Board logo

标题: 我眼中的微点,给微点的建议 [打印本页]
作者: ciwei     时间: 2007-4-5 10:25    标题: 我眼中的微点,给微点的建议

我以一个普通计算机用户的角度来写这篇文章,首先申明,因为我只不过是普通用户,所以对微点只有一个基本的了解,或者只了解皮毛,所以以下我的观点很可能招致拥护微点的高手的嗤之以鼻。不过我还是想一吐为快,相信很多人跟我一样都只是个对微点机理不慎了解的普通电脑用户。
      以上废话就不多说了,说一下我写这个的目的:个人认为,微点目前不太适合当杀软,因为是主动防御软件,所以觉得拿来做杀毒防火墙还可以。当然这么认为不是心血来潮,我是做了测试的,我在黑白网络下了两个木马,下载页面是[url]http://www.***.com/[*url],该页面有两个木马,一个叫winrcloader2,一个叫ntrootkit,有兴趣的朋友也可以自己试一下,证实我的说法。
      好了,说一下我的测试环境和测试经过吧。
      测试环境:windown xp sp2,已经打上最新的补丁。
                     咔吧斯基(KAV6.0),最新病毒库。
                     微点主动防御软件,4月4号网上下载安装的,也是升级了的。
      测试经过:先测试微点的能力吧。取消KAV6.0的随机启动,关闭KAV6.0,KAV6.0的服务需要重启关闭,否则会拒绝访问,于是重启关闭KAV的服务。安装微点,界面很漂亮,装完之后微点就报警了,报我iconpacker目录下的iprepair.dl是未知木马,于是点删除,马上运行iconpacker,能运行,不过我没换图标。于是心想,看来微点有点能力。试运行iconpacker的同时微点已经升级安装完毕。安装完了,就想着测试一下,于是上黑白网络,就是上面提供的那个地址,下了两个木马后门,下载完成,解压微点都没有报警,这个可以理解,因为微点是主动防御软件,程序需有木马或者病毒的行为的时候才报警的嘛,那么我运行一下winrcloader2好了,双击运行,没什么显示,但是我知道winrcloader2已经进驻我电脑了,可是微点依然没报警(眉头已经皱起来了),msconfig查不出winrcloader2的自启动信息,于是我用微点自带的“系统自启动信息”这个功能查出winrcloader2是注册表启动,干掉他!不过这个功能很多软件都有。另外一个ntrootkit木马后门没勇气在试了,担心微点不报警,就没运行。
      换用咔吧斯基(微点还是开着),再到黑白网络下那两个木马,山东电信下载点,咔吧斯基杀猪的声音吓了我一跳,原来下载页面会尝试把木马下载到ie临时文件夹并试图运行,幸好咔吧报警,这么说刚才开微点下木马的时候木马已经下到我硬盘里面并且运行了?更加汗~~文件下完了,两个木马一解压咔吧都会报警。微点还是没反应……第二天开咔吧,把两个偷偷进驻我电脑的木马干掉了。
      所以说个人认为微点主动防御没做到防患于未然,不能预防,看来是主动防御的缺点,因为是根据程序的行为来判断,当木马有木马或者病毒的行为动作的时候微点才会报警杀毒,如果木马或者病毒没动作的话微点就不报。我的理解是微点可以打开方便之门让病毒或者木马乃至恶意软件随意进入,但是不能撒野。打个比方吧,一个人知道自己有病,但是不发病就不治,发病了我才治。试问广大用户,你能容忍自己的硬盘不干净吗?能容忍自己的硬盘里面有病毒却不清理?
      对于大多数计算机用户来说,都希望自己的系统用得稳定,包括我,我可不能容忍一堆病毒和恶意软件住在我电脑里,就像不能容忍一个贼住在自己家里一样,其实能把病毒,木马和恶意软件在进入系统前就干掉或者拒之门外会让很多用户放心省心不少,我想这也是微点做扫描的原因吧,暂时还是用回咔吧好了(我不是咔吧的抢手,我也用过KV2007)。微点目前对恶意软件检测不是很好,扫描也没出来。等出来了再试用。用的话还是当墙好点

      以上说辞很片面,欢迎各大高手和愤青拍砖,喷口水,我是青年,但是我不是愤青,我不怕被口水淹死。测试很片面,但是说明一个直观问题,微点在预防方面做得不好,都说预防为主,不能每次都出了症状才解决吧。

      我写的是实话,不知道会不会被删贴

[ Last edited by Legend on 2007-4-5 at 10:40 ]
作者: Legend     时间: 2007-4-5 10:44
请勿在论坛里发病毒网页的网址,以免其他网友误点,原链接已做屏蔽处理,下次请直接发到virus@micropoint.com.cn我们会具体测试分析;
您可以把您的病毒样本压缩加密发到virus@micropoint.com.cn

微点主动防御软件采用行为识别和特征识别技术,实现了对计算机病毒、蠕虫、木马等恶意攻击行为的主动防御目的。伴随着已经1年时间的全面公测,在广大用户以及网友反馈的建议、意见、支持中,微点公司所有员工的不断努力测试与研发中进步完善,使主动防御技术更加成熟,并得到了广大用户及网友的认可与赞同。

微点主动防御软件设计目标主要用于防御计算机病毒、蠕虫、木马等有害程序;对于楼主所提到的“恶意软件”,由于此类程序不具有自我复制、传播等病毒和木马特性,不是病毒和木马,微点主动防御软件会在后期版本中加入对此类软件的处理,目前对部分类别“恶意软件”采用提取特征码应用特征值扫描技术防御。您同样可以把所提到的样本发到virus@micropoint.com.cn.
作者: Legend     时间: 2007-4-5 11:41
经测试,楼主提供的链接内容,微点软件可以拦截并处理成功。
测试环境:
操作系统winxp+sp2
微点软件版本
程序版本: 1.2.10569.0095
特征版本: 1.4.246.070404

测试结果:
ntrootkit.rar中的两个样本,微点报发现后门程序。
winrcLoader2.zip中的样本,有生成物和注册表动作,重启后微点报警。
附件 1: NTROOTKIT.exe.JPG (2007-4-5 11:41, 28.89 K,下载次数: 51)


附件 2: RTCLIENT.exe.JPG (2007-4-5 11:41, 28.87 K,下载次数: 48)


附件 3: winrcLoader.exe.JPG (2007-4-5 11:42, 18.48 K,下载次数: 46)


作者: nobigotry     时间: 2007-4-5 15:17
版主好快。~~
作者: chujl     时间: 2007-4-5 16:48
就像在现实社会一样,一个人没有破坏行为的时候,你管他作甚。就算明知是一个劳改释放的小偷,警察也只能抓现行呀
作者: chujl     时间: 2007-4-5 16:49
测试病毒还应注意不同杀软的特性
作者: Paxson     时间: 2007-4-5 17:09
环境不同 结果不一样 呵呵 如果一个系统只有微点的时候 还是很强的
作者: 我的路线     时间: 2007-4-5 20:46


  Quote:
Originally posted by chujl at 2007-4-5 16:48:
就像在现实社会一样,一个人没有破坏行为的时候,你管他作甚。就算明知是一个劳改释放的小偷,警察也只能抓现行呀

这个比喻很形象啊
作者: wkwx     时间: 2007-4-5 22:53
楼主的一些观点还是值得讨论一下,就是微点也需要一个扫描模块
作者: 第一次     时间: 2007-4-6 01:58    标题: 楼主说的有一定道理!但是说的也不全对!!!

楼主说的有一定道理!但是说的也不全对!!!哪个杀软也不敢保证能百分百识别病毒,只凭一两个病毒不能证明一个杀软的实力。最起码多试几个!!!呵呵!
作者: jnwjlyd     时间: 2007-4-6 08:08
我只想问下版主和楼主测试的结果咋不一样?
作者: ciwei     时间: 2007-4-6 12:12
因为病毒样本测试人员已经处理了
作者: ciwei     时间: 2007-4-6 12:15


  Quote:
Originally posted by chujl at 2007-4-5 16:48:
就像在现实社会一样,一个人没有破坏行为的时候,你管他作甚。就算明知是一个劳改释放的小偷,警察也只能抓现行呀

我更愿意把自己电脑比喻成自己的家,而不比喻成社会,真象社会上的小偷那样的话不犯事谁都管不了,但是是你自己电脑啊,你愿意病毒和木马在自己家里不管?
作者: chujl     时间: 2007-4-6 14:07


  Quote:
Originally posted by ciwei at 2007-4-6 12:15:



我更愿意把自己电脑比喻成自己的家,而不比喻成社会,真象社会上的小偷那样的话不犯事谁都管不了,但是是你自己电脑啊,你愿意病毒和木马在自己家里不管?

呵呵,只要你上网玩,就总会有一大堆东西下到电脑里,顺便进来些垃圾有什么大惊小怪的。电脑能够正常工作就行了。按照微点防火墙的功能,木马偷资料的时候总要向外链接吧,微点能够报警就行了
作者: 铁马冰河     时间: 2007-4-6 20:28
楼主的话有同感,我也是把微点主要当防火墙用的,希望铁杆微点迷们别生气,我当时是用一个微点的,可是惨痛的教训让我用双杀毒。就是前天局域网一台微点保护的电脑中威金崩溃了,ghost恢复后用NOD32杀出一大堆威金(C盘除外),然后升级微点,今天卡巴和NOD32又先后在网上邻居打开那台电脑E盘的一个共享文件夹时报警威金感染,而有讽刺意味的是被感染的三个文件恰恰是微软为解决威金的Logo_.exe补丁(2000、2003、xp),根据往常的经验,如果用卡巴或NOD32扫描的话肯定还有一大堆。只是当时已经下班,所以只有等周一去干了。
  我是支持微点做大做强的,所以尽管在公司安装微点大部分已经因为中毒被要求换下,但是在力所能及的范围我还是推荐微点,不过对那些胆大包天到处乱闯的主儿我还是要求他们再装一个卡巴斯基或者NOD32等杀软的。
作者: lh2188     时间: 2007-4-6 20:44
每个软件,都有自己 的强的一方面.我刚用微点,观察一段时间再说
作者: 铁马冰河     时间: 2007-4-6 20:58
对于“单独微点很强”的说法我觉得与我这里的事实完全相反,我最早用微点是四个月前,我在局域网安装微点是三个月左右,装了近三十台(宿舍的个人电脑单微点不计入,双杀毒三台),其中双杀毒的四台,现在剩下的都是四台双杀毒的,其中一台中毒ghost恢复过一次,单独微点的现在剩下两台,这两台最少的ghost恢复2次,做打印服务器的因为各部门都在上面建共享,中毒是家常便饭,三个月内恢复4次了。其它的都因为中毒被要求更换杀毒软件(中毒无法扫描,要用其它杀软,有的已经多次恢复结果很快又中毒,所以微点受到用户怀疑),结果微点出师未捷身先死……
我自己用微点+NOD32到现在没被病毒攻陷过,我在自己机上为中毒的电脑网络杀毒,试验病毒等等都干过。所以不敢苟同对微点的过分吹棒。微点是我喜爱的软件,但是她还在成长中,还有这样那样的缺点需要我们去发现,所以低调行事,埋头苦练内功是必要的。
作者: ciwei     时间: 2007-4-7 17:32
同意铁马冰河的说法,现在的微点更适合当墙来用,微点目前靠行为判断来杀毒,但行为判断的定义估计还不怎么强,况且单纯靠行为判断的话也不可能做到100%准确捕获病毒木马的行为,所以造成了微点对很多病毒和木马无反应,所以微点出扫描是必须的,不过刘旭是瑞星出来的,希望做出来的不要像瑞星那样。
作者: caiwei1979     时间: 2007-4-9 13:27


  Quote:
Originally posted by chujl at 2007-4-5 16:48:
就像在现实社会一样,一个人没有破坏行为的时候,你管他作甚。就算明知是一个劳改释放的小偷,警察也只能抓现行呀

我觉得这个比喻不对,小偷不偷就不是小偷也有可能变为好人,病毒是程序就是病毒变不了。
作者: ciwei     时间: 2007-4-10 10:11


  Quote:
Originally posted by caiwei1979 at 2007-4-9 13:27:

我觉得这个比喻不对,小偷不偷就不是小偷也有可能变为好人,病毒是程序就是病毒变不了。

同意,不过可以理解微点粉丝的感情
作者: 闪电战     时间: 2007-4-12 17:28
可以装了微点再配个不开实时监控的杀软辅助~定期杀下毒就行了
作者: ant1214     时间: 2007-4-12 19:07
微点杀毒有点点慢 可能是资源占用少的缘故  下了几个病毒试 全杀了 不过打开病毒文件根目录的时候发现没被删除 但稍过一会后(几秒钟)检查 病毒就被删了 几秒钟的时间 不知道会不会被黑客爱好者抓住机会
作者: ant1214     时间: 2007-4-12 23:52
加大宣传力度 增加微点和其他论坛的友情连接 我想应该有必要
作者: yzwwd     时间: 2007-4-13 19:35


  Quote:
Originally posted by 第一次 at 2007-4-6 01:58:
楼主说的有一定道理!但是说的也不全对!!!哪个杀软也不敢保证能百分百识别病毒,只凭一两个病毒不能证明一个杀软的实力。最起码多试几个!!!呵呵!

同意!
作者: miao_ker     时间: 2007-4-13 22:11    标题: 看了楼主和超级版主的帖!!!长见识!!!

楼主和版主都很值得学习!!!都是为了让微点更好!!!
作者: ciwei     时间: 2007-4-29 22:25
不是我来教唆大家不用微点,我的态度是大家都应支持国产,特别是国外杀软占据国内大部分市场的情况下更应该支持微点这个新生儿,只是微点现在还是有点弱,能做到治标又治本的话何乐而不为呢

所以对单用微点就已经很强的说法本人是不敢苟同的,至少应该搭配一个绿色版的杀软,需要的时候可以用来扫描扫描。

那些整天说微点很强很强的我不知道是不是盲目跟风
作者: 如风过路     时间: 2007-4-29 22:40
支持楼主的意见,微点也应该更欢迎这样的意见,因为一味的赞扬只会使人迷失方向,批评才能促进微点的发展!!
作者: 如风过路     时间: 2007-4-29 22:40
真正支持微点的就应该多提意见哦
作者: tyk224111     时间: 2007-5-6 21:59
微点的主动防御效果很好,没有必要加扫描功能,以免增加一大堆病毒库。
作者: 梁山好汉     时间: 2007-5-7 12:47
讨厌楼主,动不动就愤青!!!!!!!!!!!!!
作者: 林克     时间: 2007-5-7 12:53
你能容忍自己的硬盘不干净吗?能容忍自己的硬盘里面有病毒却不清理?
作者: ly68113555     时间: 2007-5-9 11:59


  Quote:
Originally posted by 林克 at 2007-5-7 12:53:
你能容忍自己的硬盘不干净吗?能容忍自己的硬盘里面有病毒却不清理?

我能
作者: ly68113555     时间: 2007-5-9 12:02
谁的电脑多少没一点病毒~~ 只要不威胁你的系统 能怎么了~~ 不就是一点破毒么~我还真没惧过~ 微点现在还在完善~ 想扫描功能 以后就出~ 到时候给你们这些人电脑扫描一下 心里就 舒服多了
作者: friends     时间: 2007-5-13 11:33


  Quote:
Originally posted by ciwei at 2007-4-13 10:11 PM:
不是我来教唆大家不用微点,我的态度是大家都应支持国产,特别是国外杀软占据国内大部分市场的情况下更应该支持微点这个新生儿,只是微点现在还是有点弱,能做到治标又治本的话何乐而不为呢

所以对单用微点就已经很强的说法本人是不敢苟同的,至少应该搭配一个绿色版的杀软,需要的时候可以用来扫描扫描。

那些整天说微点很强很强的我不知道是不是盲目跟风

同意!

[ Last edited by friends on 2007-5-13 at 11:36 ]
作者: ciwei     时间: 2007-5-21 11:38
我被说成愤青了-_-!

不说病毒和木马,微点对流氓软件拦截并不好,流氓软件已经安装了微点还是没反映
作者: segourigh     时间: 2007-5-21 13:49
看得出lz对微点持怀疑态度,这很好,微点就需要多些不同声音来促进自己的进步。流氓软件不是木马,病毒,不具备自我复制,传播的特征,超版已强调多次,微点不拦截这类软件也很正常,就拿网络实名来说,有的深恶痛绝,有的却不以为然,微点不介入这些纠纷中可以理解,免得某些人又说微点误杀其心爱的3721等等,不过微点还是提供了手动删除恶意程序的功能,可以在自启动信息和模块/进程里找出所有的其它软件一一清理。
作者: jigong9898     时间: 2007-5-21 14:03
呵呵,踢馆的来了。
不过欢迎踢馆,只有开放的心胸才能造就一流的软件,欣赏版主lengend的态度,呵呵,可千万不要搞得像360一样的一言堂……
作者: ciwei     时间: 2007-5-21 16:12
呵呵,对,目前微点的定位还是病毒木马防御软件,我扯过头了,不过那的确是市场
作者: nalan1m     时间: 2007-5-28 16:58
同意楼主的一个观点,多加一个扫描的功能,这也让用习惯了其它杀毒软件的用户心里有底(大多数用户的习惯,适应更有利于吸引用户)
作者: lkmheaiso     时间: 2007-5-28 19:02
你的特征版 本号是不是比我们的高呀!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn