Board logo

标题: 特征值扫描技术是否成为传统杀毒软件难以克服的重大缺陷? [打印本页]

作者: soft_killer     时间: 2005-10-30 15:13    标题: 特征值扫描技术是否成为传统杀毒软件难以克服的重大缺陷?

特征值扫描技术是否成为传统杀毒软件难以克服的重大缺陷?

    杀毒软件以特征值扫描技术作为理论基础,其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特征库中的特征值逐一比对,判断该目标是否被病毒感染。杀毒软件厂商只有发现并捕获到新病毒后,才有可能从病毒体中提取其特征值。这种特征值扫描技术是在新病毒出现后,以滞后的单个病毒人工捕获、滞后的人工分析、滞后的版本升级为防范机制,要应对每小时数种、数十种网络新病毒的威胁,显然力不从心,难以承担网络病毒防御的重任。杀毒软件不尽快改变始终被病毒牵着鼻子走的现状,将使整个反病毒产业深陷“道高一尺,魔高一丈”的恶性循环。

    当前杀毒软件厂商依然沿用“亡羊补牢”的事后“补丁”式技术路线,期望通过频繁的版本升级克服其技术的重大缺陷——杀毒软件对新病毒的防范始终滞后于病毒出现。以国外某杀毒厂商2004年共截获28000多个病毒为例:平均每小时约有3.2个新病毒出现,从捕获病毒,到分析病毒样本,最后完成杀毒软件升级之前最快速度为4小时(数据来自国外某著名杀毒厂商),而在这4小时之内又约13个新病毒出现。这种滞后杀毒技术固有的重大缺陷,导致用户不能对网络新病毒及时防御,被动处在一个又一个“时间差”的危险之中。即从一种新病毒出现,到厂商人工捕获病毒,再到分析病毒样本,最后完成杀毒软件升级之前,这一段时间内,用户对该病毒没有防范能力,处在“不设防”状态。
   
     因此,特征值扫描技术已经成为传统杀毒软件难以克服的重大缺陷。
作者: windows     时间: 2005-11-5 19:48    标题: 回复: 特征值扫描技术是否成为传统杀毒软件难以克服的重大缺陷?

目前几乎所有的杀软都是依靠特征值扫描技术!所以行为判断是反病毒产业的革命!
作者: 中国人     时间: 2005-11-9 10:13    标题: 回复: 特征值扫描技术是否成为传统杀毒软件难以克服的重大缺陷?

将军来咯...要顶一下...
作者: 梦幻家园     时间: 2006-6-3 18:07
杀软革命 从微点开始.
作者: xyrj     时间: 2006-8-18 15:59
是不是有了微点,其它的毒软就可以不要了?
作者: lx6683102     时间: 2006-9-13 11:15
微点+个人意识+?
请高手指点一下
作者: 小黄     时间: 2006-10-26 20:33
微点是新生物,需要一个不断成长和自我完善的过程.如上市,认证等过程,但愿一路走微点好.
作者: ends     时间: 2006-12-11 18:44
主动防御应该和特征值扫描结合
作者: ss0049     时间: 2006-12-12 16:36
好软件呀
作者: subwoofer365     时间: 2006-12-20 15:28
行为判断又不能完全阻断程序的运行,我的ZA也有这种功能!!把rising的实时监控都阻断在后面运行!!
作者: huangqingke     时间: 2007-1-15 23:44
主动防御应该和特征值扫描结合
作者: jywangba     时间: 2007-1-25 22:15
微点快被人捧到天上了,危险!好东西+市场认可=才叫好!我也赞赏微点,国家杀软的希望就是你了!越捧咱,咱越要冷静+努力!
作者: 天网飞狐     时间: 2007-2-10 21:30
现在还在测试阶段,所以,经过市场二年的运作,应该可以上市了 :)
作者: Colin.Zoe     时间: 2007-2-28 17:14
我觉得应该增加扫描。
作者: ajaxlx     时间: 2007-3-10 19:01
微点走的路子很对,如果一味的跟着国外的杀毒厂商杀毒理念走的话,我们很难有所突破!
作者: ys19850813     时间: 2007-4-1 11:23
路过学习哦~~
作者: sword555     时间: 2007-4-3 22:14


  Quote:
Originally posted by xyrj at 2006-8-18 15:59:
是不是有了微点,其它的毒软就可以不要了?

步能这样说!各有各的优点
作者: sword555     时间: 2007-4-3 22:15


  Quote:
Originally posted by 天网飞狐 at 2007-2-10 21:30:
现在还在测试阶段,所以,经过市场二年的运作,应该可以上市了 :)

二年,对一个新品种来说不算长!目前微点还不是很稳定
作者: vfvf2005     时间: 2007-4-9 11:55
严重支持微点。这个才是趋势啊,哈哈
作者: mm1258     时间: 2007-4-15 21:26
凡事都要考虑对手的出招才好亮剑
作者: 可爱的卧底     时间: 2007-5-21 13:24
貌似NOD32是启发式杀毒的。。。不知道跟你说的特征值扫描有什么异同
作者: iwong     时间: 2007-6-11 01:53
目前各大厂商都已经意识到了目前杀软所依赖的技术的局限性,因此现在都在积极开发一些不依赖病毒库查杀病毒的技术,类似启发式杀毒、行为判断的技术实际上已经应用到一些杀毒软件上了。我用过Symantec、卡巴斯基、江民等都有查杀部分未知病毒或病毒变种的能力,而卡巴斯基互联网安全套装、江民KV2007、瑞星2007等已经加入了阻止程序的一些危险操作并询问用户处理的功能。
一些用户现在也认识到了这些功能的优越性,倾向于选择带有这类功能的杀软。
所以说主动防御肯定是未来杀软的发展方向。但病毒特征检测目前还是最成熟最可靠的技术,能够有效防御绝大多数已知病毒。各个杀软厂商在这上面都有多年技术积淀,并依此占领了市场。对这些厂商来说,不管从技术还是商业角度来说,马上放弃病毒特征检测,不依赖病毒库进行病毒的防御是不可能的。
主动防御、行为判断这些技术还不太成熟,不能保证查出所有病毒(已经有人分析过了,病毒制造者有技术能够绕过这些行为判断);而只要掌握了病毒的特征码,再配合脱壳,不管它的行为怎么诡异,都能把它找出来。
而因为不依赖病毒特征库,不能对磁盘上的文件进行扫描,因此会放过一些存在于磁盘上而没有运行发作的病毒。于是用户完全有可能不运行病毒而将病毒复制到移动存储设备上,或者上传到网络上。这样自己的电脑是防住毒了,但并不能阻断病毒的传播。
而像ZoneAlarm这类软件,其实功能也和微点类似,但它并未将自己定位为防病毒软件。
最后说说病毒,病毒在制造的时候重点要考虑的就是能逃过杀软的查杀。杀软在研究病毒,而病毒也在研究杀软。只采用一种查杀技术的杀软,很难想象有足够的能力防御所有病毒。
说了这么多,我想表达的是,希望微点能够找准自己的定位——到底是一款能够独立防御病毒的防病毒软件(杀毒软件,比如江民、卡巴),还是一款作为其他防病毒软件(杀毒软件)功能补充的安全软件(配合其他杀软一起使用,比如ZA、ewido)?
如果是后者,那么微点现在已经做得不错了,可以算是一流;如果是前者,那么微点就不能只采用一种查杀技术,特别是这种技术还不够成熟。
作者: iwong     时间: 2007-6-11 02:12


  Quote:
Originally posted by 可爱的卧底 at 2007-5-21 13:24:
貌似NOD32是启发式杀毒的。。。不知道跟你说的特征值扫描有什么异同

http://it.rising.com.cn/Channels ... 0927627d42546.shtml
这篇文章有解释。现在很多杀软都是传统病毒库+启发式杀毒结合的方式了,不过能力又各有不同。
作者: 方周     时间: 2007-6-11 14:13


  Quote:
Originally posted by xyrj at 2006-8-18 15:59:
是不是有了微点,其它的毒软就可以不要了?

可以肯定的告诉你,那是当然!
要配合360使用更好!
作者: 方周     时间: 2007-6-11 14:23
楼上的说什么呢!怎么不成熟了?
没用就不要想当然的说,虽然说我只测试了一周,但是他的表现绝对是一流的
卡吧+AVG都扫不到的木马,是微点帮我清除了!!
这当然不是一个不发作的木马,而是一个将我的系统改得一塌糊涂的木马!
盗了我的QQ号码,虽然找回来了,可是心理很不爽。牺牲了那么多的系统资源,换来的是这样的结果,虽然用了微点,还是重装了系统,但是卡吧格式化重装系统还是杀不到,一样的遭殃,微点重装是因为那木马已经将我的系统弄得不象样子了。
那可是KIS6.0正版那!!!力挺微点到底!
希望微点尽快商业化,不希望看到微点走不下去。
作者: 魔战神     时间: 2007-6-19 00:11
也不能算是缺陷,毕竟这项技术已经使用了很长时间,是比较成熟和稳定的,在今后也可以作为相当重要的补充作用。。。
作者: airkimi     时间: 2007-7-3 15:18
扫!!!~~~~~~~~~~~~~~
作者: qq2008444     时间: 2007-7-11 16:58


  Quote:
Originally posted by soft_killer at 2005-10-30 15:13:
特征值扫描技术是否成为传统杀毒软件难以克服的重大缺陷?

    杀毒软件以特征值扫描技术作为理论基础,其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特 ...

不正是这样吗
这种“事后诸葛亮”对用户在第一时间里能够起到保护的作用吗
作者: qq2008444     时间: 2007-7-11 16:59


  Quote:
Originally posted by 魔战神 at 2007-6-19 00:11:
也不能算是缺陷,毕竟这项技术已经使用了很长时间,是比较成熟和稳定的,在今后也可以作为相当重要的补充作用。。。

可以与主动防御一起配合使用
但单独使用实在不行
作者: caibin870     时间: 2007-9-12 03:49
微点是一种新技术,是安全软件界的一次革命性进步,05年就已经听说微点的主动防御了,那时不管是国内的瑞*,江民还是金山,还有国外的卡巴之类的软,根本没有什么主动防御的理念,直到后来的卡巴6。0才出现,目前国内的杀软也都在朝这方向发展,相信主动防御是末来的主流方向!
作者: tcwmike     时间: 2007-10-24 15:59    标题: 危险

瑞星可能有微点技术
作者: qcwlzhaoqun     时间: 2007-10-27 17:07
我厂 是不是小并按 赫赫有名
作者: chengguizi     时间: 2007-10-31 20:23
支持微点,走出自己的道路
作者: tianyacz88     时间: 2007-11-7 11:26
建议以后的软件要通过全球杀软认证
作者: CBHENIN     时间: 2007-12-18 13:59
所以说微点是最好的!!
作者: ithink     时间: 2007-12-26 02:19
主动防御应该和特征值扫描结合
作者: yurant     时间: 2007-12-26 17:04
装个《影子系统》和微点一起使用,什么病毒都进不来,其实微点很多病毒是杀不掉的,加上影子系统那就坚如磐石了。
作者: voodoosim     时间: 2008-1-6 19:11


  Quote:
Originally posted by iwong at 2007-6-10 05:53:
目前各大厂商都已经意识到了目前杀软所依赖的技术的局限性,因此现在都在积极开发一些不依赖病毒库查杀病毒的技术,类似启发式杀毒、行为判断的技术实际上已经应用到一些杀毒软件上了。我用过Symantec、卡巴斯基、 ...

难道不是大家都采用的方法就是不成熟的
以前就特征扫描一种方法不也赚了用户好多年的钱
不就是想分一杯羹么
微点的思路是成熟的 不成熟的是其他杀软厂吧
尽想些损招来打击微点 真是看不下去啊

[ Last edited by voodoosim on 2008-1-5 at 23:14 ]
作者: 剑指七星     时间: 2008-1-23 15:16
特征码   滑坡很严重
各大杀毒厂商  纷纷转向主防
作者: philwilla     时间: 2008-1-24 19:29
 微点+DR.Wrb cureit
作者: zhaotx     时间: 2008-4-24 11:32
确实是这样
作者: 微点专家     时间: 2008-5-25 16:04
运动、变化与发展是有区别的。运动和变化是相同的。运动、变化是世界上发生的一切变化和过程,包括事物的性质、数量、结构、位置等方面的活动和改变。发展是运动、变化的一种,不是世界上所有的运动和变化,例如:事物数量的增减和位置的移动,同一事物的简单重复,事物的倒退的变化,都不是发展。

发展是新事物代替旧事物,是事物由简单到复杂、由低级到高级的运动变化。发展的实质是新事物的产生和旧事物的灭亡。新事物是符合客观规律、有强大生命力和远大前途的事物。旧事物是已经丧失存在的必然性、日趋灭亡的事物。新事物与旧事物有着严格的区别。

第一,新事物与旧事物在产生时间上有先后的区别。一般说来,旧事物产生在先,是过去产生的;新事物产生在后,是新产生的。但是,新产生的东西并不都是新事物,有些旧事物也往往改头换面,重新出现。因此,不能完全以出现的先后来区分新旧事物。

第二,新事物与旧事物有生命力大小的区别。新事物具有强大的生命力,旧事物则没有。强大的生命力是克服困难、获得极大发展的能力。生命力不等于现实的力量。新事物刚刚产生时,还没有旧事物的现实力量强大。因此,不能以现实力量是否强大区分新旧事物。

第三,新事物与旧事物的根本区别在于是否符合客观规律。符合客观规律的事物是新事物,不符合客观规律的事物是旧事物。
作者: a5520005     时间: 2008-12-16 12:45
我认为迟早有一天,特征值式杀毒会被改变,但是,短时间内,这不大可能,还需要时间。。
作者: zlc_tx_2000     时间: 2008-12-16 14:09    标题: 顶!!!!

顶!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
作者: yiqijun     时间: 2009-3-10 20:04


  Quote:
Originally posted by ends at 2006-12-11 18:44:
主动防御应该和特征值扫描结合

我支持,主动防御和特征扫描各有千秋,我倒觉得组建立体防御是最重要的.就像一个国家的防空一样,仅仅有导弹或者仅仅有高射炮也是不行的,两种要相结合,90年时有一架德国的私人飞机穿过苏联的层层防空网,最后降落在莫斯科红场,苏联的防空体系硬是没发现.同样道理,只有特征扫描拦不住新出现的病毒,仅有主动防御,对穿过的病毒没什么办法,所以我觉得微点应该融合自己首创的主动防御软件和传统的特征扫描软件为用户的电脑支起一片没病毒的蓝天.支持微点,希望微点能变得更为强大.
作者: zhexuezhuzi     时间: 2009-3-16 22:33
特征码扫描不可替代之处在于,部分用户感染之后,杀毒软件公司捕捉到病毒文件,用户升级病毒库,避免更多用户染毒。这种方式避免了同一个病毒扩大传播范围。而且病毒库的交换则提升了杀毒效果。


现在国内的黑客们更多的是利用改花指令特征码等免杀技术躲避扫描。因此,对于变种病毒,利用行为判断来甄别是绝佳的。

但是主动防御不是万能的,它的规则体系肯定有漏洞,除非微点及时发现这个漏洞,否则病毒会长驱直入。

因此主动防御也好,特征码扫描也好,其根本上都有不可完成的任务,都有缺陷。只是长江前浪和后浪的关系,主动防御不应该嘲笑特征值扫描,至少它已经守护用户这么多年,爆出缺陷是正常的。谁能保证十年之后新技术不嘲笑主动防御?

我用linux的时候,没感到杀毒软件的重要性,由此看来,也许windows系统才是最大的病毒(可以认为是因为它你的号被盗了……):lol:

[ Last edited by zhexuezhuzi on 2009-3-16 at 22:35 ]
作者: keshuilong     时间: 2009-6-16 12:06
从长远来说微点肯定得增加杀毒模块才能过得去的,毕竟懂电脑安全知识的是少数,目前主动防役软件的水平还没有达到理想的不用用户参与判别的程度。
作者: 20090218     时间: 2009-7-8 21:08
希望微点加强完善
作者: 月色撩人     时间: 2009-8-3 21:44
:o
作者: yiyangaa     时间: 2009-10-15 15:39
面对庞大的数据,传统杀毒软件扫描越来越费时间了
作者: getgod     时间: 2009-10-29 00:19
希望微点的主防越来越强。
作者: ahwb     时间: 2010-2-10 12:47
主要是壳,这个很麻烦!
作者: qidao15     时间: 2010-3-11 19:31
;)
作者: mumaniu     时间: 2011-7-17 19:21
主动防御技高一筹




欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn