微点交流论坛

标题: 菜鸟问 [打印本页]

作者: w5421319 时间: 2010-4-6 15:33 标题: 菜鸟问

我是新手，一直很关注微点。有些问题不明白，想问一下，听说微点是靠程序行为判定是否是病毒，如果一个病毒程序不运行，微点是不杀的。那么一个程序是不是要运行了之后，才能知道它干了什么？而直接看程序代码，就不知道它要干什么吗？如果可以的话，那直接扫描它的代码，而不管它是不是运行，就能把病毒行为杀了呢？这不是比扫一段特征码更有效！
如果能开发这种自动知道程序行为的系统那就好了，是不是有点天方夜谭！！！

作者: tustin 时间: 2010-4-6 15:45
楼主这是说的传统的杀毒软件，传统的杀毒软件就是发现一个新病毒后分析其中代码，然后升级给用户，这样就可以查杀此病毒了，换句话说，出现了新病毒很多时候是无法防御的
而微点是行为判断为主，特征码为辅。就像警察抓小偷，无论小偷是穿成什么样我不管，我只看你有没有偷窃的行为，有偷窃行为了我就抓你，而传统杀毒软件就是换件马甲就不认识了

作者: 李莫愁 时间: 2010-4-6 15:53
直接扫描代码好办到，但如何判断扫描到的代码是好是坏就难办了，传统的特征码是必须收集到代码，才能知道是好是坏，但没有收集到的还有更多，而没有收集都到的呢，你扫100次，他还是不知道要干嘛

主防是行为分析，不管代码写的中文英文日文法文还是加密过的乱码，他执行后肯定要做好事或者做坏事，一做坏事，哈哈拉出去咔嚓掉就没事了

作者: littlefritz 时间: 2010-4-6 16:42
微点是利用监控程序的API结点，并分析其中的关系来判断的。相对于程序层出不穷的编写方法，调用API结点并不是太多，所以监控API可以比监控源代码有更好的准确性，就是说，防御病毒，更主动，更准确。

作者: LHQ0332 时间: 2010-4-6 19:38

Quote:

Originally posted by w5421319 at 2010-4-6 15:33:
我是新手，一直很关注微点。有些问题不明白，想问一下，听说微点是靠程序行为判定是否是病毒，如果一个病毒程序不运行，微点是不杀的。那么一个程序是不是要运行了之后，才能知道它干了什么？而直接看程序代码，就 ...

你说的就是传统特征码的杀毒

作者: 董玉云 时间: 2010-4-6 22:21

Quote:

我对微点也不太了解，感觉查杀能力有待提高。:mad::mad:

作者: nange463499510 时间: 2010-4-7 13:55
版主明显没明白楼主的意思。。。
楼主说的是扫描代码判定行为，我想现在貌似还没有哪个杀毒软件能做到吧，难度太大了。。。因为编写代码的方式层出不穷，同一个行为可以有N种编写方式。而微点不管你用哪种方式编写，一运行就露马脚了！

作者: jr21066 时间: 2010-4-7 22:02

Quote:

Originally posted by nange463499510 at 2010-4-7 13:55:
版主明显没明白楼主的意思。。。
楼主说的是扫描代码判定行为，我想现在貌似还没有哪个杀毒软件能做到吧，难度太大了。。。因为编写代码的方式层出不穷，同一个行为可以有N种编写方式。而微点不管你用哪种方式 ...

代码也可以静态分析上下文.是有一定效果的

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn