。所以norton是最最稳定的,在国外使用率也是最高的。扯远了。。。

其实Mcafee是微点从技术上来说,完全不是一回事,Mcafee属于规则性AV,微点属于主动防御性AV。我觉得这没什么太多的可比性。

好像很多人都知道,有一个连环目录藏病毒的方法,很多杀软都没有办法,包括Mcafee(其实最先被发现的就是Mcafee),不知道微点的主动防御能否有效,试一下再说。
作者: baalism     时间: 2007-1-17 17:50
反黑先锋 跟贴


欢迎测试!

QUOTE:
原帖由 一视同仁 于 2007-1-16 09:45 发表
楼主说的有道理,也是我所想的,呵呵。

我从咖啡阵营回到卡巴阵营,就是因为受不了那么多的规则,安装卸载软件麻烦啊,有时候我卸载普通软件都要经过咖啡的允许。虽然这么做的结果就是安全,因为我的电脑里面前一阵子用同事的U盘,进来过sxs.exe,但是没有能形成感染,就是咖啡强大规则的功劳。但是太严格也不好,我辛辛苦苦FTP了一包工具,刚完成,就被咖啡一锅端了,白忙了。

现在试用微点,感觉操作和咖啡相比,太简单了,不用那么伤神费劲。但是时间短,能力还没有完全验证。至于微点的理念,因为目前卡巴斯基、麦咖啡都在朝提前防御这个方向研究,诺顿好像也在研究,这是目前国际上最先进的理念。虽然可能表现形式不大一样,但是最终的目的都是一样的——在病毒形成危害之前消灭它。我很高兴看到国内企业在这个方面和国际巨头站在同一起跑线上,甚至超越了很多国际知名厂商,这很好。但是国内企业有个最大的毛病,就是发展到一定程度,就不思进取了。比如瑞星,这几年光看它做广告了,宣传的煽动成都一年比一年高,但是技术上没有多少实质性突破,监控还是很垃圾,形同虚设。07版又跟在江民屁股后头弄了个启动前扫描,还宣传什么虚拟机脱壳技术,这些早就有的东西到他那里就成了革命性的技术突破!国内的江民早就有类似技术了。瑞星竟然还好意思宣传。

希望微点一路走好,更希望几年之后人们提到最强的杀毒软件,里面有中国的产品。

简单说,微点=HIPS+人工智能判定+全自动阻击+全自动反击 

微点主动防御软件主要采用以下方式判断有害程序: 已知特征判断>未知特征库判断>程序行为判断

微点是依据程序行为判断病毒的,微点判断病毒的过程是一个复杂的逻辑判断的过程,不是依据程序的单一的程序行为判断的。所以微点不会每个动作都提示用户操作,只有在发现病毒行为时才会提示用户操作并及时作相应处理;现在杀毒软件判断病毒是靠工程师通过很多工具分析和判断,然后再确认,而微点软件对于这种人为判断病毒的方法变成了程序,所以说微点能够自动准确判断新病毒。安装了微点的机器相当于拥有了一套工程师判断病毒的系统。

微点判断为未知病毒的程序绝大多数都是病毒,因为一些正常软件有类似病毒行为才导致微点存在误报的现象,但是微点一直在努力使误报率越来越小,而事实也是现在微点的误报率确实比较低了。

nasdaq 跟帖

呵呵,这帖子好,讨论气氛浓,我说点儿我的看法:

我认为McAfee要是和其它杀软比起来,那么它的监控规则确实很具有优势。

但是如果用McAfee和微点相比,那McAfee监控规则最多只能说是微点的一个部分而已,两者差着一些级别。之所以差着级别,并不是我说东方微点公司的实力要远胜于NAI,而是二者的设计架构理念是不一样的,架构上存在有代差。

PS:NAI是我非常尊敬的一家安全公司,McAfee、Sniffer Pro、FoundStone,随便哪一个都是响当当的名字~!

我们先回顾一下特征码的发展史,最早的特征码是取连续字符串,那后来为什么改为间断拾取特征码了呢?因为连续字符串太容易被破掉,随便添一条无意义的指令,连续字符串就被打破了。现在搞免杀得那帮黑小子,就还在继续玩儿花指令呐~!

我觉得行为也是这样的,我承认McAfee具有一定的防护效果,但我认为McAfee的访问保护规则就像连续特征码那样非常死性、非常生硬,稍加变化就可以被绕过。譬如说网上盛传一篇文章用禁止往名为3721的目录中写东西来对付3721插件,显然随机目录和随机文件名不是什么疑难技术阿,好象某个版本的QQ就展示过吧。说句不好听的,这条规则不是把McAfee降格与智慧星、木马杀客之流的文件名杀毒软件相提并论了么?!

McAfee并没有错,因为访问保护规则是McAfee的一项附加功能,是McAfee为了方便企业用户做高级管理而开发的一个实用的功能模块。这就是我前面说到的架构设计理念不同的问题,访问保护规则只是McAfee的一项附加功能,而微点软件则是建立在实时行为监控分析的基础上。

好多人老在问微点是怎么判断的阿?其实自己好好分析一下微点公开披露的功能模块,真的能知道好多信息。随便说一个点,谈谈微点日志系统的重要作用,这也是McAfee访问保护的一个重要缺点。

从理论上讲单凭某一时刻的程序行为是不足以判定程序有害性的,所以,大家要注意微点有极其丰富的日志系统。至少我们可以说微点是用某一时刻的程序行为连同该程序历史的行为记录进行混合分析才给出判断结果的,这一点的准确性必然会高于基于时刻行为判断的McAfee,误报率也必然会低于基于时刻行为判断的McAfee。

我最近瞎编了一个公式:微点==HIPS+人工智能判定+全自动阻击+全自动反击,可以高质量的完成系统防护与病毒查杀工作。

McAfee做多做到了一项半,HIPS+阻击,所以说McAfee的访问保护只是个功能模块,系统防护还可以做到,但病毒查杀可就谈不上了。

微点凭什么可以完成高质量的全自动反击,彻底绞杀病毒衍生物、复位注册表键值?主要靠的就是日志系统的威力!这也就是官方一再强调微点随系统启动非常重要,建议大家不要把微点改成手动启动的重要原因。为了完成高质量的杀毒工作,为了提高灵敏度,为了降低误报,微点日志都必不可少。

PS:近来论坛上出现了好几起诡异的情况,有的程序在某个用户那里微点报警,而在别的用户那里微点不报警。具体资料我是拿不到的,但我猜测应该跟日志系统有很大关系,那个用户多半没有让微点自动启动。

最后补两句,关于微点优先级的问题。由于微点的工作原理,抢先加载对于微点来说非常重要。我不太懂编程,但估计微点似乎使用了很前卫的技术,据我观察,电脑的启动顺序是:Windows第一,微点第二!我从没有见过有其它程序比微点启动的更快!有兴趣的朋友看一下进程综合信息的启动时间,或者自己分析下进程启动日志,看看我是不是在信口开河?!

重在参与,希望大家都进来讨论,互相帮助,互相提高。
作者: soonbest     时间: 2007-1-17 20:10
好东西啊,多讨论讨论,我们可以受益。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn