微点交流论坛

标题: 主防拦截了一个未知病毒能否连未知病毒行为特征也一并提取？ [打印本页]

作者: howl_home 时间: 2012-9-12 13:50 标题: 主防拦截了一个未知病毒能否连未知病毒行为特征也一并提取？

我知道主防会提取特征值，但是有些黑客会把病毒加密加强壳，这些病毒专业的工程师逆向起来也很麻烦的，作为软件当然和人脑不能比，依靠终端软件提取加密加强壳的特征值不现实。
解决方法1要么提取哈希，这个太弱了，只要改下就能过。
2要么追踪病毒的行为把这些行为提取出来，能较好的杀掉同类病毒，不过有误报的时候。
3通过“云”等快速上报，不过微点没有“云”:(而且黑客生产的同一家族的病毒很多，如果每个都上报攻城师的负担太重了。

个人认为的比较合理的解决方法是：拦截到了病毒或者可疑程序（部分行为达到了病毒的标准）

做出标记【编号 — 方便区分

和病毒有关的信息 — 哪来的？网上下的话带上url，时间，地点

那些生成/更改 — 经常都有病毒生成删除\文件注册表导致系统异常的！

行为 — 所有行为包括一些正常行为】

把标记和病毒文件上报，病毒文件用来给攻城师分析的，标记通过微点的服务器给个个终端分发，及时跟新。终端检测到符合标记的程序迅速拦截，病毒分析有结果后把特征值通过服务器分发，替换之前的标记:)

作者: Legend 时间: 2012-9-12 14:28
感谢您对微点的关心和支持，您的建议已经转交相关部门，我们会认真详细讨论，欢迎您继续关注和使用微点主动防御软件。

作者: 真小读者 时间: 2012-9-12 14:51
好建议，支持。

作者: 坚守梦想 时间: 2012-9-12 21:45
许多问题都搞不明白，看看身边的人也没在用微点的。

作者: 932356023 时间: 2012-9-13 19:08
标记如果是微点本地程序生成的。

那么在上报微点服务器分发后唯一的作用就是让其它用户的微点本地程序直接获取本来运行后也能获取的标记。

那请问，有标记就要拦截么？如果要，这样就是让每个用户的微点本地软件帮其他用户的微点本地软件工作。通过微点服务器加快微点用户的拦截速度。

但是，标记相当于误报，未确认前就让其它微点软件提前拦截可行么？而且靠服务器分发还兴师动众！不经济！

再者因为标记是模糊的东西，而且所有微点本地程序的行为分析一样。
如果一个标记程序运行过程中被微点判定为恶意程序并且进行拦截，那就拦截了。
如果微点觉得有点可疑但是达不到拦截的标准。那么这个人电脑上不拦截，生成标记给其它用户拦截么？

除非楼主说的是怕微点想拦截某个标记，但是运行后拦截不住了，无法回滚了？
所以生成标记，提醒其它用户的微点提前拦截这个行为咩？

所以我还是不知道楼主在说啥= =:lol:

总结：楼主提出的这个概念从实用性来说还不如“云技术”哟:lol:

[ Last edited by 932356023 on 2012-9-13 at 19:11 ]

作者: 电视看 时间: 2012-9-13 20:37
是的现在的微点还有待改进呢，杀毒不给力呢

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn