Board logo

标题: 主动防御不可完成的任务(-) [打印本页]
作者: llcracker     时间: 2006-8-31 15:25    标题: 主动防御不可完成的任务(-)

首先我先说明一下我自己的立场,我认为主动防御是一项不可完成的任务。单独使用主动防御无法真正达到“主动防御”概念所描述的那样的一个状态。为什么呢?简单说是因为其主动防御标准含糊不清楚,没得具体的行业标准,可以说是理论上可行而技术上不可行的东西。看了众多贴子,有人支持微点,有人质疑微点。众说分云,因此我们需要从主动防御这个概念来说是否真的可行!首先,根据微点所称有众多的逻辑分析来确定是否为不合法的程序或者病毒等。我们搞技术的都知道,所谓复杂的逻辑分析如果用程序表达出来就是很多的if条件。但是这些if条件只是微点的标准,而不是主动防御标准,那这样的标准怎样能让用户信服?因此,就常常会出现误报。也许有人会说,其它安全工具或者杀毒软件也会出现这样的状况。因此,这就恰恰说明了为什么其它工具把主动防防御作为辅助手段,也说明了微点根本没有质的飞跃。这也许不是微点的错,这是因为的确主动防御这个概念很吸引人,但是没有非常清晰的界定。即通过行为特征认定病毒的标准。同样,微点自身产品也会做很多挂接动作,为什么就不被认定是恶意程序或者病毒。因为开发者知道自己做的微点是来保护系统的。这我也知道。但是,为什么偏偏就要认为我开发的游戏外挂之类(单机游戏外挂)的东东是病毒,我游戏外挂第一不访问网络,只是挂接一些API或者修改游戏主程序的一些变量即内存指令。为什么我的程序就是病毒。也许又有人会说了,你不是可以将这些你认为信任的程序加入到微点中嘛?那如果是这样,对于用户来说,他能知道哪些是可信任和不可信任,干嘛还要来用这些东东?因此,我认为由于主动防御由于没有既定的标准,也就大大限制微点自身的成长(冲其量也无非是有更多的if语句而已),这样根本不是质的创新,也谈不上优越于其它的杀毒软件。
作者: 含笑半步颠     时间: 2006-8-31 15:40
井底之蛙,无非是触犯了你的外挂利益,作外挂是违法的,劝你还是别做了

国家新闻出版总署首次对外挂违法性做出认定,并明确了法规依据。指出:根据我国著作权法有关规定,网络游戏出版物《传3》的软件部分和动画形象部分分别属于我国著作权法保护的计算机软件作品和美术作品,未经著作权人授权,通过破坏《传3》中软件作品的技术保护措施,进入其服务器系统,擅自修改其相关数据,使用《传3》的动画形象,并大量制作、销售《传3》外挂卡。这些行为违反著作权法的规定,是一种严重侵犯著作权的违法行为。
作者: calm_cs     时间: 2006-8-31 16:00    标题: 天气比较热哈,可是我们讨论问题还是应该心平气和嘛

2楼的朋友不要激动嘛,就事论事,你有什么不同意见可以尽情阐述嘛,我们大家讨论的是技术啥,有不同看法太正常了。呵呵,这于楼主,你可是冤枉他了,他只是用外挂来打个比方,据我所知,他没有做外挂。因为我和他都是做系统软件的,所以对底层技术特别是系统挂接接触很多而已。不知道你玩不玩游戏,最新的starforce4.0保护技术已经被我们攻破了 :)
作者: llcracker     时间: 2006-8-31 16:02    标题: 主动防御不可完成的任务(二)

从技术角度来讲,如果单独使用主动防御是否真的能冲当主力?根据一些贴子描述得知微点使用了Driver,这是很明智的选择!先支持一下^_^!但是微点Driver似乎只对ntoskrnl中的一些内核例程还有AP层的一些API有所挂接,我是想问这样就能挡得住病毒嘛?假设一个程序使用NtOpenFile或者CreateFile打开一个磁盘盘符,然后使用WriteFile或者NtWriteFile来进行直接写扇区,如果是一个正常程序写入合法的数据OK,如果微点没有认为是病毒那么我觉得是正确的。但是,如果一个病毒或者恶意程序同样使用与正常程序同样的流程只是WriteFile的时候写入的数据是恶意的、有破坏性的那么微点能防住嘛?因为根据其微点的行为特征来判定,由于默认了正常程序的行为流程那么也意味着其病毒或者恶意程序的流程也在微点中视为合法,这带来的后果我不想多说了。另外,像NtWriteFile或者ZwWriteFile等一些内核例程,其实是把命令打成IRP丢到文件系统层,如果病毒不经由NtWriteFile或者ZwWriteFile这些内核例程直接像文件系统发送命令,那么微点有办法拦到嘛?另外,随着操作系统内核技术公开化,有些病毒也许还会自带Driver,而这些Driver并不是由病毒动态加载。而是由系统每次启动时加载,也许比微点的Driver还要先启动起来。此时我就展开联想说一下,假设病毒Driver一旦加载,他要感染某个程序非常简单。最简单的方法是直接调用内核例程,像上面提到的,其次自动构造IRP扔到文件系统中,除非微点在文件系统Driver层进行拦截。OK,病毒Driver它干脆不扔文件系统层了,而走更低层的Disk磁盘层。有办法主动防御嘛?如果这都有办法主动防御,那么病毒根本不在使用操作系统提供的Driver层次结构,而直接使用IN、OUT指令来对硬盘进行读写。有办法主动防御嘛,可以说到了这里可以说从实践中基本上是无法拦截住了,就算在Disk层就很困难。当然不是没有办法,使用DR调试寄存器来拦截下来。当然不提其它什么更深层的RootKit技术。就说得更简单一点,如果病毒Driver一旦被加载是没有办法让其Unload,除非重启。主动防御不仅从理论上有缺陷,从技术层面来说是不可真正的实现动态监视,基于这两方面主动防御目前只能成为安全工具的辅助手段,也是不可完成的任务。
作者: aidi     时间: 2006-8-31 16:06
主动防御仍处于发展阶段,对处于发展中的事物何来的标准?
主动防御这个概念并不是微点第一个提出的,只能说是微点用它自己的技术实现了主动防御,关于标准,就像对病毒的命名一样,每个杀毒软件厂商都有自己的标准;
误报问题,这个对于发展中的产品来说是正常的,要做的是尽量减少这种误报,微点相对刚开始推出时已经优化了很多,很多以前误报的程序现在不用加到可信程序也能够自动识别了;
其它工具把主动防防御作为辅助手段;其他杀软厂商的主动防御不同于微点的主动防御,在技术上有很大的差别;
游戏外挂之类(单机游戏外挂)的东东本身就是存在争议的软件,只是现在的法律不健全,要是归类的话应该不是属于正常的应用软件;
楼主还是做了深入的测试后再发表评论吧。
作者: 285166790     时间: 2006-8-31 16:07
非常同意楼主的意见,有些软件的确不是病毒确有可能和病毒有类似的行为,或借鉴了病毒的某些技术,这是很有可能的,不能把这种判断的任务都交给用户吧,要是用户自己都能判断还要杀软干吗,而且这个微点用kv2006的未知病毒检测本身也属于可疑软件,不信可以试试,这说明光靠行为根本不能完全判定一个程序是否有害,什么是有害程序还得看应用场合呢
作者: aidi     时间: 2006-8-31 16:12
“如果一个病毒或者恶意程序同样使用与正常程序同样的流程只是WriteFile的时候写入的数据是恶意的、有破坏性的那么微点能防住嘛?”
关键就在于“数据是恶意的、有破坏性”,那么这些数据在执行的时候还是要有病毒的行为,只能够说前面的动作是正常的行为微点不处理,后面的动作是病毒的行为微点一样要拦截并处理的;
作者: calm_cs     时间: 2006-8-31 16:16    标题: 做了测试的

我做了一些测试的,除了系统老是报一些程序可疑以外,还没有什么严重的后果。但是我想正因为我们的测试是有限,并不能排除楼主的担忧。而且作为一个技术人员,无论怎样对产品做出技术分析和可行性论证都是非常必要的呀,特别是在病毒防治这个领域,多考虑一些技术问题尤为重要。我还是希望大家多就技术上的问题展开讨论哈,这样大家才有更多的收获,也便于微点产品的改进嘛。良药苦口,利于病嘛。
作者: llcracker     时间: 2006-8-31 16:24
其实我引入游戏外挂,不是争议游戏外挂的合法性。因为完全没有必要,我是通过游戏外挂想引出像这样类似的程序,它目的并不是为了破坏或者干扰系统正常运行而存在的!这样的程序也包括了微点,难道微点不去挂接嘛?不挂接又怎样进行实时监控,那么这样的程序对于系统和用户来说都是合法的。为什么像有些程序去挂接了系统某些东西,就认定不合法?这也是我所要强调的”主动防御不可完成的任务“中心思想。也就是像”主动防御仍处于发展阶段,对处于发展中的事物何来的标准?”这句话,不恬恬说明我所应证的观点嘛。即主动防御的确存在着严重的缺陷
作者: 285166790     时间: 2006-8-31 16:35
卡巴斯基互联网安全套装保护您免受已知威胁和未知的新威胁的感染。这由一个专门被开发的组件—主动防御。
由于恶意程序传播的速度比反病毒数据库升级的速度更快,这就导致对主动防御需求的不断增长。基于快速反应技术的反病毒保护要求一个新威胁至少感染一台计算机,并且要求分析恶意代码并添加到安全威胁特征库并更新用户计算机中的反病毒数据库的时间。到那时,新威胁可能导致更大的破坏。

由卡巴斯基互联网安全套装主动防御提供的预防技术可以避免失去在新威胁破坏您计算机之前的空白时间并消除新威胁。如何去实现它?与快速反应技术相比,分析代码,预防技术通过由某种应用程序或进程执行的行为序列来认可一个在您计算机中的新威胁。程序安装包含确定危险活动级别的一套标准。如果应用程序的活动类似于危险对象活动的特征,那么这种应用程序是被定义为危险对象,并且处理的操作会被应用到处理那种类型的规则中。一个危险活动对象的例子包括:
改变文件系统。
模块嵌入到其他进程中。
隐藏进程。
修改微软Windows系统注册表键值。
主动防御跟踪和拦截所有危险操作。
主动防御跟踪所有在微软办公应用程序中执行的VBA宏指令。程序使用安全威胁特征库来分析宏指令。
在实际运行过程中,主动防御使用已定义好的包含程序和创建的排除规则组。规则是定义一个活动或另一个活动并被程序执行的威胁程度的标准。
各种规则提供应用程序运行并监控运行在计算机上的系统注册表、宏指令和进程的改变。您可以通过谨慎地增加、删除或编辑规则来修改规则列表。规则可以阻拦程序运行或者授予程序执行权限。
检测主动防御算法:
计算机启动后,主动防御立刻分析以下要素:
运行在计算机上的每个程序的所有行为。主动防御有规律地记录程序运行的历史记录,并把它们与危险行为特征序列(由来自程序和安全威胁特征库更新的危险行为类型数据库)进行对比。
由VBA 宏指令执行的每个行为。程序用包含在自身中的危险行为列表来扫描它们以排除威胁。
程序扫描已经安装到您计算机中的所有程序的模块,这有助于避免应用程序模块版本被恶意代码替换并避免恶意程序打开这些程序。
每个试图修改系统注册表的行为(删除或者添加系统注册表键值,并输入可疑的键值等等)。
分析时会使用主动防御规则和被指定的排除对象。
分析完成之后,您可以执行以下的操作行为:
程序不会拦截满足主动防御规则的程序行为。
如果程序的行为满足拦截的规则,那下一步就会执行在规则记录中指定的匹配的操作。像这种行为通常会被拦截,同时会在屏幕上显示应用程序的详细说明,行为类型以及行为运行的历史记录。您自己必须决定拦截或者允许这种行为。您可以在系统中为操作这种行为创建规则和阻拦行为。
允许执行在您的计算机中不受任何规则调控的事件序列。

大家说说,这和微点的原理有何不同,看人家的说明多么详尽.
作者: aidi     时间: 2006-8-31 16:42
暂时抛开下技术;
就事论事的说下,特征值扫描就没有缺陷吗?他是可以更准确的判断病毒,误报很低,但前提是在一部份用户已经受到病毒的破坏,已经造成损失,才会找到这个病毒的样本,进行反汇编并提取他的特征升级到服务器,才可以帮用户解决。所以需要的就是能够在损失前拦截病毒的破坏行为,更好的保护用户的利益。
事物的发展总要有一个过程的,没有狮子的追捕羚羊怎么能够是短跑冠军,同样要是狮子追不到跑得最慢的羚羊,一样也要被淘汰
作者: calm_cs     时间: 2006-8-31 16:53
11楼的朋友说得很对,所以很多一流杀毒软件厂商都在产品里使用了 启发式扫描来弥补特征码扫描的不足啥,这样两者结合就能起到对已知和未知的病毒的查杀防御。不过,国产软件中的启发式技术比国外差得比较远,随便提一句,由于江民和 卡巴的关系(地球人都知道)它的杀毒引擎的启发式扫描还做的不错,可是江民老师爱上了炒房地产,结果江民的病毒库比瑞星的又差很多。呵呵,结果是大家的综合效果半斤八两,都要好好努力才行呀,中国的通用类软件,现在拿得出手的,只有这几款杀毒软件了,真是郁闷,都是盗版惹的祸哟。
作者: llcracker     时间: 2006-8-31 16:59
特征扫描的确也有缺陷!我感觉特征扫描有一种亡羊补牢之意,但是它的确也有它自己的好处。打个比方说,如果病毒有自带Driver这种情况下,是非常危险。可以说一旦让Driver被加载,主动防御就失去了它的威力。(更不要说其标准不完整,技术受限制的问题)因为即使微点也有Driver,那是无法去Unload已经启动的病毒Driver(前提是还需要确定得了这是个病毒Driver)。因此微点对于这种病毒来说形同虚设,这时个就需要特征扫描或者其它的方法来解决。并且,我的观点并不是在支持特征扫描。我只是单从主动防御来看,的确存在着很多局限性。这些局限性限制了微点及主动防御的发展。这不单单是靠一种两种挂接技术就能解决得掉的。
作者: 微点专家     时间: 2006-8-31 17:02
微点主动防御软件属于防病毒软件,但完全区别于目前市场上的防病毒软件。

    当前杀毒软件多采用特征值扫描技术,即由专业反病毒人员在反病毒公司对已可疑的程序进行人工分析研究,人工判断该程序是否是病毒;如果该程序是病毒,由反病毒工程师人工提取该病毒的特征码,再通过升级的方式更新用户计算机上杀毒软件的病毒特征库,此时用户计算机上的杀毒软件才能判断某个程序是病毒。也就是说,如果用户不升级,用户计算机上的杀毒软件就不能防范新出现的病毒。这也就是防病毒公司始终强调用户要实时升级的原因。可以这样说,病毒总是出现在杀毒软件更新病毒特征码之前的,因此,传统的杀毒软件对新病毒的防范始终滞后于病毒的出现。

    微点主动防御软件建立了动态仿真反病毒专家系统,能够自动准确判定新病毒,并且能够自动提取特征值,自动更新本地特征值库,实现对病毒的主动防御。简单来讲,微点主动防御软件不是依赖于病毒特征码的判断,是依赖于病毒行为动作特征库根据病毒发作的行为进行判定,就像一个专业反病毒人员人工判断病毒一样,但微点实现了程序的自动化;

    微点主动防御软件与当前流行杀毒软件的主要区别:微点主动防御软件依赖于动态仿真反病毒专家系统的病毒识别规则知识库来自动准确判定新病毒,当前流行杀毒软件依赖于专业反病毒人员手工判断提取的病毒特征码。在防范新出现病毒的时间上,微点主动防御软件是实时发现新病毒,当前流行杀毒软件需要等待防病毒公司更新病毒特征码后才能发现病毒。
作者: aidi     时间: 2006-8-31 17:20
"这时个就需要特征扫描或者其它的方法来解决",问一下,驱动级的病毒用特征码扫描管用吗?
记得灰鸽子好象是驱动级的木马,那些特征码扫描的安全软件哪个可以清楚,本身的级别都不够呀;但是真正到达驱动级的病毒又有哪些,懂得驱动级调试程序的程序员不会再去费神编写木马吧?现在的病毒无非是为了利益而生,真正用来破坏系统的已经少之又少,现在的趋势是病毒的更新速度越来越快,编写的技术也更加深入,而按照传统的防病毒方式已不能够满足用户的安全需求,有市场就会有竞争,主动防御正是这个市场与竞争下的产物,主动防御技术的实现就是为了维护普通用户的利益,让用户能够在病毒刚出现时及时地防护,避免用户的损失。
作者: llcracker     时间: 2006-8-31 17:21
其实,我所要讨论的是关于主动防御性的标准缺陷、技术局限性及有网友一直在说其微点主动防御优越与其它杀毒软件或者安全工具所含有主动防御。我在前面两贴中已经非常详细的把我观点说得非常明了,认为主动防御的重大缺陷不能真正的启到防毒的功能。而这些网友根本没有说明其微点真正的优越性。只是在说一些空洞的宣称口号,让人感觉有“王婆卖瓜,自卖自夸”之嫌。没有任何有力的证明及技术支持。让人感觉有点空高兴一场的意思。如果无法真正的主动防御性的标准缺陷及解除技术局限性,怎么又有优越这种说法。让人很难理解!
作者: calm_cs     时间: 2006-8-31 17:21    标题: 微点专家呀,你为什么对启发式扫描视而不见了 :)

微点专家呀,你虽然是微点的专家,也好是要关心一下其它的杀毒技术啥。开个玩笑哈。特征码扫描我们就不讨论了,地球人都知道了,很成熟的技术,优点和缺点同样突出。
      但是你关于“微点主动防御软件与当前流行杀毒软件的主要区别”说得太片面了,早在1994年,卡巴实验室就将第二代启发式扫描技术应用于产品中了,经过这么多年的发展,流行的杀毒软件都或多或少的应用了该种技术。 说你它们同样具备了对未知病毒的查杀能力,而且不用依赖任何的病毒库。
      你不能老这么说嘛,现在网上这种说法也很流行,不过我觉得这是广告语言,我们应该全面的分析各种技术的优点来为我所用,这样才能不断进步啥。作为一个负责任的公司,也应该向消费者披露完全的信息。这点我很欣赏一些韩国公司的做法,它们会告诉用户它们产品和国外同类产品的优劣,并表示会不断进步,尽快缩短差距。而且,它们也确实很努力。你看看,韩国人用国货的比例有多高呀。中国的公司千万不要为了一时的利益欺骗消费者,从而失去了消费者的信任哟。
作者: 含笑半步颠     时间: 2006-8-31 17:31
有些误导之说
作者: llcracker     时间: 2006-8-31 17:39    标题: 无聊的假设

"那些特征码扫描的安全软件哪个可以清楚,本身的级别都不够呀"我首先说一下,扫描Driver文件AP就可以了!当然如果被一直占用那另当别论。
“但是真正到达驱动级的病毒又有哪些,懂得驱动级调试程序的程序员不会再去费神编写木马吧?现在的病毒无非是为了利益而生,真正用来破坏系统的已经少之又少。。“
作为产品人来说,我们开发产品不能假设。假设产品永远不会出错,假设开发的产品肯定受人喜欢,这是错误的。就好像上面这样的假设,既然是防毒,不能说已经变少了的病毒我们不去处理它,预防它。就像我们做游戏支持一样,只要所支持的游戏在一台机子上不过,就必须要去处理它。这种情况在我工作中常常遇到。这才是做产品的态度,你不可能假设这款游戏你觉得不好玩,就不去支持。那这样又何必做呢?即然是防毒产品,那么我所提出的这种可能,你能保证以后一定不会成为流行的手段呢?因为防毒在进步,其病毒也在进步,请不要忽略了。也许有这些假设,让我慢慢意识到在微点官方网站上所宣称的微点产品背后的真正的一些东西了
作者: aidi     时间: 2006-8-31 17:44


  Quote:
Originally posted by llcracker at 2006-8-31 05:21 PM:
其实,我所要讨论的是关于主动防御性的标准缺陷、技术局限性及有网友一直在说其微点主动防御优越与其它杀毒软件或者安全工具所含有主动防御。我在前面两贴中已经非常详细的把我观点说得非常明了,认为主动防御的重 ...

说了半天也没有明白您的意思;
主动防御性的标准缺陷、技术局限性具体是指什么?
您好像只提出了"主动防御标准含糊不清楚""防御驱动级病毒";
作者: llcracker     时间: 2006-8-31 17:50
主动防御标准含糊不清楚,我指的是行业标准。
"防御驱动级病毒”,我指的是微点无法真正的实现动态监视。
不说了,下班了
作者: 微点专家     时间: 2006-8-31 17:54
先别管什么技术,只要使用后电脑平平安安就是好软件。
技术在好,搞得你的系统是两天恢复,三天重装。这样的技术在高,恐怕也没人敢要。
在这个病毒横行的年代,随不想为自己的爱机选择一款好的杀毒软件。
今天我豁出去了,把多年的经验告诉大家。

选杀毒软件!
   别看广告!!
      看疗效!!!
作者: nasdaq     时间: 2006-8-31 18:50
来晚了,没赶上热闹

遇到好帖,一个一个回


根据llcracker朋友的第1、4、9帖:

首先,我虽不会开发,但我比较认同llcracker的一些技术分析。

不过,最后,我想反问一句,这世上有“可完成的任务”么?——似乎没有一种杀毒方式可以消灭现存的所有的有害程序阿?

按照llcracker的观点,不可能完成的任务只能是辅助手段。我觉得似乎可以得出以下的推论:主动防御只能是辅助手段、特征码只能是辅助手段、虚拟机只能是辅助手段,等等。

呵呵,没别的意思,我很尊敬您这种力求完美的技术精神。但是现实是,我们既要有远大的理想,又得有过日子的心。

我认为,与单纯的特征码相比,微点的特征码+行为双引擎的防护能力明显要胜出。很抱歉的是,由于我没有量化测试能力,所以无法给出客观的比较数据。但我认为我这个定性的判断是有道理的。(我并不排斥和贬低虚拟机技术,只不过由于我本人不太喜欢花费若干个小时扫描所有的硬盘)

所以,我觉得微点的存在是有道理的,也是有价值的。我说句难听的,就算微点在市场中倒下了,也必然会有人接过行为引擎这根火炬,把它不断发展不断完善。

哈哈,可能因为您言语比较犀利吧,跟您对话还是很过瘾的。
作者: nasdaq     时间: 2006-8-31 18:53
呵呵,这个帖咱们谈,关于安全软件需要用户参与判断的问题。似乎微点并不是第一个需要用户参与的安全软件吧。我印象中,目前的多数个人防火墙产品,都在不断的弹出对话框,不断地询问用户,某某程序是否可以访问网络?传统的杀软也在杀毒失败的时候会问用户怎么办呢!

所以,我认为就用户的使用习惯来说,用户参与并不是一个完全崭新的事物,并不会造成用户无所适从。当然,做到最佳判断确实是很需要个人修为的。作为一个商业软件来说,是有一个专门的部门来帮助用户解决这个问题的——呼叫中心。对于信息安全这个行业售后服务是非常重要的,更是必不可少的,这也是什么少数国外优秀的信息安全产品只能在少数发烧友手中把玩,而无法在中国占据大块市场份额的一个重要原因。本地化的售后服务和快捷的技术相应实在是太重要了。

另外,我觉得,只要微点能够规模化,很大程度上更适合“菜鸟”型用户,巨大的白名单列表将使得大多数用户使用电脑无障碍化,少部分用户通过售后服务平台也可以得到圆满的解决。

而在微点成规模之前的这段“尴尬期”,提示比较频繁这个问题,确实是一个突出的问题。

挺过去就好了,从来都是先苦后甜的。
作者: nasdaq     时间: 2006-8-31 19:17
再谈一下llcracker提到的标准不公开的话题


我想,不公开检测标准似乎是很应该的吧。

第一,商业利益,公开之后,利益无法保证。

第二,牵制病毒,公开之后,将极大地便利于开发恶意软件,反而极大的增加了开发安全软件的难度。

试问,卡巴斯基同志把他的特征码拾取规则公开了么?想必每套特征码识别引擎的拾取规则都不尽相同吧。

有一位朋友贴出的那个卡巴公布主动防御的说明书,呵呵,只能算是一些技术资料吧。不能称之为防御规则或是鉴别标准之类的,因为第一不够全面、第二没有量化。对于计算机这2进制的脑袋,不量化成if、else们就基本上是没有用的。

兴奋了,跑句题吧。上面说的就好像,一张只标有尺寸而没有加工精度、装配精度、表面粗糙度等等的图纸一样,看似宝贵,实际上没有什么意义。呵呵,为什么照样品1:1测绘出来的仿制品性能比原品要有相当的差距呢?原因就是因为测绘出来的就是上面说的那么一张不太有用的图纸。

我认为,黑箱操作,对于信息安全是非常有必要的。因为,世界上不存在完美的产品,黑箱可以极大地增加破坏者的工作难度。有力的遏制破坏的数量和质量,对于保卫信息的安全黑箱有着很重要的实际意义。

举个例子,windows太大了,我们拿IE说,IE本身有很多隐患,目前的黑箱测试,就已经暴露出很多问题了。如果公布源代码,想必会出现海量的bug。理论上在挺过若干时间之后,修正过的IE品质会非常优秀。试问,在这成功的一天到来之前的那段痛苦的崩溃期,怎么处理?海量的崩溃压力之下,还会有多少人坚持用IE?如果用IE的用户极速减少,还会有很多“爱好者”坚持热衷于发现攻击IE的bug么?如果没有海量的“爱好者”帮助嗅探bug,IE又怎么可能达到最终的品质优秀?我觉得最终的结局,只能是IE被彻底淘汰而以。
作者: nasdaq     时间: 2006-8-31 19:23
对了,还得特别补充一点。

咱们畅谈技术,微点的管理员应该是不会干预我们的。

但是,咱们也应该尊重微点,最好不要谈及人家公司的一些商业口号和商业宣传理念,人家毕竟是靠这个吃饭的。大家都是明白人,点到为止吧。

咱们做人要厚道,毕竟用人家的论坛聊天,就别给人找麻烦。

实在想说的话,咱们就换个第三方论坛。
作者: wgpdls     时间: 2006-8-31 21:22
好帖,顶一个!
作者: jaber     时间: 2006-8-31 22:16
呵呵  看到大家这么热闹的讨论很好啊  应该多多鼓励的    特别 是大家这样心平气和的来交流  很值得表表扬啊~~~~~~


     我想这世上没有完美的东西   我们需要的是看什么东西趋近于完美   当然达到这个要求还需要广大用户的多多支持   
     我在以前的帖子说过   主动防御是未来的发展方向  误报是肯定的  关键在于如何最大限度的降低误报率   这才是硬道理    我想这个帖子对于很多的用户来说  看不明白  因为都不是搞技术的  包括我自己   但我想大家的想法是 什么东西好用  那就是最好的   而不是在于它的深层次的问题(这个东西是怎么研发的)
作者: 反黑先锋     时间: 2006-8-31 22:27
简单点 就像你们做的那样   usb的DVD :cool:


主动防御标准含糊不清楚,我指的是行业标准。
"防御驱动级病毒”,我指的是微点无法真正的实现动态监视。


:D单独使用特征值扫描是否真的能冲当主力?

现今网络 现今的杀软行业标准 单独使用特征 能够保证安全吗?  地球人都知道


  特征值扫描 ……  也是不可完成的任务~ 地球上没有完美的产品  只有更好。



关于主动防御性的标准缺陷、技术局限性 无法真正的实现动态监视 ……

希望你们多多测试 有什么 能让微点变的更强的好主意;)  呵呵 给微点多提提


:D顺便说下 各位支持微点的朋友 码了那么多字 辛苦啦!
作者: dmland     时间: 2006-8-31 23:21
好贴,顶一下,特别赞一下nasdaq!犀利!
作者: 梦幻家园     时间: 2006-8-31 23:40
好激烈的辩论啊。外行看热闹!
作者: playworm     时间: 2006-9-1 08:58
说半天就是看哪个取得系统最核心的控制权(优先权),看哪个能在最底层进行基本的I/O操作,嗯,安全系统在发展,病毒也在发展,这是个趋势。我有个想法,能不能控制最低层的操作为不允许,必须通过中间层呢?比如一加载就从最底层控制对磁盘的读写,由微点来代替读写,如果是危险操作,而且操作的模块是未知不明模块,就拦下来并报警。或者微软操作系统不再支持最底层操作,必须从中间层来操作。其实要做到象以上朋友说的,可能微软必须提供更多的关于底层的资料。我是半瓶醋,就在这乱讲讲吧。上面朋友说了那么多,但说每一种问题的时候缺少对比性,比如你说绕过内核用中断也好,BIOS基本输入输出也好,说微点拦不住的时候,是不是也应该说说瑞星拦得住吗?怎样拦住?卡巴拦得住吗?怎样拦住?有比较地说一下,我们这些看客才能有更客观的判断标准。希望楼主不要嫌我们水平不高,笨,讲详细点,对比点,让大家有个客观判断。
作者: llcracker     时间: 2006-9-1 10:02
我在这里重申一下我的观点。即"主动防御是不可完成的任务"我从主动防御的标准及技术角度来说明了这个问题。也是说明了为什么在众多杀毒软件中将其放入到辅助地位中。首先,我从微点官方网站上来说看到了其微点在技术上的创新及一些网友对使用过微点后认为微点的确优越于其它杀毒防毒软件中其含有的主动防御。从实际上来看(我没有怀疑微点防毒的能力),微点对一台干净系统会出现频频误报。这是为什么?很显然虽然微点有所谓的什么复杂的逻辑分析来判断,其表现的效果对一般用户来说跟其它占辅助地位的主动防御没什么区别。这到底是由什么造成的?就像我在前面所说的样,微点也许有一些判断标准比如像检测是否有哪个进程去修改了PE文件,注册表,挂接了系统例程等等行为。当然对于病毒来说,会有这些动作。微点进行拦截或者怎样的处理动作都是合法的。但是对于正常的一些程序来说也会有这些动作,微点就跟其它的主动防御没什么区别,也会误报似乎更严重有点“宁可错杀一千,不可放过一个”的意味。对于一个用户来说,他自己使用微点的产品后没事就弹一个这样的警报对话框出来要求用户来确认,他合必要用这种产品呢?用户他需要的是更精确而误报很低那种主动防御产品。省心,花了钱还要自己来判断程序的合法性,那用户真的会哭笑不得。这个实例说明了不管微点使用了什么样的创新技术,也无法改变这样一个事实,就是真正认定程序合法性的标准。这也是我反复强调的东西,即怎样使误报更少判断更精确,这个是要有明确的标准。不是靠技术能解决的,说多点就像开发驱动程序的,他要开发SCSI Driver,OK没有问题。但是他必须要了解SCSI 规范,而对于主动防御来说,没有像SCSI这样的标准。也就是靠经验+复杂的逻辑判断=频繁误报。我想用过微点的用户来说应该比较清楚。因此,从这点来说,如果像微点真的要优越于其它可能性只有一种。那就创造出主动防御的工业标准出来,否则微点所能做的和其它占有辅助作用主动防御的事情一样多。就是不断的更改所谓的复杂的逻辑判断,用户所承受的同样的频频的误报。所以,站在用户角度上来讲,个人觉得其所表现的并不是像有些所说的那样所谓技术上的创新就真正“质”的优越,只是有可能“复杂”逻辑判断比其它的稍微复杂一点。如果作为用户来说觉得我说的不准确,在反驳我之前请先一个微点产品来用用。看所表现的与其它的到底有何区别?是不是频频的误报
作者: calm_cs     时间: 2006-9-1 10:03    标题: 大家都是讨论问题啥,对事不对人,都可以说出自己的想法嘛

我没有楼主说的那种病毒的样本,我只能说从理论上讲虚拟机结合启发式扫描是可以防住的这种病毒。因为通俗一点讲,我们可以认为虚拟机能够模拟一个虚拟环境,让被检测的程序再这个环境里运行,而且这个过程是处于一个可控状态,所以病毒的一举一动瞒不过监控程序。但是主动防御不行,这是因为微点的主动防御技术是基于系统的挂接。这种挂接方式,是拦不住直接用IN,OUT命令读写磁盘端口的命令的。只有借助DR调试寄存器,才能达到拦截这种命令的目的,呵呵,反过来说,这也是微点应该改进的地方。不过做起来,太困难了,我们曾经在产品里试图用这种方法来屏蔽光驱,可惜没有成功呀。希望微点可以做的更好。
作者: calm_cs     时间: 2006-9-1 10:05
至于瑞星和卡巴能不能拦住,我就不知道了。没式过,也不知道它们的虚拟机技术能不能做到这一步。
作者: 老毛     时间: 2006-9-1 10:14


  Quote:
Originally posted by llcracker at 2006-9-1 10:02:
我在这里重申一下我的观点。即"主动防御是不可完成的任务"我从主动防御的标准及技术角度来说明了这个问题。也是说明了为什么在众多杀毒软件中将其放入到辅助地位中。首先,我从微点官方网站上来说看到了 ...

从实际上来看(我没有怀疑微点防毒的能力),微点对一台干净系统会出现频频误报。
====================================

楼主应该拿出来具体的例子出来,而不是一味的说辞.
作者: calm_cs     时间: 2006-9-1 10:19    标题: 关于标准的问题

楼主提出的标准问题是一个争论很大的问题,到底有没有标准,应不应该有标准了。这个问题,也许每个人的开发不一样,但是在IT业界,最为重视的就是标准指之争。圈里有句话叫做“一流公司做标准,二流公司做技术,三流公司做产品”。其实现在有很多标准之争。既然做出了标准,当然应该公开,以此来得到更多下游公司的支持,已形成业界标准,最后能成为国际标准。
      楼主的意思我想是说,因为现在在主动防御领域没有一个现行的标准,因此大家在判断行为危害时就没有根据,只能根据各自的经验。这样一来很容易出现混乱,造成少报,漏报,或是多报,虚报。当然,这不是微点的问题,这是这个技术领域里的问题。
      其实在反间谍软件行业,也有这样的问题。由于没有一套公认的标准来定义什么是非法的间谍行为,所以这个领域的产品还显得比较混乱,而且产业规模不大。年初,美国的几大软件巨头和和安全巨头曾做在一起制定了一份间谍软件的定义标准,为这个行业的大规模发展奠定了一定的基础。不过它能不能最终成为业界的标准就要看时间的检验了。毕竟,它们制定标准的时候居然讲我们中国和俄罗斯的代表排除在外,真是无耻呀。
作者: llcracker     时间: 2006-9-1 10:27
对于playworm老兄来说,首先我不是在卖弄我的技术。但是我为什么要谈论技术呢?是因为微点没有其它的手段来防毒,这也就意味着微点必须要无条件的去了解系统中所有进程及Driver运行情况,监控到系统每一层次及每一个程序的行为。你认为这种可能有多大?你认为实现起来可行嘛?这也清楚的说明了其它防毒为什么要将其作为辅助地位。因此,才有多种查杀手段联合使用的方案。而微点只使用了主动防御,那其监控力度就必须要大于其它占辅助地位的主动监控,说得更准确一点必须要监控系统中所有的进程及驱动。就像playworm老兄所说瑞星、卡巴肯定拦不住,所以才将其放入到辅助地位。但是微点不一样,它没有其它的手段,作为只有以主动防御为手段的微点来说,用户的确有必要它是否真的能监控到所有的行为。如果不能监控到,那又怎样去捕捉病毒行为,无法捕捉又怎样进行复杂的逻辑分析,那微点怎样又宣称用户说,我们只需要主动防御就能防住病毒?同样站在用户角度来说,其微点的技术局限性太大。因此,这样的产品没有经过严格的论证及用户角度出发考虑,很难成为一款让人接受的产品。另外,对playworm老兄额外多说一句,你说的"比如一加载就从最底层控制对磁盘的读写,由微点来代替读写,如果是危险操作,而且操作的模块是未知不明模块,就拦下来并报警。或者微软操作系统不再支持最底层操作,必须从中间层来操作。"所谓的最底层(windows driver层次),是ATAPI,首先必须要了解ATAPI的规范,另外ATAPI可以由第三方来替代。就即使能开发出来,对磁盘的读写完全是可以直接使用IN,OUT指令来替代,根本不需要经过windows driver层次,换句话说即使拦截了也没有用。不好意思在这里卖弄了一下。^_^
作者: Administrater     时间: 2006-9-1 12:33
楼上说的"微点没有其它的手段来防毒",这个值得商榷,在我使用过程中,微点弹出的提示框有报出病毒或者木马的名字的情况,根据我对安全软件的理解,肯定是有特征码比对才能准确报出名字的,这说明还是有其他方法的,比如特征码
作者: calm_cs     时间: 2006-9-1 12:46    标题: 明白了

我一直在纳闷了,没有特征码的话,关凭程序的行为就可以断定是何种病毒,这也太神奇了吧,原来如此呀,呵呵,那可已讨论的地方就更多了哟,先睡个午觉,下午接着聊。 呵呵,论坛上还有朋友用我们公司的产品哈,不是正版吧:)
作者: calm_cs     时间: 2006-9-1 13:51
如果真像我怀疑的那样,微点的产品除了在主动防御 技术之外,还使用了特征码技术的话,那我就有疑问了,微点的产品对病毒的查杀功能到底是主动防御 技术起的作用还是特征码扫描再起作用了。微点一直在宣称自己的最大的卖点是主动防御技术,可是却没有看到微点单独对这项技术进行病毒查杀能力的测试数据,换句话说我并不是说微点不能采用其它的杀毒技术,而是应该给出单独采用主动防御技术的话,对病毒的查杀效果会怎样。像启发式扫描技术就做过这样不依赖任何病毒库的测试。
因为只有这样,我们才能知道到底创新在哪里,这种技术创新是否有效了。不然,我就有点质疑,微点该不是以特征码查杀为基础,以主动防御这个噱头为卖点吧,要是这样就太对不起广大朋友对微点的支持了。我觉得微点应该给出这方面的测试数据,或对这个情况进行说明,来打消我们这些技术爱好者的疑虑。
作者: idea     时间: 2006-9-1 14:42


  Quote:
Originally posted by calm_cs at 2006-9-1 13:51:
如果真像我怀疑的那样,微点的产品除了在主动防御 技术之外,还使用了特征码技术的话,那我就有疑问了,微点的产品对病毒的查杀功能到底是主动防御 技术起的作用还是特征码扫描再起作用了。微点一直在宣称自己的最 ...

欣赏这样朋友对技术的执着,做事都喜欢以数据以依据,用数据来检验一个产品的确能做到比较客观公正,可现在大家都知道,微点产品还没上市,之所以没上市的原因相信这里的大部分的朋友都知道了,相关检测部门被示意不予以检测,也就没有权威的检测报告和数据了,如果你就想微点官方给大家个数据,我个人觉得意义不大,假如微点官方给出数字说99.9%的新病毒能被微点主动防御拦截,你信吗?你会说不信吧(之前一帖你说过只信国外的一些测试数据,QA我也了解一些),既然不信,我觉得还是自己动手吧,以自己的方式对微点进行全方面的测试,然后告诉大家你的测试结果,再和大家讨论其中的细节,不然有了这个质疑、那个疑问啥的只能是停留在理论上了
作者: idea     时间: 2006-9-1 14:54
补充一下:至于calm_cs朋友对微点是以特征码查杀为基础,以主动防御这个噱头为卖点的质疑,我觉得这样朋友忽视了“特征码查杀为基础”最重要的一点——杀毒引挚,用过微点的人都知道,微点不带全盘扫描的功能,我想应该是没有嵌入杀毒引挚的缘故吧,这位朋友产生这样的质疑不合之前发帖的水准哦,呵呵,开个玩笑~
作者: aidi     时间: 2006-9-1 15:20


  Quote:
Originally posted by calm_cs at 2006-9-1 01:51 PM:
如果真像我怀疑的那样,微点的产品除了在主动防御 技术之外,还使用了特征码技术的话,那我就有疑问了,微点的产品对病毒的查杀功能到底是主动防御 技术起的作用还是特征码扫描再起作用了。微点一直在宣称自己的最 ...

这就不对了,不是同一个人吧;" 微点主动防御软件建立了动态仿真反病毒专家系统,能够自动准确判定新病毒,并且能够自动提取特征值,自动更新本地特征值库,实现对病毒的主动防御。"这段文件您应该看得到,微点说的是"自动提取特征值",微点的特征值是通过自身的反病毒专家系统自己提取的,这项技术应该其他的厂商还没有能够实现,由此看来微点还是主要依据主动防御技术防御病毒的;特征码扫描因该是为了下次再出现时不等病毒运行直接清除;可见微点还是融合了传统反病毒的技术.
作者: calm_cs     时间: 2006-9-1 15:22
谢谢43楼的朋友的提醒,所以说我以前一直都是再怀疑,因为我觉得没有特征码就能知道相应的病毒,木马的名称,除非是特别典型的,否则是很搬到到。如同一个警察根据一个人的行为比如杀人,抢劫,可以知道他是一个罪犯,但是你不能马上知道他叫什么名字家住哪里吧。不过我也只是怀疑,可是在这里看了不少帖子后,发现有的朋友暗示微点还是采用了特征码扫描技术的,我才将我的疑问公开。毕竟这个问题,我虽有怀疑,可还没有亲自验证出来啥。呵呵,你可以去看看39楼的帖子嘛,就是他影响了我的判断。又是admin,又是注册用户的,以为是点内部人员哟:)
      但是有一点我要说的是,不带全盘扫描也可以有杀毒引擎,也可以用特则码扫描发来进行实时的监控。大家不要一看到扫描,就以为是全盘扫描嘛。特征码扫描技术是一种病毒查杀技术,它和启发式扫描技术一样,即可以用于全盘扫描,也可以用于实时监控。
      欢迎更多的朋友来此讨论哈。其实我对技术的执着,远比不上这里的楼主哟。
作者: 285166790     时间: 2006-9-1 15:56
微点最大问题就是不好做检测,因为病毒必须要运行才能检测出来,把很多病毒一个一个试简直不可能,尤其是对于未知病毒的检测更是充满风险,微点检的出倒没什么事,万一它漏一个病毒把系统搞坏了,这测试可就得不偿失了,我觉得这将成为它推广的一个难点
作者: playworm     时间: 2006-9-1 16:36
学习了学习了,这个东西真的很复杂的。大家说说如果微软来开发操作系统,有没有办法,只能通过微软自己的api访问系统底层(如中断,bios基本指令设备操作外),不允许直接访问设备呢?如果这样,除非编的病毒是先装入硬盘,然后开机启动抢在操作系统启动前运行中断指令甚至直接bios指令,想到这里有点可怕,那岂不就是什么杀毒软件件也没用了?别笑我哦,我汇编学得不好,忘了一大半,脑子里只有一点点了。如果真编病毒,那种程度的容易不容易编啊,岂不是所有杀软都完了?(想当然包括影子系统了也完了)
作者: aidi     时间: 2006-9-1 17:05
那就不是一个平台下的产物了,就像是linux与windows;
没有运行的平台,病毒怎么能够运行呢?也许以后会有高手开发出跨平台的病毒;
作者: aidi     时间: 2006-9-1 17:21    标题: 再谈虚拟机

从calm_cs的帖子中发现,您所领悟的虚拟机类似是像VMWare那样的Guest OS;
但杀毒软件所采用的虚拟机技术应该还不能够达到VMWare的效果,只能算是一个简化版的Virtaul PC,他在解决脱壳和单进程感染时应该是比较有效的,但现在的木马\间谍、病毒都采用多进程多线程技术,也就是说需要在每启动一个进程就要虚拟一个环境,这样的负载可想而知...
作者: Administrater     时间: 2006-9-1 18:17
此Administrater非彼Administrator,只是我惯用的一个帐号而已,看来这个帐号达到了我的目的,还的确能蒙着人,早知道就用这个帐号给各位发短消息骗帐号密码了
作者: 梦幻家园     时间: 2006-9-1 18:45


  Quote:
Originally posted by Administrater at 2006-9-1 18:17:
此Administrater非彼Administrator,只是我惯用的一个帐号而已,看来这个帐号达到了我的目的,还的确能蒙着人,早知道就用这个帐号给各位发短消息骗帐号密码了

一个er结尾,一个or结尾,简直就是病毒伪装行为。
作者: 反黑先锋     时间: 2006-9-1 18:49
这个帖子改为 主动防御可以完成的任务 那就好了:cool:

把你们的才华 放到支点上。
作者: nasdaq     时间: 2006-9-1 19:28
哈哈,开工,目标llcracker朋友的 33、38帖,calm_cs朋友的34、37、41帖

首先,我想大家应该理清两个概念:产品和技术。

技术就是一种技术,譬如说行为引擎。

产品是将多种技术融合到一起的一种商品,譬如说微点主动防御软件(以下简称微点)。


基此,我有以下的一个表述:微点是包含有行为引擎技术的一种产品。特别要说明的是,微点并不只有一个行为引擎技术,最起码还包括特征码技术(见置顶帖,官方从未否认过使用特征码),最起码还有包过滤防火墙技术,最起码还有UI设计相关技术。


我今天又粗略地学习了一遍置顶帖们,结合我的体会,谈谈我的学习心得:

1.微点的总体出发点
对于特征码技术的滞后性,前面的讨论中我们大家都已达成了共识。微点的一个总体出发点就是想解决滞后这个致命的缺点。为此,微点提出的一个技术方向就是行为引擎,虽然在目前这个初期阶段,存在有很多这样那样的不足。但是,我们欣喜地看到了一些进步,譬如说国内的“黑小子们”喜欢加工灰鸽子,几乎每天都会有穿新衣服的灰鸽子出现。微点对此表现不俗,很遗憾由于我手中的样本量很有限,我无法提供有说服力的量化指标。

客观的说,目前的微点确实还谈不到彻底解决滞后性的问题,但是微点有力地缓解了这个矛盾,这一点有目共睹。


2.行为引擎与微点
任何一种技术都是有其使用范围的!(呵呵,我不知道在哲学里面怎么讲,但是我说的这个精神应该是对的,可能叫辩证法吧)正如咱们以前讨论的结果,特征码不是万能的、虚拟机不是万能的、行为引擎不是万能的。

在市场经济中,想必每一种产品,都会努力扩展其实际的应用范围,以最大程度地谋求市场的认可。在这种情况下,只使用单一技术,只能处于竞争地劣势。所以很多厂家在把技术转变为产品的时候,都会以某一个或几个技术为核心,多种辅助综合方案共同发展。目的就是为了最大限度的扩展产品的应用范围。

微点也不例外,行为引擎技术本身也会有它的使用范围。另外,llcracker朋友说的那些技术太专业了我不太懂没法评论。但至少我们大家都看到微点目前是处于并将长期处于行为引擎的初级阶段(哈哈当然中等发达程度肯定不至于要到本世纪中叶),初级阶段就意味着各种各样的问题肯定是不少的。从一个侧面,证明出行为引擎特别是初级阶段的行为引擎,必然会有其局限性。虽然论证方法不一样,但对于行为引擎会存在局限性这点,我和llcracker朋友算是殊途而同归吧。

接下来就很必然了,微点软件同时应用多种技术和辅助方案,以求达到一个较好的综合防止效果。譬如说对于有些朋友提到的用户参与问题,我个人就比较倾向用大型白名单库来解决。一个大型白名单库,可以极大地解放最终用户,可以使得大多数乃至绝大多数常用程序,无须用户干预,即可安全运行和网络放行,同时也可缓解行为引擎监控的压力,提高计算机的整体运行速度。余下的一些少常用程序,可以由用户在微点技术服务部门的指导下,进行相应处理。特别要说一些亦正亦邪的程序(譬如网游外挂),出于对网游著作权公司的尊重,也不可以加入白名单轻易放行,还是向用户报警为佳。由用户自行鉴定,在技服的帮助下处理。

3.主辅之争

目前的几种杀毒技术都不完美,组合成产品,便引出了llcracker朋友提出的谁主谁辅问题。

咱们先讨论一下关于全盘扫描和实时监控谁主谁辅的问题,这个问题其实不是技术问题,我认为完全是用户用途用法的问题。

我没有做过抽样统计调查,仅以我个人为例,做一下探讨。
我的基本情况是:比较熟悉计算机技术,有一定的信息安全判别能力,数据量较大(常用的在260G左右)
所以我目前的基本信息安全方案,是以实时监控为主,不愿意浪费时间去做全盘扫描杀毒。当然有时用扫描引擎对我收集的样本作分类鉴别用。
在接触微点之前,特征码型实时监控并不能满足我的安全需求,所以我用黑冰的应用程序控制来提高防范水平。
在安装微点之后,我个人感觉微点的行为引擎比我以前用的那些特征码实时监控带来了突破性的进展,防范能力大幅飙升,呵呵,当然我也自信有能力来处理好微点的报警提示。

以我的个人情况来做总结,实时监控的应用远大于全盘扫描。所以我力挺行为引擎。
当然,每个用户的情况都是不一样的,想必有一些用户是以全盘扫描为主要应用,平时不开实时监控。对于他们来说,当然行为引擎的意义就不大了。

呵呵,说句玩笑,如果以累计运行时间来做决断的话,对于全盘扫描的总累计运行时间来说,实时监控的总累计运行时间必然会有压倒性的优势。哈哈,当然这个算法太玩笑化了,无法作为有效论据的。

市场很大的,如果被一种产品垄断,应该说是一种悲哀,因为哪意味着相当数量的人在被迫使用不太适宜的产品。呵呵,说句题外的,譬如说对于咱们健全人来说,加碘盐是很好的东西,这点要感谢政府的大力扶持。但是很遗憾,这个世界上有一种病叫做甲状腺机能亢进,得这个病的患者是不能吃碘的。面对政府的好意——市场上严厉查禁非加碘盐,他们反倒活得很麻烦。




4.关于主动防御

最后再来说一下主动防御,主动防御这个词的来源我没考证过。有了解的朋友请多多指教。

从微点的产品名称可以看出,主动防御是修饰微点软件的,好像是定语吧。我认为,主动防御是微点的一句商业口号,从商业宣传角度来说,主动防御四个字,显然比啰里啰唆的解释半天什么行为引擎、什么特征码滞后性的宣传效果要好的多。对于,主动防御四个字能否代表微点软件的神韵和特点呢?这是人家微点公司自己的事儿,咱们没有必要指手画脚。对于微点所针对的,完全被动靠升级特征码库和处置方案库的传统特征码引擎,微点确实可以不依赖升级也能识别很多恶意程序(老问题,我没有能力作出有说服力的量化说明,抱歉了)从这个意义来说,微点使用主动防御这四字,是有一定道理和依据的。

目前的现实是,似乎杀软行业都把主动防御这个词当成一个普遍应用地宣传口号了,说明书上有主动防御四个字,也就代表了该软件有一定的查杀未知道特征码的病毒的能力。具体效果我没有测试过,所以不敢妄加断言。

但我想,按照国内市场宣传的不良惯例,此主动防御非彼主动防御(微点)的概率应该是挺高的。李鬼和李逵的矛盾是永远存在的。

我并不是说只有刘旭可以开发出行为引擎,而别人就肯定都写不出来。现实是,创新性开发真是一个挺麻烦的事情呢,没多少人愿意去为风险投资为风险努力。国内论坛上有人写过一篇杀毒引擎的讨论文章,那文说世界上源头只有五大杀毒引擎。我不敢相信作者所说的数据都是真实有效的,但我领会到的一个精神是引擎是很麻烦的,数量很少很少。国内最大的软件公司,不就是买引擎来用么。
作者: 反黑先锋     时间: 2006-9-1 19:50


  Quote:
Originally posted by nasdaq at 2006-9-1 19:28:
个人就比较倾向用大型白名单库来解决。一个大型白名单库,可以极大地解放最终用户,可以使得大多数乃至绝大多数常用程序,无须用户干预,即可安全运行和网络放行,同时也可缓解行为引擎监控的压力,提高计算机的整体运行速度。

好建议!
作者: ballpointpen     时间: 2006-9-1 19:50
已知病毒特征码的类型:微点的已知病毒特征码与传统杀软的已知病毒特征码是一样的吗?换言之,微点的特征码是已知病毒的行为特征码,还是静态属性特征码?传统杀软的已知病毒特征码应该是静态属性特征码吧。

对病毒的防杀作用与病毒特征码库的关系:从微点的介绍来看,微点虽然在防杀过程中用到了已知病毒特征码库,但对病毒的防杀作用似乎对这个已知病毒特征码库没有依赖关系(对比:传统杀软对病毒的防杀作用则是一定要依赖于已知病毒特征码库的)。微点之所以也建立这个已知病毒特征码库,其目的或作用有二:
      1. 可以提高防杀过程中的查毒速度。
      2. 命名病毒。如果总是报出“未知病毒(木马)”是不太好吧。再说用户也希望知道是查杀了什么病毒的。

[ Last edited by ballpointpen on 2006-9-1 at 20:13 ]
作者: idea     时间: 2006-9-1 19:58    标题: 楼上这帖算不算是个总结的帖子呀~ ^_^

欣赏楼上这位老兄风格,言语温和中肯,思维开阔又不失严谨,赞一个!
作者: idea     时间: 2006-9-1 20:01
晕,跟帖真快啊,转眼就跟了两帖,我说的是53#的老兄哈
作者: nasdaq     时间: 2006-9-1 21:48


  Quote:
Originally posted by idea at 2006-9-1 20:01:
晕,跟帖真快啊,转眼就跟了两帖,我说的是53#的老兄哈

:D:D:D:D被您夸的我正咧嘴傻乐呢


不是总结贴,calm_cs 和llcracker还没回呢,calm_cs偏温和,llcracker偏犀利,呵呵,俩人性格不太一样,不管了,一律大战300合再说
作者: nasdaq     时间: 2006-9-1 21:50
对了,一直忘了问calm_cs 和llcracker,贵公司的虚拟光驱产品叫啥子呦?

另外,llcracker关于不能unload驱动的讲解解了我一个惑,我原来一直纳闷为什么更换驱动后必须重启才能生效呢
作者: 我     时间: 2006-9-1 21:54


  Quote:
Originally posted by nasdaq at 2006-9-1 21:48:



:D:D:D:D被您夸的我正咧嘴傻乐呢


不是总结贴,calm_cs 和llcracker还没回呢,calm_cs偏温和,llcracker偏犀利,呵呵,俩人性格不太一样,不管了,一律大战300合再说

算你狠!!!
作者: 中国操作系统     时间: 2006-9-2 06:41


  Quote:
Originally posted by calm_cs at 2006-8-31 16:00:
2楼的朋友不要激动嘛,就事论事,你有什么不同意见可以尽情阐述嘛,我们大家讨论的是技术啥,有不同看法太正常了。呵呵,这于楼主,你可是冤枉他了,他只是用外挂来打个比方,据我所知,他没有做外挂。因为我和他 ...

攻破了一个软件的保护技术算本事吗?真有本事你做一个软件保护技术,或开发一款优秀的软件,也为国人争争气。
作者: nasdaq     时间: 2006-9-2 13:09
刚注意到先锋的签名,原来是IBM的fans
作者: 微点专家     时间: 2006-9-2 13:17


  Quote:
Originally posted by 中国操作系统 at 2006-9-2 06:41:

攻破了一个软件的保护技术算本事吗?真有本事你做一个软件保护技术,或开发一款优秀的软件,也为国人争争气。

说到点子上了。

作者: calm_cs     时间: 2006-9-2 15:32    标题: 我们重庆的天气好热哟,不知各位那里天气如何,不过我们还是应该心平气和的讨论问题哈

今天我们休息哈,所以也没那么快的回帖了。其实我们并非用什么别的用意,我们既不是做杀毒行业的,收入也还马虎,用不着给谁当枪使。我们之所以在这里发帖(llcracker是受了我的影响,呵呵,我算是个原罪吧),一是我一向关注这个领域的动向,很早就从很多媒体上知道了刘老师,而且我也喜欢钻研一些底层技术,突然发现这个网站是个不错的平台,所以来这里发发帖而已,也是想很大家讨论一下,拓宽一些自己的思路,毕竟闭门造车是没什么大作为的。二是对手最新发布的产品我们已经发布的版本就支持了,所以我们一下子闲了下来,才经常来这里看看的啥。
      楼上的朋友说的一些东西我有点不同的看法。俗话说:文人相轻。我们各位就不必了吧,应该对事不对人吧。我承认“要做出一款出色的软件保护 远比攻破它更难”,可是要攻破它也不容易,特别是这个光盘保护领域最强大的保护软件。俄罗斯有很多组织在破译来,可是还没有多少进展了。喜欢逆向工程的朋友可以去试一下,很困难的,要是不做处理,保证你的调试器一启动就会当机哈。游侠网上的大虾们都只能爆破,你就可想这种保护技术的强悍了。我个人认为技术就是技术,只要能解决用户的需求,有是合法的,就行了啥。我们的产品主要在欧美和日本销售,它的合法性是没有问题的啥。不说了,我想说,我们做技术的人应该把心胸放的广一点,学会学习别人的好东西,拓宽自己的眼界,这样才能进步。外国同行老说我们中国的程序员个人能力很强,可就是不懂与人合作。 我从来不轻易的否定别人的技术,我只是根据自己对技术的认知来进行质疑而已,你有不同看法大可以提出来嘛,大家讨论一下,说不定会有新的收获了。我倒是感觉,病毒和间谍软件中有很多的技术值得学习和借鉴。
  
作者: 微点专家     时间: 2006-9-2 15:40
我们这里也热啊!!!

现在吃白菜都吃不起(太贵了),只吃得起肉了。




楼上的分析也很有道理啊!!!

[ Last edited by 微点专家 on 2006-9-2 at 15:42 ]
作者: 一个人的旅行     时间: 2006-9-2 15:44
"我倒是感觉,病毒和间谍软件中有很多的技术值得学习和借鉴"

严重同意  calm_cs 的观点,要不怎么现在怎么会出现那么多的流氓软件,都是学了这些木马间谍技术!!
作者: calm_cs     时间: 2006-9-2 16:33    标题: 回53楼的朋友

  你的想法很有一些可取之处,我回你这帖也特别辛苦,要倒回去看好几次了。呵呵,开个玩笑。可惜llcraker不在,等他来了,你们可以好好的大战300回合。思想是需要碰撞和交流的嘛。
  就你提出的问题,我也就我掌握的情况和你交流一下。主动防御这个概念在国际上应该是很早就有了,微点也确实在这个概念下比较早的推出了自己的产品。当然这个概念是当下一个非常时髦的东西,但是它能否成为一种方向一种业界的标准,还需要时间的考验和做大量的工作。至于你提到的效率问题,其实病毒特征码扫描或是启发式扫描技术也可以用于实事监控呀,大家不要一看到扫描,就认为是扫描硬盘数据嘛。它们都是传统杀毒引擎的一部分,在扫描磁盘和实时监控的时候都在工作哈。虚拟机技术确实存在一个效率的问题。但是随着现在硬件技术的提高,特别是双核技术和Inter和AMD推出的新的CPU的指令集中将新增一些经过优化的虚拟机指令,所以我觉得在不久的将来虚拟机的效率问题将会得到很大的改善。
  至于病毒库和扫描引擎的问题,我的质疑就很多了,我在前面的四十几楼提出了我的一些疑问。其他朋友也说出了他们的看法,也给了我不少的启迪。有为朋友提到了虚拟机的问题,他说得很对,我开始不想把问题的说得太复杂,所以没有提,在论坛的其他帖子里我提到过,杀毒引擎用到的虚拟机并不是向VMWare一样的完整的虚拟机,因为那样,现在的机器几乎不能忍受那样的杀毒效率,它更向是一个通用的解码器。很多的病毒正式利用这一点,开发了很多反虚拟机的技术,详细的资料可以去清华BBS上看看 一篇关于杀毒引擎设计的帖子,写得很好,将虚拟机和实时监控技术讲得也比较详细。
  关于aidi朋友对微点引擎自动提取病毒特征码的说法,我有自己的看法。我觉得没有虚拟机的脱壳帮助,用你说的流程提取的病毒特征码,很不可靠。因为我在跟踪一些加密软件时发现,有的加密算法会一边解密一边执行,执行完后,又加密。如果病毒采用的是这种加壳技术,当你的行为引擎判断出它是病毒后,你去提取它的特征码时它已经是加密后的状态,你无法提前病毒本体的特征码,如果这还是一种变形病毒的话,你提取的特征码就没有任何价值了。与此相比,传统的虚拟机脱壳技术在这一点上,无疑更为有效。
  喜欢大家就技术问题,多多发帖讨论,说不定我们的讨论,对微点的改进与提高还是很有建设性的啥。
作者: jaber     时间: 2006-9-2 16:59
呵呵  看见大家在这的交流  很好啊          几位高手思维敏捷   分析得很好   而且语气适中     不伤和气  很好      对于技术的交流  我觉得就是需要这样的平台 这样的氛围      才可以共同进步   


   对于这些技术我了解的不多 还希望各位高手 多多的提意    我们大家也希望我们的民族产品走上舞台嘛
作者: 含笑半步颠     时间: 2006-9-2 17:13
虚拟机对付现在多进程和多线程的木马间谍等病毒存在的问题就是不仅仅是要对每个进程或者线程创建一个虚拟机,资源占用方面的开销不说,虚拟机又如何判断什么时候可以结束虚拟?时间作为虚拟机结束的触发条件?现在病毒很多具有潜伏性,1分钟、1小时,恐怕不行。现在病毒很多是通过多个进程的相互合作来完成一个行为,就像武侠小说中的毒药,几种毒药在不同时间服下才会出现发作,虚拟机又如何判断?
虚拟何必不回到现实?
作者: 无奈无赖     时间: 2006-9-2 17:26
可惜,来晚了,唉!!
作者: calm_cs     时间: 2006-9-2 22:43
72楼的朋友对虚拟机的运行有一些误解,其实我也不是这方面的专家,只是这几天开了点资料,去网上下了些简单的虚拟机代码来看。其实虚拟机可以做得很复杂,也可以做得很简单。在杀毒引擎上来说,并不是也复杂越好,毕竟复杂的虚拟机效率太慢,也不是越简单越好,越简单,越容易被病毒所识别。关键是找到一个平衡点,这是当前最复杂的地方。但是随着硬件技术的提高,虚拟机效率的提高,它可以越做越复杂,越做越像一台真实的机器,这样病毒的识别虚拟机就会很困难了。
      至于你提到的一些关于虚拟机怎样工作的问题,因为病毒在虚拟机上工作时处于一种受监控的情况,它可以知道病毒的运行状态,换句话说,这时候病毒是在一个完全受控的环境里运行,所以虚拟机有足够的信息了解病毒的运行情况和根据这些信息采取措施。当然这是一种理论情况,在实现的时候,不同的实现方式的效果相差很大。不过你提到的几种情况,现在的虚拟机技术都可以实现,而且不用占用太多的资源。对虚拟机威胁最大的是一些病毒编写高手根据虚拟机与真实环境的差别,编写的专门的反虚拟机技术的代码。至于你提到你潜伏问题,当病毒被激活时,在实时监控中的杀毒技术如启发式扫描技术就可以捕获并分析这个病毒,一旦确定它是病毒,就会报警,并进行查杀。我以前的帖子提到过,启发式扫描和病毒特征码扫描同样可以用于实时监控,你什么时候发作,我在你破坏心动开始这些,把你干掉就好了。套用一句标语吧:别伸手,伸手必被捉。
作者: nasdaq     时间: 2006-9-3 17:08    标题: “标准”的问题

首先,向以calm_cs和llcracker为代表的几位持“不同技见”的朋友们致敬,呵呵,在微点的论坛上,必然是微点的支持者会占有压倒性优势,说实话,您几位真挺不容易的,望再接再厉,为本贴不断添砖加瓦。

管理员已经给这个“造反”的帖子受精了,这最起码从侧面说明了微点官方的一个态度——微点绝不会闭关自守、夜郎自大!

召唤对主动防御持不同意见的朋友们来参加讨论。欢迎言之有物,反对无理取闹和恶意谩骂。呵呵,要是没有新鲜血液来补充,“反”派斗士是坚持不了多少时间的,没办法,双方的人力对比太悬殊了……


来,说正题,这帖主要探讨“标准”的问题

我很赞同calm_cs和llcracker两位朋友关于标准对于一个行业的重要性的讲解。但是(呵呵,重要的是这个但是),我们需要先明确标准存在的意义。我本人不太懂理论上的管理学,下面浅谈一些我的个人看法,管理学大师们请给我留点儿面子。

我觉得标准存在的基础意义,就是为了兼容。兼容比较好理解,有了统一的标准就可以实现不同厂家的产品、不同批次的产品之间的搭配使用,这点主要是实际意义。

有了这个标准存在的意义,所以我觉得标准并不是所有行业都必须具备的。举个例子,勺子除了满足餐具必须的卫生标准之外,有必要设立其特殊的行业标准么?勺子可以做成任意大小,大嘴用大勺、小嘴用小勺,能放进嘴里就行,每个厂家都用自己的理念来生产。当然,不同的勺子使用感受是不一样的,以舒服为佳。为什么勺子没有强制性的标准呢?因为,第一,勺子本身具备较完整的功能体系,一般不需要搭配其它用具使用;第二,每个人的个体生理差异很大,舒服这个词很难量化,大家只能靠自己感受。

附:
国家标准(GB)查询平台
http://218.106.175.20/stdlinfo/s ... Bzhcx.GjbzcxServlet

再来说杀软,一般来说,杀软本身具有比较完备的功能,一般不需要借助其它软件的配合,就可以完成自己的主要任务。具体的国家标准我不太清楚,但应该是一些泛泛的标准,象calm_cs和llcracker两位朋友提到的详尽的技术标准,无论是出于我上面提到的理由还是企业利益,都是没必要存在的。

PS:杀软行业的国家评测是一个门槛性的检测标准,第三方的评测主要是想客观的评价不同产品之间的差异,出发点不同。但这两个都不是行业技术标准。

“一流公司做标准,二流公司做技术,三流公司做产品”
——这句话确实挺有道理的,但是不是万用的,也有其适用范围。举个反例,可口可乐公司永远也不会申请配方专利,为什么呢?因为他不希望配方被公开。泛泛的标准是没有什么意义的,像SCSI接口规范这种详尽的技术标准,必须公布所有技术细节才可以。


综合上述的一些想法,我觉得至少是目前吧,为了肃清鱼龙混杂的情况,很可能会出台一份笼统型的主动防御的标准,呵呵,这个标准一定程度上有助于洗牌、提高门槛和提升企业效益。但是,详尽型的主动防御技术规范,我认为应该是不会出现的。

[ Last edited by nasdaq on 2006-9-3 at 20:40 ]
作者: nasdaq     时间: 2006-9-3 17:11
to calm_cs:

嗯,这个帖子的信息量越来越大了,确实回复挺累的。

单开一个记事本吧,呵呵,边着帖子边写回复,省得来回倒了。
作者: nasdaq     时间: 2006-9-3 20:38    标题: 再论启发式和实时行为引擎

根据calm_cs 的介绍,我觉得启发式和行为引擎,其实精神是相同的,都是针对异常行为进行分析和判断。只不过行为引擎是实时分析,启发式是在虚拟机里预加载进行分析。

实现方式的不同,就意味着这两种技术的适用范围不太一样,显然在实时监控这个问题上,实时行为引擎的效率要比启发式要高很多,呵呵,因为它实时阿,而启发式要先在虚拟机里预加载分析判断,然后再正式运行,用户的实际体验应该是比较卡比较慢,一句话,挺不爽的。

PS:唉,我觉得现在常用的用任务管理器,监测CPU占用率和内存占用,以后都没什么意义了。虽然我不会开发,但我觉得用类似插入或者隐藏的方式,把两种占用转加给其它程序或隐藏起来,就可以实现这两个指标的视觉优秀。唉,无奈的说,主观感觉才是王道,卡不卡和整体流畅度才能说明问题。只是这两个指标全凭嘴说,纯靠人品保证了……顺便感叹一下,现在全社会性的信任危机。


回到正题,72楼“含笑半步颠”朋友提到的潜伏性问题,我觉得虚拟机解决起来应该是比较麻烦的,因为虚拟机要考虑到查毒速度的问题,不可能等很长时间等潜伏程序被触发;而用实时行为引擎,在潜伏性恶意程序刚运行的时候,因为确实没有恶意行为,可能暂时不报警,而一旦收到外界的激活信息,开始有恶意行为的时候,实时行为引擎将会迅速作出反应。我猜测,实时行为引擎应该至少有三部分:实时行为分析+反击+后期修复。分析出异常行为,进行反击,最后根据程序行为记录,把该恶意程序之前做的一些不算恶的行为一并清理掉,譬如说注册表里一些无关紧要的键值之类。

某种程度上说,启发式=简化虚拟机+简化行为判断引擎。从这个式子来看,启发式可以说是双研发难点,虚拟机+行为判断都是很麻烦的技术,需要反复试验反复调整。为什么说是简化行为引擎呢?第一,简化虚拟机可以理解为剥离了很多功能的一个残缺windows,基于简化虚拟机想必也只能检测到部分的行为特征。第二,这个行为引擎只具有检测判断部分,而不具有反击和修复部分,因为虚拟机里没必要做反击和修复。

启发式有个优点就是安全系数高,因为恶意程序只是在虚拟机里预运行,理论上出现问题只要kill虚拟机就ok,不会影响到实际操作系统的安全。所以,启发式在做全盘扫描的时候,应该是很有优势的,缺点依然是效率不够高,扫描速度慢。

呵呵,因为我本人觉得,实时监控的应用需求是远远大于全盘扫描的,所以我旗帜鲜明地偏向于选择使用实时行为引擎类的产品,譬如微点。

正如calm_cs和llcracker说的,由于没有行业的技术规范,每家企业都要自己搞一套自己的技术标准。目前的启发式和实时行为引擎,都是前沿技术,都需要消耗大量人力物力财力进行研究试验。由于每家公司的实力不同,所以最终的产品们,技术水平参差不齐应该是一件很必然的事情。以博弈论的观点,从整个行业的角度来说,这种各自为战的行为确实是一种不好的内耗,大量的资源被浪费掉了。博弈论是纯理论的玩意儿,虽然说得很对,但是现实是没有办法去照着做的。目前的现实是,世界信息安全产业还在初级阶段,行业的现状就是以业内竞争为主。虽然业内两家强势厂商Symantec和McAfee已开始资本运作并购中小企业,但目前尚构不成全球性整合的气候。
作者: 反黑先锋     时间: 2006-9-3 21:10


  Quote:
Originally posted by nasdaq at 2006-9-3 20:38:
根据calm_cs 的介绍,我觉得启发式和行为引擎,其实精神是相同的,都是针对异常行为进行分析和判断。只不过行为引擎是实时分析,启发式是在虚拟机里预加载进行分析。

实现方式的不同,就意味着这两种技术的适用 ...

好帖 这么详细啊 学习!;)
作者: LjhEARTH     时间: 2006-9-4 00:02    标题: 启发式引擎和行为分析引擎是一样的

我觉得没有所谓“启发式”和“行为引擎”之分,对软件进行行为分析就是启发式,和放不放在虚拟机无关。微点主动防御软件的“主动防御”就是指采用启发式扫描引擎(对,是扫描引擎,微点只是没有提供让用户进行手动扫描而已)对未知病毒的发现和拦截,这个和卡巴斯基的启发式(好像卡巴斯基称之为“病毒前摄技术”吧)道理是一样的,只不多卡巴斯基把未知病毒放在虚拟机里运行分析,而微点直接让其在真机运行分析而已(程序行为实时监控)。
     在研发难度上,我不觉得卡巴斯基的“虚拟机+行为分析”会比微点的“单纯的行为分析”难度高。因为卡巴斯基虽然增加了一个“虚拟机”研发项目,但其行为引擎却允许病毒全程执行完自己的破坏行为后进而做出判断;微点因为没有虚拟机,所以必须在病毒做出破坏行为之前就通过逻辑分析先预判断出该程序是病毒。所以,微点的行为分析引擎在智能性方面的要求要比卡巴斯基的高得多了。
      我个人认为微点的启发式引擎(行为分析引擎)在技术上已经超越了卡巴斯基的。但是,在正式投入市场的反病毒软件中,卡巴斯基只是虚拟机技术领先世界,而启发式引擎技术最好的是NOD32的。
衷心希望微点能在今年11月的国际反病毒软件对未知病毒扫描测试中击败NOD32。
作者: calm_cs     时间: 2006-9-4 09:51
一上班看到很多朋友的回帖,好呀,大家讨论的氛围很好呀。我非常同意79楼朋友对启发式和行为分析两种技术的对比分析。特别是“因为卡巴斯基虽然增加了一个“虚拟机”研发项目,但其行为引擎却允许病毒全程执行完自己的破坏行为后进而做出判断;微点因为没有虚拟机,所以必须在病毒做出破坏行为之前就通过逻辑分析先预判断出该程序是病毒。所以,微点的行为分析引擎在智能性方面的要求要比卡巴斯基的高得多了。” 真是说得很好呀,我以前也是持这种观点,但是表达得没有这么清楚,赞一个。
      在一点 “微点的行为分析引擎在智能性方面的要求要比卡巴斯基的高得多了” 上我和你的看法完全一致。但是我们看一个技术能不能成为以后的趋势,会不会被大多数的厂商所接受,看的不是这种技术的复杂性,而是这种技术的可靠性以及其实现成本。诚如你帖子中说,微点的智能方面比卡巴高,换句话说微点引擎的设计比起卡巴引擎的设计来说,要复杂得多。写过程序的朋友想比有这种感受,“智能”这个东西在程序实现来说挺麻烦的,一台能拿国际象棋冠军的电脑已经震惊世界了(它还是再人的操作下了),日本人研究的智能电脑几十年过去了,投入的人力物力不算,还没听说什么突破性的进展了。而卡巴的引擎则不同,“其行为引擎却允许病毒全程执行完自己的破坏行为后进而做出判断”, 这就极大的降低了其引擎对智能设计的要求,因而实现起来更简单,可靠性也更高(不会对真实环境造成破还)。说以现在的启发式扫描技术+虚拟机 的病毒检测率在不依靠任何病毒库的情况下,卡巴在94年宣称是不低于92%,清华BBS上提到的说国际公测的结果是85%(2003 年的帖子)。(顺便说一下,大家可以去卡巴 的网站看看,它上面有十分完善的国际防病毒机构的测试数据,凡是要进入杀毒这个领域的厂家都需要做这个测试,这些数据才能向用户清楚地表明软件的性能。可以说这也反映了整个杀毒行业对卡巴的认可程度,所以这样的测试是不能不做的,希望微点也能拿出这样的数据。 ) 虚拟机的最大问题我认为是再执行效率上,大家可以去看看我前面的帖子,我的看法是随便硬件环境的飞速提升,特别是双核技术和一些增加了优化虚拟机指令的CPU上市,会令虚拟机的效率得以快速提高,不在成为制约它发展得瓶颈。
      所以我更看好以虚拟机为基础的启发式扫描,当然行为分析可以作为一种辅助的技术在杀毒领域一显身手。
      最后,我跟你一样,衷心希望微点能在今年11月的国际反病毒软件对未知病毒扫描测试中击败NOD32,用事实来否定我们对微点技术的质疑。
作者: 反黑先锋     时间: 2006-9-4 09:54


  Quote:
Originally posted by calm_cs at 2006-9-4 09:51:
一上班看到很多朋友的回帖,好呀,大家讨论的氛围很好呀。我非常同意79楼朋友对启发式和行为分析两种技术的对比分析。特别是“因为卡巴斯基虽然增加了一个“虚拟机”研发项目,但其行为引擎却允许病毒全程执行完自 ...

朋友来啦 等的你好辛苦啊  :D支持你。
作者: calm_cs     时间: 2006-9-4 10:04    标题: 致 nasdaq朋友:

我在前面的帖子已经说过了,启发式扫描同样可以用于实时监控,而且很多著名的传统杀毒软件就是这么做的,它的效率肯定比特征码扫描和主动防御要低,但是随着硬件技术的进步,它的效率瓶颈应该会被很好地解决。
      我是觉得硬件的进步要比一种思想的突破来要容易得多。从计算机的发展来看,以CPU为代表的硬件技术已经更新换代了多少,速度又提高了多少倍,可是我们仍处于冯罗依曼提出的计算机的架构中。同样,要想使杀毒软件更加只能远比利用改善硬件来解决虚拟机的效率问题要复杂得多,困难得多。
      所以我觉得以虚拟机为基础的启发式扫描更有可能成为未来杀毒软件采用的主要杀毒技术。而且AMD和Inter都在它们推出的新的CPU中增加了对虚拟机的支持,它们也是看好虚拟机的各种应用的。
作者: nasdaq     时间: 2006-9-4 15:49
感谢来了几位朋友参与讨论

我昨晚上突然想到一个问题,想向大家咨询一下:

卡巴的虚拟机是一种简化型的虚拟机。所以我想,在简化型虚拟机中进行的行为引擎测试,其探针数量和拾取点都要略逊于windows下的实时行为引擎的。

我能否做一下推论:实时引擎由于其拾取点和完全windows环境的先天性优势,其理论上的综合识别未知病毒的能力要高于虚拟机中的简化行为引擎呢?
作者: nasdaq     时间: 2006-9-4 15:57    标题: 致 calm_cs朋友

呵呵,我承认您说的那种虚拟机+启发式可以应用于实时监控。

但是我认为,虚拟机的效率问题是受其体制影响的,永远也不能很好地解决。

虚拟机:先完整的预运行一遍程序,再处理。
实时引擎:边运行边处理。

差距太明显了,预运行程序的时间消耗量是远远超过随后的行为分析和处理的
体制的特点,使得虚拟机有极其优异的安全特性,但是永远不可能实现高效率。因为预运行程序的时间,是不可控制的。

对于您说的,通过CPU指令的优化来提高虚拟机效率,我个人意见是将极大地改善用户体验,因为肯定不会像指令未优化之前那么卡了。但是,杀毒速度和实施监控的效率,是无法根本转变的,最多只是有所改善而已。
作者: nasdaq     时间: 2006-9-4 16:08
又来了一位高手——LjhEARTH,呵呵,100楼有望了

越发地觉得自己在虚拟机知识上的单薄,老老实实去看calm_cs发的资料吧
作者: calm_cs     时间: 2006-9-4 16:38    标题: 版主说:nasdaq是个好同志 :)

nasdaq朋友可以去看看虚拟机的资料,其实所谓的病毒程序在虚拟机上运行,并不是像你想象的那样如同在真实的环境中那样完全地执行,其具体的运行流程十分的复杂,而且不同的杀毒软件也采用不同的虚拟机设计策略以达到一种执行效率与病毒查杀率的平衡,我们可以简单的认为病毒是运行在一个简易的不完全的环境里。这是虚拟机设计的难点,也是检验一个虚拟机水平高低的重要标准。我只看了一些简单的虚拟机代码,所以也不能讲得更加深入了。有兴趣得朋友可以去查查相关得资料,然后放到这里来,大家一起学习一下。
      至于效率问题,我是这样看的。打个比方,两台机器,如果进XP系统的时间分别为10和15,我想用户是不会太在意这个时间。我要强调的是,随着虚拟机设计的优化和硬件技术的提高,其执行效率必将达到一个用户完全可以接受的地步。
      如果不采用虚拟机技术,在杀毒时会有很多的弊端,我以前的帖子和LjhEARTH朋友的帖子里都有说明,感兴趣的朋友可以去看看,更希望大家能提出自己的想法,大家好好讨论讨论哈。:)
作者: aidi     时间: 2006-9-4 17:03    标题: 回复#68楼朋友

"......关于aidi朋友对微点引擎自动提取病毒特征码的说法,我有自己的看法。我觉得没有虚拟机的脱壳帮助......“

不好意思这两天回家休息了,没有及时回复你的帖子;
还是那个话题,对于加了壳的病毒,加壳的目的只是为了躲开传统特征值扫描,在他要发挥病毒的行为时同样要,脱下那些壳才可以;而我理解的微点正是在他脱了壳之后才发现他的,这时微点应该是先把它挂住了,然后提示用户操作,选择删除后微点会先提取他的特征码然后再删除病毒;正与你所说杀软的虚拟机技术并不是完整的虚拟机,更向是一个通用的解码器。很多的病毒正式利用这一点,开发了很多反虚拟机的技术,这时虚拟机就发挥不了他的作用了;
在此更正一下,主动防御是不依赖于传统病毒特征码库的,所以关于那个提取特征,只是为了更高效率的拦截病毒,并为病毒赋予具体的名称,差点被你误导。
作者: calm_cs     时间: 2006-9-4 17:56    标题: TO aidi

主动防御是不能判断病毒是否已经脱壳,因为它不能想虚拟机技术一样监控病毒的每一步运行,并且分析病毒的指令。病毒是可以先解密一部分代码,运行后,加密,在解密另一部分代码.......,在微点判断程序为病毒时,它只有一部分代码是被解密了的,更为严重的问题是这部份代码也许是一个通用的操作,如读写文件操作,这样微点抓出来的特征码就是不准确,因为它没能抓住病毒本体的特征码。
作者: 一个人的旅行     时间: 2006-9-5 12:31
"主动防御是不能判断病毒是否已经脱壳"

其实,主动防御根本不需要知道是否已经脱壳,它是根据行为来判断的
看来你还没有完全理解"主动防御"这个新生事物
作者: calm_cs     时间: 2006-9-5 13:55
89楼的朋友可以看看我和aidi前面的帖子,了解一下我们争论的是什么问题嘛。根据aidi和另外一些朋友的看法,微点具有自动提取病毒特征码的功能,要实现这个功能当然要考虑病毒脱壳的问题。
作者: zqrsc     时间: 2006-9-5 14:21
不论是脱壳后立即加密 还是 内存重新装配..
要完成任务诉求,就要保留完整的程序影像,微点实时的监控引擎,可以不用考虑怎么样变形.怎么样偏移,只需要等待完整的运行影像,拦截并提取特征就行. 带壳运行的样本还没发现过~
再怎么样复杂的壳,你总的先自己脱出来再运行吧?
呵呵~
作者: calm_cs     时间: 2006-9-5 14:53
zprsc的朋友可能没有跟过这样的加密程序,其实不需要有什么“完整的程序影像”,因为程序可以对内存里的代码执行加密,所以你在每个时间点都不能看到它的完全的解密代码。你可以用softice去跟一下一种叫Tages的光盘保护的驱动文件,它就是用的这种处理方式,你可以看到你内存中的代码执行前后一致,可执行时确是经过运算处理后的代码。:)
作者: zqrsc     时间: 2006-9-6 13:41
呵呵~~关于光盘保护技术 楼上是行家 这个俺的确没跟过。。
去学习下
作者: 微点专家     时间: 2006-9-6 13:42    标题: 这样的帖子得顶

附件 1: u=3343735998,4240614388&gp=2.jpg (2006-9-6 13:42, 4.83 K,下载次数: 135)


作者: lasd     时间: 2006-9-6 13:56
我也比较同意楼主的观点,微点应该更聪明才对。现在这个阶段还是感觉有些笨、也可说死板,不灵活。
作者: fanyv     时间: 2006-9-6 21:03
在讨论技术的板块上因不同观点的碰撞有攻击他人人身行为的语言、行为者应该被鄙视!
作者: llcracker     时间: 2006-9-18 17:50
好久没有上来顶贴子了,由于最近比较忙,闲暇之余偷偷上来叨唠几句。昨天星期天在家里上网,想从网上下下三国群英传6玩玩,找了好多网站终于给我找到一个BT下载的地方。于是急急忙忙使用BitComet0.63来下载这款游戏,想下载这段时间到网上去看看电影。当我再次打IE时,发现IE启动速度比平时慢了许多,直觉认为其属于不正常行为。便使用XP任务管理器打开来看看,果真多了一些莫名其妙进程。仔细想想,肯定是在开先访问众多网站中,中着招了!哎,心想真的很倒霉,现在的网站真的是越来越无聊了,也成了病毒及木马等其它恶意程序的帮兄!由于我的系统一直没有安装杀毒软件,在这里多说一句,不是我不想装,你们想想一台CPU 1.0G,内存192MB(还是SD的),跑XP慢得我都想哭,试想装一个杀软要耗费多少资源,中华民族的优良传统“节约”。怎么不换台呢?哎,一个字“穷”贝!好了废话不多说了,于是我尝试手工清除,使用FileMon、RegMon等监测及其它分析工具终于手工清除掉这些垃圾。也花费了我许多时间。这时,我也想来试试微点身手,是不是真的有独步武林的绝计?从官方网站上下载了一个最新的包"8月8日,发布新安装包(mp.060808.r2) "。然后,我再次访问我访问过的那些网站果然又中招。最后,安装微点重启。重启后再进入xp,马上微点就开始报警,其中找到一个已知木马进程,并且成功杀掉。然后,还有几个木马进程微点报出未知木马进程,并尝试其删除,一共有5-6个。和我手工删除的一样。因此认定微点报的没有问题。我先来说说这几个木马进程,它们并不是同一时间启动。这些木马进程通过修改扩展名关联的方式来启动自己,比如像.lnk会启动一个叫rundll32.com和一个叫1.exe的木马进程,而启动ie时会启动一个叫iexplorer.com及资源管理器explorer.com与regedit.com这是通过可执行文件扩展名优先顺序来启动的,还有就是一个叫winlogon.exe跟windows的及像,另外一个我记不清楚叫什么名字了,好像开头的是exr...什么的一个可执行文件。大致情况就是这样,微点的确清除掉这几个木马进程及文件。但是唯独有一个进程微点无法清除,就是iexplorer.com,虽然能发现但无法杀掉进程及对应的程序文件。很奇怪!过不了多久系统会蓝屏,根据蓝屏信息会发现是一个叫aood.sys(应该叫这名) Driver引发的蓝屏。这个Driver从来没有见过,到系统Drivers目录下去找,没有这个Driver。于是蓝屏重启后,我尝试不运行ie,将微点先进行uninstall。然后再次重启,运行FileMon,再运行ie。哇噻!发现iexplorer.com一运行后,会动态生成一个aood.sys,进行加载,完毕后再删除aood.sys driver文件名,并且它还应该清除掉了注册表中Services对应的键值,做到神不知鬼不觉。亏这些制造者也想得出来!最后,我进入到98系统中将这些木马程序手工删除掉。再次进入xp后,装入微点确定是否还有其它的木马进程。由于手工删除后,微点也没有再报了。但是我重新运行BitComet0.63和Stock(一款股票分析软件)报出类似可疑程序的信息。我将其加入到可信任列表中,但是还有一个信息我不敢说是误报,一个由rundll32.exe加载的dll,说是要访问远程端口,因为rundll32.exe是MS自己的,其以前机子上有,微点报出是否允许访问。由于这个rundll32.exe加载的dll我也不是很清楚是否为病毒或者其它的恶意程序,为了安全就禁止访问。这就是我昨天由于下游戏导致中病毒,然后再用其测试微点的一个过程。从这个过程中我想说明几点:
1、就像我在前面贴子中提到过的,目前的这些恶意程序为了得到更高的控制权会使用Driver这种方式,的确这是我无意中测试出的案例。并且通过测试发现微点对这种情况似乎无法处理。并且有点吓人的是,居然无法杀掉其木马进程及文件。这也应证了calm_cs老兄所提到的一些观点。即主动防御即使能发现某个病毒,但是由于病毒的行为已经实施。就像上面我所说的样,虽然能发现iexplorer.com这个木马进程但是无法删除它及杀掉它的进程,并且它的动作已经实施那就是加载aood.sys。的确加载成功了,最后是蓝屏了。我估计可能和微点有冲突,因为我将微点uninstall后再运行iexplorer.com加载aood.sys就没有问题。这点也可以通过DevView来确定,的确是加载成功了。因此,假设iexplorer.com就算没有其它的破坏动作,但是它让aood.sys成功加载已经是很可怕的行为。一旦aood.sys加载成功,在Driver级别所做的恶意行为那就是更可怕,可以这么说,微点如果无法即时阻止iexplorer.com,让aood.sys被成功加载,那么就是病毒与杀软共存的系统。微点也拿这个Driver没有任何办法。这个观点我在前面也已经提到过,也有网友反驳过只是少数,但是我想就这种少数已经让人头痛了,并且病毒使用Driver使得微点的捕捉范围大大受到考验,如果无法捕捉到系统中的每一个行为,那么至少来说还存在着问题。
二、微点误报,这跟其它主动防御软件没有什么区别。归根到底还是由于没有行业标准(即主动防御这个业界公认的标准)所致。这点我也在前面已经提过,可能有些网友误会是认为微点没有公开什么标准,并不是这样的。我不是要微点官方公布什么标准,就即使公布这样的标准,也不是我所提到的公认的标准。说简单点就像1+1=2可以说这是数学界的一个标准。而现在的主动防御就是没有这样的标准,导致只有是主动防御软件就会有误报。从这点来说,我认为微点不可能会有质的超越。
三、个人认为微点应该使用多种方式联合查杀毒,而不应该一味追求所谓的主动防御这个概念。我之所以在前面两点一直强调其微点的局限性,是因为微点目前只使用主动防御这个手段。那么这就意味着微点主动防御的效果至少要>=其它杀软综合杀毒效果。因此,有些支持微点的网友应该更客观的来看微点的主动防御,我个人认为不应该将微点的主动防御与其它杀软的其中所带的主动防御来比较,因为那只是其它杀软查杀的一个手段而已,应该和其它杀软的综合杀毒能力来比较。其实,有些网友在贴子中已经提到,微点实际上也使用了类似的的特征码技术。鄙人愚见,不知道特征码技术是不是属于主动防御技术中的一种或者是一种与主动防御不相关的技术。依小弟之见微点把主动防御与特征码技术相融合,从而提高杀毒能力,但是这并不能说明其主动防御能力有多强,那只是一个综合后的效果。因此,这样的效果并不能说明微点的主动防御有多强,我觉得有点鱼目混珠的感觉,当然我不是在否认其微点综合后的效果。微点应该还是需要类似的静态扫描等功能出来,这样做到多种查杀联合可以使得威力大大提高。而不应该一味去追求像主动防御这种没有成熟的东西。

最后我再次总结一下,微点所谓主动防御并不是真正质的,由于其主动防御公认标准不成熟,再加上其技术上的局限性使得主动防御成为不可完成的任务(在现阶段)。另外,现阶段我们看到的微点所使用的动防御,不单单是单一的"行为分析",它至少还使用了类似”特征码“技术和其它。这样的综合效果,并不能说明”行为分析“即主动防御的优越性,希望网友能真正的看清楚它。另外关于微点是否占用资源来说,我看到目前我下载的这个版本至少有14个driver。由于Driver占用的是不可分页内存,这种资源对于系统来说是非常珍贵的,另外还不要算其每一个Driver可能所分配的不可分页内存。从这点来说微点并占用资源并不算少。
作者: nasdaq     时间: 2006-9-18 21:57
llcracker大哥#97的风格突变阿,太平和了,弄得我都不知道怎么回帖了。


先反问您一个问题吧:
Starforce光盘加密技术被以您为核心的技术团队事实性地攻破了。
请问,既然Starforce已经不是“质的”保护技术,“成为不可完成的任务(在现阶段)”,“是一种没有成熟的东西”。
敢问,那Starforce还有存在的必要么?
如果没猜错的话,Starforce公司的收益应该高于贵公司吧?!


凡是合乎理性的东西都是现实的,凡是现实的东西都是合乎理性的。
——黑格尔(德)《法哲学原理·序》《小逻辑》

注:合乎理性和合理是两个完全不同的概念,朋友们千万不要混淆,实在不明白的我也没有办法,自己去进修吧。


没有恶意,我很尊敬您的技术修为,譬如说您在#97中第一个观点的技术论述部分,我会“选择性失明”,而不会加以任何论述,因为我不懂技术。

小弟不才,我觉得您有个不足之处,就是看问题偏窄,有点儿唯技术论。我猜测,这种思维方式,可能非常符合您的工作性质。但是很遗憾,现实中的问题,很少有单一性的。像电脑这种纯“是非”型的逻辑,其实是很难完整再现辩证法的。


回到正题:

我和您有一些观点不太一样,大家一起来探讨吧。

主动防御:
我觉得这四个字是形容微点软件这个产品的,更多的是一种商品名、宣传名等等一些商业性的用途。我猜测,东方微点公司应该更多的想用这言简意骇的四个字来形容其软件产品的主要特性。但这四个字是不能理解为微点软件全部的,我们注意到微点官方至少用了两个置顶帖子来阐述微点软件的主要技术特点。

总之,从商业角度来讲,“主动防御”四个字好记好流行。好几百字的详细介绍,真没有这么做市场宣传的。。。


所以,我认为llcracker大哥您如果以主动防御作为论题是不太恰当的,呵呵,我觉得是找错论述对象了,按我的理解,您一直想要论述的其实是实时程序行为分析判断处理引擎技术。

微点是一款采用了多种技术的综合性信息安全产品。这点您也是承认的。

关于微点产品中各种技术的使用比例和表现方式,譬如说您提到的静态扫描问题,我觉得这个不是技术层面的问题。个人认为,这完全是产品整体设计理念,产品市场定位,产品营销策略等方面的问题。我虽然曾经在某杀软公司工作过一段时间,但我真没有操盘过杀毒软件的市场销售,想必您也没有过相关经历。刘总怹真操过全国杀软市场的大盘。这市场方面咱们这些外人其实并没什么可讨论,呵呵,咱们只能各自代表一个小群体而已,全国什么样,咱还真都不知道。再次引用黑格尔的名言结束本段落:
凡是合乎理性的东西都是现实的,凡是现实的东西都是合乎理性的。
——黑格尔(德)

还有一点,关于您提到的“而不应该一味去追求像主动防御这种没有成熟的东西。”

客观的说,微点软件确实不算成熟,但如果没有东方微点这样的公司,去投入巨大的人力物力财力探索新技术,技术又怎么能进步?政府旗帜鲜明地支持技术创新,我旗帜鲜明地支持政府。

实时程序行为分析判断处理引擎技术,确实还在初级阶段,官方的管理员也表过态,微点是在不断发展,不断完善当中。

目前的微点软件,我个人认为就是微点人把当前阶段的研究成果,按照产品化、商品化的要求开发出来的。两年之后的微点软件必然会比今天更出色,其实今天的微点已经带给我们不少惊喜了。坛子里不少人都有过用微点查杀未知病毒的经历,呵呵,眼见为实阿。

关于您总结的那一段:
其实,国内的现状是,最广大人民群众的平均科学文化素质是很不理想的,大多数最终用户真听不懂也不想弄懂咱们所讨论的这些话题,他们只想更好的杀毒、更安全的使用计算机。微点在未知病毒查杀方面,做出了有益的探索,事实在这儿摆着,大家有目共睹。

最后,请教一下llcracker大哥关于不可分页内存的问题。

我google了一下,得到了下面的资料:

32位Windows最大可用不可分页内存限制是256M,64位Windows无此限制

请教一下,我能否得出以下结论?
目前的个人版,只要不进行太占用不可分页内存资源的操作,譬如说同时保持3000个socket连接,应该是没啥大问题的,至少我目前没有感觉到装了微点之后很卡。而且,说实话以前开启瑞星实时监控的时候真比现在的微点卡很多。

我的配置:P4 2.4B + 512M DDR333、Windows XP SP2

勉强对得起llcracker大哥的2600多字了,收工。。。
作者: llcracker     时间: 2006-9-19 14:31
谢谢98楼老兄认真仔细回复,我首先有一个问题很纳闷,你怎么知道我成功突破Starforce光盘加密技术,好像我从来没有提过样!不错,我们公司的虚拟光驱可以支持到最新的sf4,连著名的alcohol与dt最新版本似乎都没有支持。我们所测试的结果是alcohol最新版本连sf3.7的最新小版本就已经不支持了。不好意思废话太多,不然以为我在这里打广告。^_^!
首先我在这里大致对微点整体性能的评估是:良好。像我在上面贴子说的那样,建议微点加入类似的静态扫描的功能进去。并且我也只是对目前微点这种单一手段进行的观点阐述。我所说的单一手段,更广义上说是一种“动态监视”手段。个人认为微点在这“动态监视”中使用了行为分析与特征码两种具体分析手段。我大致假设一下微点的工作流程:首先系统中如果有一个进程创建,微点就会通过特征码来扫描其创建的进程
,如果发现有匹配的特征码则认定该进程为病毒或者木马之类的。因此,就可以在病毒进程还没有真正运行的时候给出捕杀,这也是为什么微点能准确报出其病毒的名字,这是第一道关卡。其次,如果无法通过特征码来认定,就在随后过程中,通过行为来监视这些进程,确定是否有病毒行为。即行为分析,也就是我们所说的主动防御,因此我们可以看到有时候微点会报出未知病毒之类的信息来。就像我在上贴中所举例的那样。根据我多年的技术经验,这种流程也算比较合乎逻辑。因为如果能通过特征码动态扫描出进程的话,也就是后面的行为分析,就显得多余。行为分析的前提就是在特征码无法匹配的情况才出现。因此,我的假设没有错误的话,应该可以看得出微点还是首先使用特征码为主,然后用行为分析为辅的这样一个策略,即还是遵循的是特征码为主而行为分析(主动防御为辅的策略)。只是将这两种手段运用到了动态监测中,这样做的好处在与速度较快。但是与之相比其所带来负面影响也不小,首先我们看一下“动态监视”其适用范围。所谓动态监视,在这里主要是指将某个进程的行为进行捕捉,然后将这种行为再进行分析通过特征码或者行为分析之类的分析手段来确定其合法性。那么,系统中不仅有AP层也有Driver层。微点对此的捕捉范围到底有多大?这是一个问号?个人认为如果要监视到AP与Driver几乎是不太可能,其范围最多在AP层。由于动态监视的范围有限,也就意味着其捕捉行为,这就造成可能会漏掉某些行为,这就会造成失真。第二,我们从行为分析来看(即无法通过特征码进行匹配的时候)在我上贴中所说的例子就是一个非常好的案例,第一,iexplorer.com肯定没有在微点的病毒库中,至于是不是最新的木马或者病毒这个我不敢肯定。因此,微点只能通过行为分析来判断。那么我们仔细看看,根据filemon的信息大致可以看到,iexplorer.com自动生成一个aood.sys的driver。从“生成”这一动作来看,应该没有什么问题,属于合法行为,接着加载aood.sys也没有什么问题。然后,加载后不久微点发现了该进程为未知木马进程,很显然微点通过行为分析发现这个进程有问题,并提示出信息说有未知木马进程的类似信息,不多久蓝屏死机。蓝屏报的就是aood.sys造成的死机。显然这涉及到一个问题,就是说微点是不是真的就能在病毒行为实施病毒行为之前进行拦截并且进行捕杀。我想可以,但是有一个前提是那通常出现在与特征码匹配的情况下。也就是说,如果微点发现了一个进程被加载,会通过特征码进行匹配,一旦匹配成功确定为一个病毒或者木马进程,则将其杀掉。但是如果说在特征码没有匹配的情况下,使用行为分析来达到“病毒行为实施病毒行为之前进行拦截”是很难做到。这是因为行为分析本身就存在盲区。就像上例那样,生成一个driver然后加载一个driver,从行为单独来看本身就没有问题,即使看这两个动作综合来考虑也没有任何问题,但是对于iexplorer.com来说就已经开始实施了病毒行为,也就是说行为分析没有达到预期目的。虽然后面通过其它的行为发现了iexplorer.com,但是为时已晚,至少driver已经被加载,虽然最后是蓝屏死机。这只能说明那个driver存在bug而已。这个案例也证明了clam_cs仁兄在他贴子所提到的一些问题,并且还运用了有趣的比方。以上只是我亲身遇到的案例,像这样的行为分析肓区肯定还有。所以说如果特征码这一关卡通过的话,微点所剩的行为分析的确存在很多问题,这些问题不是微点才有的。是由行为分析自身的缺陷而导致的,即少报,漏报,多报,误报。当然这涉及到我前面所提到的标准与技术两方面问题,这里我不再多说。以上只是我所遇到见到的案例,加上自已经验分析所得出的结论。这是仁者见仁,智者见智的问题。之所以说这些也是希望用户能够更理性来认识微点,作为一个用户的我来说跟其他有些用户建议一样加入静态特征码手段进去。即“动”“静”结合,这样做第一,通过静态扫描尽可能查杀掉已知病毒木马,不要每次让进程运行再判断,这的确有点像“我拿青春赌明天”的意味。打个不太恰当的比方,就像我们吃东西,首先我们是看这东西是否过期没有(比如通过出厂日期,保质期等信息),然后我们再拿到嘴里尝尝是否有变味等情况出现,这样的确使得我们吃的东西更加安全。而微点就像,根本不看这些,直接放到嘴里来判断,就算味觉再好也有失误时候。只是不一样的是微点不是把东西放在自己嘴里,而是放到用户嘴里。那么我觉得更应该采取更多判断方法,以保护用户身体健康。而目前微点并没有这样做,就像nasdaq老兄说的样也许微点这样做是为了商业目的,但是如果是只为商业目的而加大用户危险系数是不可取的。因此,我觉得微点很有必要从用户角度出发为用户的系统安全着想,而不是一味追求所谓的什么“主动防御”杀毒那种华而不实的概念。
最后,关于nasdaq所提的不可分页内存,不是说少分配不可分页内存资源。不可分页内存可以认为直接就是物理内存,根内存大小与系统有关。对于不可分页内存来说,通常是很少一部分,是相当宝贵的内存资源,它不需要经过pagefile。由于微点有14个driver,系统一启动时这14个driver所在的空间就位于系统所分配的不可分页内存中。另外,这14个driver在运作时可能自身需求还要分配一些不可分页内存。你可想而知这种宝贵资源的占用也不算小。对于微点AP级的进程来说,虽然有几个,毕竟在属于可分页内存,这个倒无所谓。
作者: Legend     时间: 2006-9-19 16:30
llcracker
请问您访问过的那些网站具体是哪些?
请把您的iexplorer.com样本发到virus@micropoint.com.cn我们具体测试分析下

[ Last edited by Legend on 2006-9-19 at 17:30 ]
作者: llcracker     时间: 2006-9-19 16:41
最后再补充说几句,在99楼时我把微点的这种动态监测手段说了一下,动态监测与特征码、行为分析组合产生的所谓主动防御。个人认为微点如

果真的要在今后市场中站脚的话,还是应该将杀毒手段多元化。如果只停在目前所谓的主动防御上将会大大限制,我们可以猜想微点如果只使

用这种单一的动态监测所能更新的东西:

1、特征码库不断升级更新,这点与其它杀软件的静态扫描更新特征码库没有什么区别。在今后将会不断升级中逐渐完善,但是其它杀软也是如

此。因此,这点说不上谁好谁坏。

2、行为分析即主动防御创新,我所说的“创新”不是指技术层面上的创新,因为行为分析天生的缺陷不是靠技术创新就能弥补得掉的。所以我

们能看到为什么微点为什么不单独使用动态监测+行为分析,而为什么要多加一层特征码?答案很明显是就是要来弥补行为分析这种缺陷。因此

,如果微点想在行为分析真正“创新”那就是对行为分析缺陷的弥补。只有做到这一点,我敢说微点在当今市面上绝对是杀软领头羊。但是弥

补这种缺陷所要做的事情,就像我在很早的贴子中说过的样,成为不可完成的任务。即“创新”出界定行为分析认定病毒的真正严格意义上的

标准。拿我97楼的例子来说,创建驱动文件然后加载驱动文件,对于一个正常进程来说是一件很正常的事情。而对于病毒程序来说,却是属于

病毒已经开始实施它的病毒行为了。因此,怎样去认定这种“创建驱动文件然后加载驱动文件”这个动作到底是合法不合法?按道理说这个动

作本身是合法的。只能说进程属性不一样,造成了认定行为合法性不一样。就像我判断这个动作样,因为已经知道iexplorer.com是木马进程,

自然认为此动作是病毒行为。同样除非微点已经知道了这个进程是病毒,它就可以认定这种行为为病毒行为。但是如果是已经知道是病毒进程

,那还需要行为分析做什么?这只是认定肓区的一个具体实例而已。因此,这种行为分析天生缺陷及认定肓区造成了,目前现阶段行为分析成

了不可完成的任务。而不是我们简单一句所说的“创新”就能够回避得了的。因此,我个人认为微点在这个方面所能更新的东西少之又少。另

外,我还要在这里强调一下calm_cs所提到的一个问题就是他在“谈谈"启发式扫描技术"和"主动防御技术"的区别”对主动防御技术的疑虑并不

是没有道理。虽然,有很多网友用过微点说的确能查杀未知病毒,这点我深信不疑。我自己也测试过,的确有这种功效。但是,我想问的是当

微点拦到未知病毒时候,这时朋友们是否一定确定病毒是否一点病毒行为没有实施嘛?这是一个问号?至少我所测试出的结果也显示出答案。


总结:
如果微点在以后版本升级中,没有出现更多多元化的手段,我个人认为微点的升级只不过是特征码库的更新而已,其在杀软界的发展也会像行

为分析那样受到很大限制,从而消失在一个没有答案的主动防御的深海中。忠心希望微点能认识自我,因地施才。我与国产软件同行,永远支持国产软件!
作者: zqrsc     时间: 2006-9-19 17:03
楼上这帖要顶~
作者: nasdaq     时间: 2006-9-20 11:02
嗯,技术大融合确实是最完美的解决方案。这一点我一直支持,因为从逻辑上讲大力丸是不存在的,每一项技术都有其适用范围。呵呵,我没有llcracker大哥那么深的技术造诣,只能从逻辑上思考。

#99中说的谁主谁辅的问题,我觉得单纯凭借出场顺序就下结论,从逻辑上是站不住脚的。

根据公开资料,刘总在接受记者采访的时候,曾透露微点公司目前只有8000来个样本。唉,咱们尽量不提那些“众所周知”的原因吧。

8000这个数量对目前杀软动辄数十万的样本库(暂且忽略造假因素),可以算是杯水车薪。基于此,我认为目前微点引擎中的特征码部分无法担当主力重任。相对来说,行为分析的比重应该更多些。
——公正的测试应该是对应海量样本,咱们这种小规模的测试是不具有普遍意义的。

呵呵,额外再说两句,大家都公认,永远不可能有一家杀软公司能收集到所有的病毒样本。实际上杀软公司在获取样本上是要投入很多资源的,但再大的投入,也无法逆转先天性的被动局面。

唉,还是绕不过那些“众所周知”的原因,我个人认为目前微点产品整体性的不足很大程度是那些“众所周知”的原因造成的。这世界上没有人会怀疑刘总搞不出一个优质的特征码引擎的。

微点的具体引擎技术咱们谁也不知道,也不用瞎猜了。
但我从逻辑上分析,完善的结构应该是存在一个善后模块的,即把恶意程序运行过程中对系统的一些改动(譬如说一些亦正亦邪的部分),进行复位。


下午要出去,这个回帖可有点儿对不住llcracker大哥的泱泱数千字了。。。
作者: sxh_sxh     时间: 2006-9-20 13:33
希望大家多多提供病毒样本,支持微点做得更好!
偶曾看过一篇贴子“突破卡巴6的 一个变态做法”,讲如何让卡巴挂了,用shangxing 的 远程控制加N层壳,最后导致卡巴6处理错误。
作者: llcracker     时间: 2006-9-20 16:20
今天又来顶一下我自己的贴子,可能以后上来时间就不多了!希望大家见谅。在这我的这个贴子,开始由于陷入“主动防御”这个概念里一直没

有找到一个合适的词语要来代表我所想要表示的中心思想。在后面的两个贴子中我终于慢慢找到其要表达之意较之准确的语句,首先以“动态监

视”来跳开“主动防御”这个概念。同样虽然我一直是以批判的态度来看待微点,是希望微点能在这样一种环境中慢慢成长,另外也能反映出

当前的微点是否能真的在这些质疑中站得住脚。在我的贴子中nasdaq老兄算是比较极积,算是以从正面支持微点。因此我觉得更应该从微点产

品自身的问题出发进行讨论,以求微点在以后版本升级中不断更新。仔细审视一下nasdaq老兄的一些回复,跟我要讨论的论题有一定偏差。就

像nasdaq老兄说微点的创始人刘总来说,虽然他操过全国杀软市场的大盘,但是这跟微点产品自身有没有问题,有直接关系嘛?
  以我自身经历来讲,当我进入到现在的公司时,当时虚拟光驱横行,我们公司在很早之前就出了虚拟光驱这款产品,比Alcohol和dt还要早。

同样我们公司有着国外比较著名的销售策划人,但是当我们产品卖出后有很多反对声,尽管公司做了这么大的宣传,销售一直上不去。而

alcohol与dt一出市就受到青睐并且这两款产品,为什么?最重要的就是这两款产品支持的游戏最多,用户干嘛要买我们的产品,因为当时我们

产品跟这两款产品相当其游戏支持力度很差。但是现在我们的虚拟光驱可以说暂时已经超越掉那两款产品在游戏支持上。
  因此,我上面的例子是想说明一个问题“产品好不好卖,看产品硬不硬,能不能货比货”。那看产品什么?首先就是看产品是否有真材实料,

这又要从两方面来看它的优点及缺点。对于微点这款产品来说,其我在论述其缺点的时候表达中心不明确造成很多网友误解,在这里我在大脑

里重新整理一下,避免使用太过技术性的语言。目的是以后的朋友在回贴中希望本着对事不对人围绕论题展开讨论,提出自已更有建设性的意见

或者反驳意见。
  首先,我的建设性意见即论题是希望微点在以后更新中能以多元化的查手段。对于目前的微点来说其主要手段是:动态监视->(特征码分析+行

为分析)。说具体点就是特征码分析与行为分析是在建立在动态监视基础上。我之所以对目前微点采用的这种进行详细分析,目的有二:1、证

明微点目前的这种方式有很多不足。2、从用户角度上来讲,让用户了解其微点所存在的问题,在使用这款产品的时候保持谨慎态度。我认为目

前微点存在以下的不足:

1、动态监视的范围局限性。

2、微点所采用的“行为分析”有着天生的缺陷与判定病毒的盲区。我在很多贴子着重对这点进行反复描述,根据行为分析思想来说,就是在病

毒发作或者实施之前进行及时拦截并且捕杀。仔细想想的确是个不错的idea,但是从现实来说可行嘛?我不敢断言一定说不行,只能说行为分

析的确存在很多问题。就是通过多少的行为来确定是否为病毒行为?怎样区分具有含有病毒行为的正常程序?又怎样区分病毒程序所执行的看

似正常的行为?这等等的问题。这些问题就是“行为分析”天生的缺陷与判定病毒的盲区。这直接关系到微点最后查杀毒效果。大家可以看看

我上面发的两贴,所提到的问题。“公正的测试应该是对应海量样本,咱们这种小规模的测试是不具有普遍意义的。”这是nasdaq老兄所提到

的。对于用户来说我们没有能力去找海量样本,但是如果仅从小规模测试就能比较直观的反映问题的话,我认为海量测试也是惘然。我们清清

楚楚知道微点目前就只有所谓的主动防御(没算网络防火墙功能),那么我们也知道如果微点使用的行为分析有一点问题的话可能造成巨大的灾

难。对于“行为分析”最害怕的就是少报或者报而无法杀或者是杀的时机已过。因为,这种不属于微点产品的BUG所至,而是说明了微点目前根

本无法来克服“行为分析”缺陷,我认为支持微点的网友绝对不能回避这个问题,避而不谈,扯上其它一些话题。这对用户来说,真的是一个

不幸的消息。这也是微点也不敢单独使用行为分析,而却要加上特征码分析的真正原因。微点是想通过特征码分析加大其判断病毒的准确性,

从而从整体性能上提高所谓的主动防御。这也说明了“8000这个数量对目前杀软动辄数十万的样本库(暂且忽略造假因素),可以算是杯水车

薪”,但是微点还是加入进来的原因,从这点看微点以后也会加大力度收集更多的特征码。再拿前面的贴子来说“创建驱动文件然后加载驱动

文件”这个动作,不要以为这个动作在iexplorer.com才有。正常的程序像filemon,regmon,devview,dbgview这些监视分析工具都有这个动作。

那么微点的行为分析可以说对这样的动作一点办法都没有,唯一的就是通过特征码。在病毒程序中这样合法性的动作应该不会在少数,不是单

指上面一样。那只是我遇到的一个实例而已。另外关于微点通过行为分析确定到一个病毒后,是否真的该病毒就真的没有实施任何的病毒行为

?个人认为在没有特征码的情况下很难做到。因此,个人认为微点在行为分析很难做出质的突破来这不是由于技术范围可以解决的,这也将会

迫使微点将更极积的收集特征码。

3、无法真正即时捕杀病毒程序文件,如果一个病毒程序文件没有被运行,微点就无法进行清除。导致系统中会存在着安全隐患。


一些补充说明:

1、对于前面两贴虽然不敢说自己的逻辑判断一定正确,但是绝对不是瞎猜乱蒙。首先,我根据的是从微点掌握的现象与测试到的一些现象进行

比较合理的推断。众所周知的事情,微点所用特征码+行为分析是不争的事实。在这基础上,我推断特征码为主而行为分析为辅的现象。来自于

几个方面:

A、如果微点的行为分析,如果真的克服掉“行为分析”有着天生的缺陷与判定病毒的盲区,那么在动态监视中加入特征码分析显得多此一举。

也不会被我测试出前面贴子中所遇到的案例。从成本角度来讲,做一件没有意义的事情,谁会愿意?从微点官方网站上来看用户众多的问题,

就可以非常清楚的知道微点的行为分析同样没有克服掉这些问题。

B、为什么微点单从行为分析就能知道病毒的名字等详细信息,就像clam_cs老兄在前面打的比方一样,显然微点是含有特征码,这一点至少来说

是得到众多网友认可。

C、大家可以试想一下,如果微点将行为分析放在前面,通过行为分析判断出病毒,在用特征码扫描这样一个过程。在我前面已经说过由于行为

分析存在重大的缺陷,即使发现了病毒,很有可能该病毒已经发作执行了一部分,此时在用特征码来扫描有什么用?根本是为时已晚!

D、通过上面以客观事实为基础,我推断出很有可能微点首先是通过特征码扫描,如果无法匹配再用行为分析来检测。这才是比较合逻辑。

E、我想说明的是,微点之所以使用特征码是因为为了弥补“行为分析”的缺陷而存在的。我不是在争论到底是特征码为主还是行为分析为主。

不管谁为主,都逃不了一个现实微点所采用的“行为分析”有着天生的缺陷与判定病毒的盲区。另外,还有一点在这里补充一下。如果在使用

微点过程中,如果报出具体的病毒名,根据上面的推断认为不是行为分析在起作用,而是特征码分析在起作用,希望用户能清楚认识。

2、我想在这里说一下用户所遇到系统中存在病毒程序,但是不运行病毒程序微点就不杀的情况?
在这里我想拿金山毒霸来比较一下,大家别误会我不是在做宣传,只是为了更好的说明。
首先来说金山毒霸,它也有动态监视的功能,但是它针对是文件。像我们平时打开资源管理器,或者操作目录、文件的时候。金山毒霸会将当

前目录中的文件进行动态监视并且在内存中扫描,如果发现病毒文件则立即报出。此时病毒文件通常都还没有运行。这也是目前大多数杀软的

动态监视的一个做法,其对象为文件。只是这种做法,稍微速度有点慢。但是对于现在的机器来说,基本上感觉不出来。
对于微点来说,其对象是进程。也就是说一定要把一个病毒程序运行起来后,才会被监视到。不运行的病毒程序文件,微点是不会检查。所以

才出现上面的用户见到的情况。这种其效率要比上面要高,速度要快些。但是牺牲的是用户安全性,所以用户一定要小心使用。

3、在这里提到nasdaq老兄,并无意针对他本人,只是针对他所提出的看法进行的一些建议。尽请见谅,也请nasdaq老兄从微点所存在的问题出

发,不要避之不谈,而谈之一些商业方面的东西。关于商业炒作我不太懂,另外我也不想谈那些除微点产品本身之外无意义的东西。像“黑格

尔(小弟不才,认不到)与什么刘总(我听说过他,他不知道我)...”跟微点产品本身所存在的问题没有任何关系。另外,需要注意的是:不是偶

在追求完美和要求完美。因此,我为什么要一直强调微点使用多元化的手段。从现实出发,假设微点在后面升级中一直保持这样的查杀手段,

那么为了提高查杀毒准确率,并且增大其适用范围。那么微点势必要向“行为分析”有着天生的缺陷与判定病毒的盲区挑战,而将行为分析做

到完美,这不是我所追求的完美,而是微点假设一直这样,必将遇到的挑战的这样一个现实。另外,所谓质的超越,我想应该非常清楚,就是

克服掉“行为分析”的不足。你所提到的"既然Starforce已经不是“质的”保护技术",你既然提到技术,那么也就是说我们所讨论的范围不一

样了。今天我们虚拟光驱的技术占了上峰,明天保护技术又可能后来居上。你说对嘛?技术是有高低之分的。就像破解样,如果一款加密软件

开发者的技术非常高,花了一年的时间。那么破解者首先至少要有这样的水平,花去的时间并且很可能超过一看。至于关于公司的利益的问题

,跟我没有好大关系也,我只是拿工资吃饭。而我所要表达的是“行为分析”缺陷不属于技术范畴,也不能是靠技术就能搞定。这点上,我们

两个谈的是有“质”的区别也。^_^!另外我后面的贴子几乎没有用到什么技术的语言,只是有时偶尔使用了技术语言无非是在说明过程顺便带

了一句。因为我本来就没有打算在这里谈什么具体的技术细节,只是一直想说明我的观点而已。因此,你也无需要“选择性失明”。^_^!不好

意思,说了这么多。在这里只忠心希望像nasdaq朋友从更客观出发来看待微点自身问题并与之讨论。

不再说了。这篇贴子我已经把我的论题及微点所存在的不足详细阐述,希望后面朋友本着对微点负责的态度,从微点实际情况出发,以论题为

中心展开自己的才华尽情讨论,大家尽量以实事出发,这样才比较有说服力。不要逞嘴上之快,说之与此无关的话题。
作者: nasdaq     时间: 2006-9-20 22:02
首先向llcracker #105 4000字大文儿致敬,呵呵,别的不说,打字加思考相当费时间的。我是无业游民,希望llcracker朋友不要影响了正常的工作和生活。

一开始我跳出来的目的,只是觉得llcracker朋友初始的一些言语比较有刺激性,我不是微点的员工,但在我看来llcracker朋友的一些措辞是不太厚道的。在微点的论坛,官方不便说话,我看不过去就勉强跳出来应战。如果是在第三方论坛讨论这个话题,很可能我不会参与的。

当然,您最近的帖子就相对比较平和了,而我目前的回帖,最主要的目的是把事情做得有始有终。

我没做过开发,技术造诣比llcracker大哥差得太远了,没法讨论Driver技术。我只是想从逻辑上反驳一下您言语中的一些我认为的不当之处,很可惜由于鄙人的言语表达比较差,被您误解为顾左右而言它了。

譬如说,我提刘总操过全国杀软市场的大盘,只是想说明刘总比您和我更了解整体市场的需求。您这种级别的用户可以清醒地知道自己需要什么软件,我高攀一句,我勉强也能挑选出适合我用的软件。但是从市场角度来说,咱俩都算在少数人群,都属于有能力搞到“免费(盗版)”软件并熟练应用的人群,都属于带给软件厂商价值较少的人群。而对带给厂商较大收益的那些平均水平很不理想的广大人民群众,其实我们并不了解的。正像您说的那样,您公司的产品曾经因为定位不准确而严重影响销售。刘总在瑞星的光辉市场业绩(99-03),则说明了怹不是一个名义上的“著名专家”,而是一个货真价实地优秀企业家,国内没有几个人比刘总更了解杀软市场了。

您这篇4000字大文儿太长了,虽然有一些地方我觉得逻辑上讲不通,但一一回复的话,咱们就快陷入苦局了。姑且忍了吧。

着重的说我的一些主要看法吧。

一、单纯谈行为分析技术
您从技术角度谈这种技术的局限性;我从辩证法来看,我认为不存在有万能的东西,每种事物都有其适用范围。其实我们殊途而同归,观点是一致的。行为引擎虽不是万能,但是其是有一定意义并且有一定价值的,这点您也是认同的。


二、关于微点软件产品
我认为商品并不是单纯的几种技术的简单堆砌,至少还包含着市场策略在里面。我猜测研发一个热卖的产品应该是以市场为骨架为导向,用技术进行填充吧。商品是一个综合性属性,单纯的谈某一个属性是不客观的。我认为即使是分析某一个属性,也要同时兼顾到这个属性和其它属性之间的关系和联系。不知道您能否认同我这个观点?

基于此,我认为您提到的很多关于产品话题,并不能只“客观”地考虑纯技术因素,还要考虑很多您希望不谈论的市场因素,只有综合考虑才是真正的尊重客观事实。其实我在尽量不提及产品,因为产品的策略和那些“众所周知”的原因是密切相关的,而我则不愿意在官方论坛给人家添乱,尽量回避那些“众所周知”的原因。

希望您能领会我的一些暗示,有兴趣的话我们可以私下沟通,没必要把一些不便于公开化的话题公开化。

三、关于我们的争论
呵呵,我也纳闷儿我们为什么争了。

我一直是支持技术融合的,并且我原来也一直在说微点是一款多种技术综合性信息安全软件。我一直也不认为微点现在就已经很完善了,无敌了。不过针对于年初的版本来说,微点有了很明显的进步,这一点我是很高兴的。其实,某种程度上说,您和我都是更看好微点未来的发展,假以时日,在结构上完善,在技术上融合,2-3年后的微点必然会大放光彩。

在特征库同等的情况下,特征库+行为引擎的效果必将大于纯特征库引擎,这点是我们大家所公认的。但微点如何取得海量特征库?只有建立在微点公司发展的基础上。

目前的问题是,微点公司现在的处境很不好,生存尚且存在问题,发展所需要的资源就更加难以保证了。哎,咱别说这个令人心酸的话题了。。。


四、关于llcracker
我总觉得llcracker大哥的心态不值得提倡,过于苛求完美了。但现实的生活中,完美是不存在的。杀毒软件的一些权威评测,是不存在满分即完美产品的。从技术上您自然也可预测出永远不存在完美杀毒软件的。

既然没有完美的杀毒软件,但为什么我们还要装杀毒软件呢?理论上手工可以完美地处理所有的问题,但是即使对于您这样的高手,技术上没有难度,体力上也是跟不上的。

从群体来讲,防住一部分病毒,总比全部漏防要好。何况群体的概率并不适用于个体,个体的情况如果用数字量化的话,要比群体概率好很多很多,即只会漏防少量的病毒。我不是在为杀软们辩解,我当然也很不喜欢漏防,只不过现实告诉我们,永远不可能完美化。

starforce不断的更新升级,但也在被不断的被攻破。那游戏厂商是否因为不能彻底根除盗版而不再压制光盘了呢?当然是虽然盗版的损失不可避免,但过日子活下去更为重要,继续压盘卖盘吧。

用一句大俗话来结束本段:人要有远大的理想,更要有过日子的心。


最后总结:这个帖子又充斥着大量的非中心论题,小弟深表遗憾。。。

PS:虽然我们在某些事情上观点对立,但我真的很欣赏您这种有思想、言之有物、并且能坚持自我理念的人。如果您在北京的话,我很愿意结识您这样一位朋友。

[ Last edited by nasdaq on 2006-9-21 at 12:47 ]
作者: 阿魂     时间: 2006-9-20 23:41
看高手过招还真是过瘾啊.
作者: llcracker     时间: 2006-9-21 13:34
首先,很感谢nasdaq的回复。我渐渐明白nasdaq老兄语意,我想我为自己辩白几句。不管是我的语言有刺激性,被你认为不厚道还是后来的语气平和。平心而论我在我发的贴子中,所说的一些观点,要么是从已有定论的基础或者是从一些客观的现象加以论述,以求真相。
  从nasdaq所持观点来看是从产品商业化及站在官方立场,而我却是以用户角度来出发。首先我认为官方不管怎样的产品商业化运作,其最终目的是面向用户群。那么从用户角度出发他购买一个产品,用户肯定想要了解到该商品一些更详细的信息,有该产品更胜一筹的地方(这是商家口水用得最多的地方),也有该产品不足的地方(这是商家略略带过或着闭口不提的地方)。对于微点来说,官方对微点强大之处已经大势宣传,因此我作为一个自认的高级用户,不再对官方所说的进行重复。而只是对官方不愿提的,或者用一句产品不成熟略过。作为现阶段的微点的确有一些BUG或者不兼容或者不稳定的地方,从这个来看的确算是不成熟。但是,随着不断的升级可以由技术来克服掉,这点上我从来没有发过相关贴子,因为产品从这点来说并没有更多可以说明的地方。我主要是想表达的是目前微点采用的查杀毒策略:动态监视->(特征码+行为分析)上来说明分析微点存在的不足。虽然里面用了一些技术性语言,但更多的是从事实出发,也以一种辩证逻辑来分析微点不足,只是nasdaq老兄一直没有看出来,被nasdaq老兄一直归纳为说技术的范畴,的确是小弟语言失误。小弟最终目的是让用户清楚现阶段微点的存在问题,融合从官方所宣称的及用户自已对微点的认知,让用户进行综合起来考虑。毕竟用户他有权了解到自已所使用的这款产品的一些信息,我也只是站在用户角度上提出我自己的看法,用户看了我的贴子后觉得我说的有没有道理,这就是仁者见仁,智者见智的问题。
  从上面贴子来看,nasdaq对刘总算得上比较了解的,小弟自愧不如。但是小弟觉得nasdaq老兄不要这么紧张,放轻松点!看了老兄的回复后,一直心里有个问题。即然老兄说自己不是微点人,那么也是跟我一样,是一位微点用户。当然你有权力站在官方立场上考虑问题,但我奇怪的是:身为一位微点用户难道真的就一点不在乎微点这款产品安全性及所存在的问题嘛,而在其他用户提出的对微点质疑的时候,只一心为官方前途担忧?替官方挡架?就好比,老兄到商店买东西,根本不问东西好坏,只关心该商家利益,是不是能赚到钱,我作为一名用户的确有点无法理解!不好意思,就当小弟瞎说。不过话又说转来,如果真的觉得小弟在论述自已的观点时有问题或者你已经通过你的测试的确证明了微点不存在我所说的问题,可以直接提出来!直接反驳我所论述的东西。没有必要一直把刘总拉出来!小弟一直没有搞明白,刘总业绩这么强,那么我想刘总也许真的通过商业运作把微点做出业绩来,小弟并未否认。但是我不敢苟同的是,这跟微点产品本身存在的问题到底有什么关联。打个不恰当的比方,就像刘翔短跑这么无敌,你能不能说他如果生产球鞋一定非常棒或者说一定没有问题?
  另外,我并不是在追求完美。地球人都知道的,“主动防御”即“行为分析”本身所存在的问题是多么严重,这也是为什么其它杀软不敢单独让其打主力。即然微点采用了“主动防御”这种手段打主力,那么微点对“主动防御”已经存在的问题进行修正,这是无可厚非的,否则又怎样讲“主动防御”的优越性及赶超其它杀软?即然微点有这种目标肯定要从行动上付诸实施。这也是微点能立足的好时机。
  说句实话你、我都是微点用户,从用户层次来讲真的有必要去关心一个产品到底是怎样商业运作的嘛?而用户层也不可能了解这个产品商业运作的细节,也许连皮毛都不知道。我想用户关心的是产品自身,这才是用户的焦点。一款产品的确好,就已经够成用户购买的第一大理由。因此,作为用户层只能将自已使用该产品中发现的问题或者因此产品某些现象对产品进行进一步深推,从中更加体会该产品整体性能等,也就是一个较深层认识理解。用户层也只能做到这种程度,同样我也是这样,只能通过我使用微点产品所遇到的、见到的及一些已成事实的定论加以融合进而对微点产品自身存在问题进行讨论,也算得上是我的心得。其目的也是让真正的微点用户更多的了解微点,就这样而已!当然在言语中有触犯各位敬请见谅。
  nasdaq与小弟所争论的其实是立场不一样,因为小弟的确能力有限,只能从用户角度上分析微点产品,以后有时间还是会请nasdaq老兄多多赐教。以后上来时间不多,也拜托nasdaq老兄能帮我顶起该贴,也希望nasdaq老兄不仅要站在官方立场,更应该客观的站在用户立场来真正看待微点。
作者: nasdaq     时间: 2006-9-21 17:48
主要解释一下关于llcracker提到的,我作为一个非微点人,但为何站在一个似乎是官方立场的角度来说话。

主要两点原因吧:

1.我这人心态上有个缺点,我更注重未来,而相对能容忍现在。
微点目前的效果应该说是不错,但是离完全颠覆现有杀软格局还要假以时日。刘总自己也谈到过这点,怹认为微点发售后大概要2-3年的时间才能成为市场主流。

国内的三大家我都觉得有些不思进取。我个人非常非常看好微点的发展前景。也正好,我目前是无业游民,时间很富裕。所以我这个阶段很关注微点产品和微点公司。哈哈,我就是特别特别看好2-3年后微点。

目前,微点经历了一些很不局气的事情,我觉得挺不爽的。我很看好微点未来的发展,我很不希望微点倒下,我觉得困难的时候更需要呵护。正好,借着您这个帖子,算是一个心理爆发吧。

题外,今儿又有个不局气的消息。
《北京晚报》的新闻:“瑞星”起诉前高管
http://news.sohu.com/20060921/n245467217.shtml

2.我个人有个信条:
批评,私下里沟通;表扬,要放在当面。

我觉得从做人来讲,我的信条没错。
但是我确实不应该,把我的理念强加给别人。


----------------------------

llcracker本贴的主题,剑指主动防御是不可完成的任务。在我看来,这个题目很容易给人以误导,容易被人理解为完全否定微点软件。呵呵,我能理解您不是枪手,不是来恶意寻衅滋事的,因为我仔细看过本贴的所有回复。但是现实中,能踏踏实实看完这全部几万字贴子的人,恐怕是很少很少的。

再加上前几个回复的反驳效果不甚理想,而我这个无业游民天天有的是时间打字,所以我就跳出来,试图扭转一下我认为不利的局势。

呵呵,言语不到之处,您得原谅我年轻啊,心态不成熟。

----------------------
最后,我坚持认为llcracker您是个纯技术流,我个人以为您分析问题完完全全是从技术上出发,我特别尊敬您这种高水准的工程师,真的。但是我觉得您并不了解市场,并不了解什么是真正的消费需求。我最近闲赋在家的日子,恰好也关注了一些市场营销、消费心理方面的问题。简单白话两句吧。

举个现实的例子,相机最核心的品质是什么?当然是成像质量。傻瓜相机从成像质量上来说永远也比不过手动对焦类的相机(这个就不用解释了吧)。现实中,追求成像质量的专业人士和部分玩家热捧数码单反相机。但占据数码相机市场绝大部分销售份额,也就是受最广大人民群众欢迎的其实是成像质量先天性有不可逾越障碍的消费型全自动傻瓜相机。

那么用户的最终需要其实是什么呢?我认为是成像品质与操作便宜的结合,针对人民群众平均科学技术水准不高的现实,操作便宜比成像品质更为重要。所以,最终群众的选择不约而同地是:操作便宜且成像质量还不错的产品,而非成像质量最佳的产品。

不详细展开了,简单说操作便宜不光包括拍摄,还包括电池续航、图片后期管理等等,一切从拍摄到发布全过程的便宜程度。

PS:上文中的便宜是方便适宜的意思,而不是价格便宜的便宜.:D:D:D

特别提一句,相机的例子和微点没关系,我只是想说一下现实的市场并不见得会热衷选择您所期望的那种最佳性能产品。谁要是以为我在默认微点什么就不厚道了。
PS:其实我个人和您一样是崇尚性能至上论的,但是现实中,咱们只能算是少数群体。很恭喜您从事了一个纯技术性的工作,非常适合您。

[ Last edited by nasdaq on 2006-9-21 at 17:51 ]
作者: 答案     时间: 2006-9-21 22:52
看了本贴,我真的是受益非浅。

看来我得加油努力才行,因为其中好多东西都没看懂。

看高手过招,真TM的是一种享受。
作者: 梦幻家园     时间: 2006-9-23 10:34
文科毕业的吧。。。

强烈建议你们发展第三产业,写小小说。
作者: hlhzgm     时间: 2006-9-23 12:08
嫌货才是买货人,我也来支持一下。
作者: zj0303     时间: 2006-9-25 18:25
一个好帖啊  本人尝试过很多杀软,微点的主动防防御的确很吸引人,但从用户角度出发,要等到病毒发作才能查出,让人怎么放心,就像人有病了,非要等他的病发作了才去治,我想这绝不是个好办法.  微点还是要和传统病毒扫描相结合.
作者: danielxuan     时间: 2006-9-26 22:53    标题: 黑猫白猫,逮住耗子就是好猫

1、创立动态仿真反病毒专家系统
2、自动准确判定新病毒
3、程序行为监控并举
4、自动提取特征值实现多重防护
5、可视化显示监控信息
黑猫白猫,逮住耗子就是好猫.杀毒软件软件就是应该这样的,监控程序的安全,当病毒触发就立即拦截,并自动更新防毒机制,这本来就实现了防患于未然的防毒目的.
作者: dragoonwing     时间: 2006-9-28 11:20
其实lz的话很中要害,关键是行为判断最终不能决定是否是病毒,最终的决定权其实是在病毒特征库上,至于提交用户判断那完全是基于用户的知识水平,显然不可靠。
所以一个关键问题就是病毒库到底上不上的去,上的去,微点前途远大,完全可以独当一面。如果上不去,可能就只能是个辅助软件的作用了。
作者: 微点VIP用户     时间: 2006-9-28 15:22
强烈建议加入“主动扫描”,彻底消灭隐藏的“特务”。
作者: min520ling     时间: 2006-9-29 09:32
对微点科技要有信心
作者: dream7758     时间: 2006-9-29 12:40
如果加入主动扫描,别的软件也可以加入主动防御啊!呵呵,两个在加在一起,感觉不是很好
作者: 黑之翼     时间: 2006-9-30 13:23
花了我好长时间看完这贴,很佩服几位高手的对决!我是个学生要学的还很多,但是还是要说一句,国内的杀软要有突破就只能从技术创新上找突破口,成熟的技术才是硬道理,由衷的希望微点越走越远。
作者: alun     时间: 2006-10-2 16:10
支持微点,反对封杀!
作者: 冰玉     时间: 2006-10-8 01:08
看后长知识,继续讨论,继续关注
作者: gmywxfvbwgk     时间: 2006-10-9 22:20
看了各们的帖子真是长见识.太好了!
作者: lws8597     时间: 2006-10-29 11:03
帖子整整看了一天.高手过招.长知识啊,真的很好.
作者: scjywxd     时间: 2006-11-3 00:31
这个帖子还不错,可以就"主动防御"讨论一下,目前这个话题还是比较新的.看看再说
作者: jf012     时间: 2006-11-4 00:55
支持llcracker        讲得非常好
这个帖子应该转
作者: rainbownchen     时间: 2006-11-4 10:56    标题: 向大家学习

很好的论坛,技术讨论气息很重,我很高兴在这看到不同是观点和对微点技术的讨论,使我认识到更多我需要学习的知识!谢谢!
作者: 我     时间: 2006-11-4 19:39
[quote]Originally posted by calm_cs at 2006-9-1 13:51:
如果真像我怀疑的那样,微点的产品除了在主动防御 技术之外,还使用了特征码技术的话,那我就有疑问了

微点的产品对病毒的查杀功能到底是主动防御 技术起的作用还是特征码扫描再起作用了。微点一直在宣称自己的最大的卖点是主动防御技术,可是却没有看到微点单独对这项技术进行病毒查杀能力的测试数据,换句话说我并不是说微点不能采用其它的杀毒技术,而是应该给出单独采用主动防御技术的话,对病毒的查杀效果会怎样。像启发式扫描技术就做过这样不依赖任何病毒库的测试。
因为只有这样,我们才能知道到底创新在哪里,这种技术创新是否有效了。不然,我就有点质疑,微点该不是以特征码查杀为基础,以主动防御这个噱头为卖点吧,要是这样就太对不起广大朋友对微点的支持了。我觉得微点应该给出这方面的测试数据,或对这个情况进行说明,来打消我们这些技术爱好者的疑虑。
/quote]

强烈建议你用微点去测试下!!!  相信许多人都测试过 

面对最新的病毒木马 杀毒软件不报 而微点一直报 报的可是未知病毒!

 不是提特征码才报的

微点主要依据的是独创的行为判断。 别的杀软公司为什么会把特征值作为主打产品 那是因为他们的主动防御根本没有微点那么强大 !

:lol:不敢啊……
作者: 我     时间: 2006-11-4 19:48
 问世上 有哪家杀毒软件  最擅长报未知病毒? 有吗  

大都靠提取特征~  刘旭要搞个新瑞星并不难 

 不过微点并没有那么做 而是打造出了获得五个重大技术创新、令病毒制造者们闻风丧胆的微点主动防御!

 这不是创新 那是什么? 
作者: njzxlzy     时间: 2006-11-13 23:07
看累了,但是,看到了希望。
作者: mseren     时间: 2006-11-17 14:18
前段时间,某机器不小心中了彩信通的流氓软件.随后安装了微点.重启后微点提示发现木马.但要重启才能删除.重启后提示如旧.手动查看了下.系统里的albus.sys微点好像无法处理掉.导致每次重启又生成其他文件.随后去DOS下手动清除掉这个文件和其备份.问题才解决.
      这里有点小小的疑惑,对于driver级别的恶意软件或者病毒.已经发作的情况下.微点有什么好的解决办法呢.
作者: Legend     时间: 2006-11-17 16:35
请问您测试时微点的具体版本是多少?
微点对于“彩信通”这类软件的处理将在后期版本中加入
“driver级别的恶意软件或者病毒”微点是可以处理的,欢迎您使用新版本测试,如果发现不能够处理的病毒您可以发到virus@micropoint.com.cn我们会具体测试分析
作者: 铁马冰河     时间: 2006-11-17 16:58
好久没有见到如此讨论技术的了,顶!
作者: holley     时间: 2006-11-18 23:12
没办法
这几天闲赋在家
偶遇一网友推荐,注册了微点
发现此帖,老老实实从第一个看到最后一个
说说自己的看法:
一流公司做标准,二流公司做技术,三流公司做产品
这句行话,有很严重的现实意义

黑猫白猫,逮住耗子就是好猫
这句邓爷爷的话也最实在

我没有nasdaq兄的逻辑能力,也没有llcracker,calm_cs等兄
的技术能力,所以只能人云亦云了

当前杀毒软件,目标是毒;究竟怎样才算毒??
毒是针对操作系统而言,而使用什么样的系统才算好呢?
可能有些病毒只感染wins系列,有些只感染linux,unix系列;甚至有些病毒在wins系列中都还分:感染95,98的;感染XP的;感染2000,2003的
而有些病毒是 通通感染(所谓感染,指的是自动衍生对系统多余的可应用程序而产生对系统或是用户的破坏性行为)

不论是商业广告还是实际现象,微点是目前是 以主动防御作为卖点
这是我踏进这个论坛见到的第一现象
什么叫 主动防御?
以“程序行为自主分析判定法”为理论基础,其关键是从反病毒领域普遍遵循的计算机病毒的定义出发,采用动态仿真技术,依据专家分析程序行为、判定程序性质的逻辑,模拟专家判定病毒的机理,实现对新病毒提前防御。
我认为 微点做到了这一点,一项技术的成熟是需要时间过程的
卡巴也提到了主动防御?
检测主动防御算法:
计算机启动后,主动防御立刻分析以下要素:
运行在计算机上的每个程序的所有行为。主动防御有规律地记录程序运行的历史记录,并把它们与危险行为特征序列(由来自程序和安全威胁特征库更新的危险行为类型数据库)进行对比。
由VBA 宏指令执行的每个行为。程序用包含在自身中的危险行为列表来扫描它们以排除威胁。
程序扫描已经安装到您计算机中的所有程序的模块,这有助于避免应用程序模块版本被恶意代码替换并避免恶意程序打开这些程序。
每个试图修改系统注册表的行为(删除或者添加系统注册表键值,并输入可疑的键值等等)。
分析时会使用主动防御规则和被指定的排除对象。
分析完成之后,您可以执行以下的操作行为:
程序不会拦截满足主动防御规则的程序行为。
如果程序的行为满足拦截的规则,那下一步就会执行在规则记录中指定的匹配的操作。像这种行为通常会被拦截,同时会在屏幕上显示应用程序的详细说明,行为类型以及行为运行的历史记录。您自己必须决定拦截或者允许这种行为。您可以在系统中为操作这种行为创建规则和阻拦行为。
允许执行在您的计算机中不受任何规则调控的事件序列

我觉得这主要依赖于人们对 病毒的认识

先提几个概念:防毒;查毒;杀毒。。。
到底哪个更重要?新装操作系统,首先是防毒,防不住了才 去查杀
所以目前 很多杀软都  附带着 防火墙,因为流行的wins系统中微软本身的防火墙太软弱;防毒当然离不开 监控了,所以同样 很多杀软也附带着 监控程序和进程,而同样由于技术的原因,很多病毒在监控这一关得以 乘虚而入,自动关闭杀毒程序的监控项,难道仅仅是因为 这些监控不是防御在系统的驱动底层么?
所谓:道高一尺,魔高一丈
如果你只是个普通用户,有着防毒这一关就够了,何必在乎那么多呢

附:本人C1.7 256M 普通显卡 机器,防火墙:风云防火墙(备份:天网) ,装了 影子系统(备份:VM虚拟机),杀毒软件(关闭了监控和自启动进程的瑞星)(备份:很多木马和杀软),在我关闭多余的服务后,系统可以正常运行 武林外传 泡泡堂 英雄无敌等网络或单机游戏

对于查毒,很多人提到特征值扫描
什么是特征值扫描?
特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特征库中的特征值逐一比对,判断该目标是否被病毒感染。
有位仁兄写:
1、创立动态仿真反病毒专家系统
2、自动准确判定新病毒
3、程序行为监控并举
4、自动提取特征值实现多重防护
5、可视化显示监控信息
什么东西都不是唯一标准的,不管用不用得到用户参与
因为本身目前很多应用程序,例如很多网络游戏,本身就不是很透明的,因为版权因为合法性等原因,一年半前 玩 泡泡堂(网络游戏)只有一个ca.exe进程,可后来无端多了一个NMCOSrv.exe,而且没有他还启动不了ca.exe;;比如,瑞星,最开始ravmon还好,后来无端多了个ravmond,据说是监控能力变好了。可照样还是有病毒乘虚而入,自动关闭杀毒进程;甚至很有病毒伪造成杀毒进程
所以你不管让不让用户去参与都不是重点,重点是你是否能尽可能地保护用户的利益和权利
同时
已知与微点主动防御软件有冲突的安全产品
1、卡巴斯基(AVP)杀毒软件v5.0.237 版
2、McAfee 杀毒软件9.0以下的版本
3、Outpost Firewall
4、F-Secure Client 6.01 企业版
可以想象,同样的安全或非安全应用性产品也有兼容性的问题,就以前听过的 诺顿 和很多应用程序的兼容,公认 塞门铁克做的不错,但什么东西都没有完美,你这方面差强人意,那方面就或多或少会遗人话柄;在乎那么多做什么呢
做好自己就好,每走一步,走稳当,没做一次,做光彩
相信微点明天会更好
作者: kojak585     时间: 2006-12-31 14:57
看了llcracker兄105#的发言,感觉微点所谓的主动防御卖点病毒“行为分析”似乎有点类似下面的比喻:

如果一个人(木马或病毒)预谋实施盗窃或破坏行为,警察(微点)的档案库里还没有此人的不良记录(特征码分析+8000多个现有样本库),无法事先制止其盗窃或破坏行为,只能让其先实施其预谋的活动,等其活动实施到一定程度,与“行为分析”库中的犯罪行为能对号入座了,然后再通知手下的干警实施抓捕行动。抓捕的结果:抓牢并绳之以法 或者 财物被窃罪犯逃之夭夭!

十分的不可靠啊。。。
作者: hzjcla     时间: 2006-12-31 21:19


  Quote:
Originally posted by llcracker at 2006-8-31 17:21:
其实,我所要讨论的是关于主动防御性的标准缺陷、技术局限性及有网友一直在说其微点主动防御优越与其它杀毒软件或者安全工具所含有主动防御。我在前面两贴中已经非常详细的把我观点说得非常明了,认为主动防御的重 ...

你你做一个狠狠厉害的病毒当作矛,来攻微点这个盾,不就完了嘛,不必说那么多空话。什么理论上啊,可能性啊,攻一下结果就出来了。
作者: 八闽汀江子     时间: 2006-12-31 22:28
我是菜牛,N年前就想,流行的杀软要是这样不断升级病毒库下去的话,20年后其体积应该超过操作系统了吧!

现在终于有人发明出解决方案来了!!!而且是国人!!!

送上个晚来的祝贺!!!

只有想不到!没有做不到!

[ Last edited by 八闽汀江子 on 2006-12-31 at 22:29 ]
作者: mp2007     时间: 2007-1-1 01:23


  Quote:
Originally posted by 八闽汀江子 at 2006-12-31 22:28:
我是菜牛,N年前就想,流行的杀软要是这样不断升级病毒库下去的话,20年后其体积应该超过操作系统了吧!

现在终于有人发明出解决方案来了!!!而且是国人!!!

送上个晚来的祝贺!!! ...

这位说的有的意思
不知道高手如何评价?
作者: enterzx     时间: 2007-1-1 13:40
微点的功能这么强大,手动杀毒的最好工具!
作者: 八闽汀江子     时间: 2007-1-1 14:56
还可以嘛!
下载了个2005年的病毒包15M,测试了一下,都通杀了!只是每个病毒的清除都要按确认,有点麻烦,有待改进?!
作者: 八闽汀江子     时间: 2007-1-1 15:27


  Quote:
Originally posted by 八闽汀江子 at 2007-1-1 14:56:
还可以嘛!
下载了个2005年的病毒包15M,测试了一下,都通杀了!只是每个病毒的清除都要按确认,有点麻烦,有待改进?!

不好意思,刚接触 东方微点,原来可以设置为发现病毒自动删除的!很基础的设置嘛。
作者: nasdaq     时间: 2007-1-1 16:48


  Quote:
Originally posted by 八闽汀江子 at 2006-12-31 22:28:
我是菜牛,N年前就想,流行的杀软要是这样不断升级病毒库下去的话,20年后其体积应该超过操作系统了吧!

呵呵,这个比喻很形象啊~!病毒库确实是越来越大了,国内的国外的都承认这一点。
现在的杀毒软件一张嘴就几十万病毒库,不够十万的都不好意思出来见人~!


不过阿,超过操作系统是不大可能的,为什么呢?因为微软老大哥比所有软件开发商都狠,看看Windows自己的膨胀速度吧。从Windows95的100来M,到今天WindowsXP的2、3个G。。。
Vista我因为配置不够,无缘测试啦~!
作者: 反黑先锋     时间: 2007-1-1 18:48


  Quote:
Originally posted by nasdaq at 2007-1-1 16:48:


呵呵,这个比喻很形象啊~!病毒库确实是越来越大了,国内的国外的都承认这一点。
现在的杀毒软件一张嘴就几十万病毒库,不够十万的都不好意思出来见人~!


不过阿,超过操作系统是不大可能的,为什么呢? ...

呵呵拖了个大毒库包 天天更新 了还是中招、 可能这就是郁闷
作者: zqrsc     时间: 2007-1-2 08:39


  Quote:
Originally posted by nasdaq at 2007-1-1 04:48 PM:


呵呵,这个比喻很形象啊~!病毒库确实是越来越大了,国内的国外的都承认这一点。
现在的杀毒软件一张嘴就几十万病毒库,不够十万的都不好意思出来见人~!


不过阿,超过操作系统是不大可能的,为什么呢? ...

呵呵~ 前两天无事。俺用了台服务器装了下。。安装完差不多8G...
不用也罢。。。
:o
作者: 八闽汀江子     时间: 2007-1-2 10:49
微软公司也和流行杀软公司一样“中毒了”!!!
不升级就没有”钱途“了,所以要不断地升升升!!!

还有国人没有知识产权的高端配置就要不断涨价了吧!

[ Last edited by 八闽汀江子 on 2007-1-2 at 10:52 ]
作者: 八闽汀江子     时间: 2007-1-2 13:34
微点向内核的内核,底层的底层发展应该是正点之一,

但是对新型病毒行为的收集也会是需要的。123
作者: bingyan     时间: 2007-1-2 13:54
一口气看了15页帖子,真是牛人啊!我才用微点几天,也是个菜鸟,不懂什么技术,说说我的看法,各位别骂我啊。
首先,微点提出的是对未知病毒的查杀能力:我们可以认为特征码扫描在这里起到的作用是0.而微点却可以查杀(这里我们首先抛开无法杀的问题,现在的技术手段没法解决,但至少理论上还是有可能解决的,说不定哪天操作系统就改了,用in,out无法直接写入了呢),当然不可能做到全部查杀,但至少应该有一部分。这是行为判断的先进之处。是不可否认的
其次,关于对现有病毒的查杀,行为判断肯定是不如特征码的。这应该大家都认可,微点自身也加入了特征码。我不懂技术,不知道一个特定的行为是否会表现出相应的特征码呢,我想应该有吧(现在有些启发式查毒好象就是这样判断的,如一些常规程序一般不会出现长程跳转指令等,启发式查毒就根据这些指令特征来报告可疑文件,这是网上看的,不知对否),那么我们称这些为行为特征码(区别于病毒特征码),如果能找到这些的话就可以进行静态扫描了。而且很显然,多个病毒可能会有同一个行为特征码,而不会有同一个病毒特征码,这样的话,行为特征码的数量要远远低于病毒特征码的数量,效率会大大提高!从这点来看,也是大有前途的。找到这些静态行为特征码的话就可以克服目前微点面临的最大问题。
关于虚拟机的问题,无论从哪个方面来说,微点应该加入虚拟机。现在特征码扫描的杀毒软件用虚拟机并非是用来判断一个程序运行后果的,如果真是那样,扫描一次磁盘就相当于把机器中所有的程序全部运行一次了(即使是万分之一都是不可想像的)。我以前在网上看来的,说目前虚拟机主要是用来脱壳的。
微点加入虚拟机的话,当发现一些可能造成危险的指令可以引入到虚拟机中执行,从最终结果来判断程序是否正常,从而可以避免产生损失。这正是现在的微点的一大缺陷:有一些判断不及时而发生了损失。当然判断后可以进行恢复,但并不能保证所有的损害都能恢复!如:程序往磁盘中写数据,你记录的只是他在写而已,并不会记录被他覆盖的数据吧?而且即使能恢复,那也要能监控到该程序的所有操作才行,这对于恢复程序而言也是一个沉重的负担。
总之,个人认为,微点应该变为行为特征码扫描加上行为监控才会行成突破。扫描是必须的,仅靠监控是不够的
祝微点能拙壮成长,我会一直关注和支持的
作者: 午夜游民     时间: 2007-1-2 15:52
很高兴我的第一贴留在了这里,看到前几页的讨论确实很令人激动

想说点什么,还是算了,毕竟太幼稚,没有什么作用

还是希望中国的软件越做越好
作者: 八闽汀江子     时间: 2007-1-2 16:29


  Quote:
Originally posted by llcracker at 2006-8-31 17:21:
其实,我所要讨论的是关于主动防御性的标准缺陷、技术局限性及有网友一直在说其微点主动防御优越与其它杀毒软件或者安全工具所含有主动防御。我在前面两贴中已经非常详细的把我观点说得非常明了,认为主动防御的重 ...

如果从商业信息来考虑,没有人会象您在开头几贴中那样详尽地阐述自己产品的详尽工作机制的!除非想把自己的技术拱手送人!
作者: 八闽汀江子     时间: 2007-1-2 17:01
累死了,才跑到45楼!
作者: op     时间: 2007-1-2 18:19
不知道效果怎么样啊!
作者: 胖胖牛     时间: 2007-1-5 11:35
引用97楼:
就像我在前面贴子中提到过的,目前的这些恶意程序为了得到更高的控制权会使用Driver这种方式,的确这是我无意中测试出的案例。并且通过测试发现微点对这种情况似乎无法处理。并且有点吓人的是,居然无法杀掉其木马进程及文件。这也应证了calm_cs老兄所提到的一些观点。即主动防御即使能发现某个病毒,但是由于病毒的行为已经实施。就像上面我所说的样,虽然能发现iexplorer.com这个木马进程但是无法删除它及杀掉它的进程,并且它的动作已经实施那就是加载aood.sys。的确加载成功了,最后是蓝屏了。我估计可能和微点有冲突,因为我将微点uninstall后再运行iexplorer.com加载aood.sys就没有问题。这点也可以通过DevView来确定,的确是加载成功了。因此,假设iexplorer.com就算没有其它的破坏动作,但是它让aood.sys成功加载已经是很可怕的行为。一旦aood.sys加载成功,在Driver级别所做的恶意行为那就是更可怕,可以这么说,微点如果无法即时阻止iexplorer.com,让aood.sys被成功加载,那么就是病毒与杀软共存的系统。微点也拿这个Driver没有任何办法。这个观点我在前面也已经提到过,也有网友反驳过只是少数,但是我想就这种少数已经让人头痛了,并且病毒使用Driver使得微点的捕捉范围大大受到考验,如果无法捕捉到系统中的每一个行为,那么至少来说还存在着问题。

对于driver级的病毒,微点是否可以采用下列方法清除?如上例所说:
微点根据iexplorer.com释放aood.sys的行为及其后续行为,判断出该程序为病毒后,不急着杀掉该病毒(以免死机),先将该程序加入自身病毒特征库(黑名单),并预备在重启后iexplorer.com运行前即予以拦截,然后再尝试实时清除该病毒,如成功则意味杀毒成功,如失败则在重启后根据更新后的黑名单在病毒加载前予以拦截。
只要微点能做到重启后拦截成功,是否就意味着“主动防御”有效呢?

[ Last edited by 胖胖牛 on 2007-1-5 at 12:00 ]
作者: lgxro     时间: 2007-1-7 18:36
我中过的一次病毒是用驱动器这个方式加载的,当时装了nod32和mcafee防火墙,提示有毒但是无法查杀.是网页恶意代码,上该网站会无限提示病毒,即使我拒绝执行还是中毒,因为该病毒显示的路径不是真实路径,该病毒会在windows下的system32下建立假的文件,普通删除提示无法操作,用cmd命令删除了,重启还是会出现,最后不得不放弃,一直没重装,反正我把电脑的c盘乱七八糟的折腾一番,后来不记得怎么会事,那个毒就没了.

要是微点出现报毒但是查杀不了的情况下,应该有个适当的处理方法吧,就像楼上说的,把该病毒的特征记录下来,下次重启前在加载前把有该特征的拒绝加载,若是失败,再更新记录失败特征,拒绝加载.可行否?
作者: ykxht     时间: 2007-1-7 20:46
顶一下
作者: avisen     时间: 2007-1-8 01:13
终于看完帖子了,都半夜了,眼睛都看花了。
第一次看到这么技术性的帖子,真是享受啊!
我不是很懂技术,但我有兴趣,现在学习中,以后努力了,呵呵。
作者: crosen     时间: 2007-1-9 16:18
站在用户的立场上来说.
特征码虽然反应滞后,但是在病毒库里的东西基本可以保证查杀.至于那些新病毒,新变种,我会这么倒霉第一个就感染上?   短时间内病毒库就更新了.

主动防御现在想来就是一堆的if,then语句,可以看作是另一种特征码.假如主动防御大行其道了,写病毒的就可以考虑如何用貌似安全的行为骗过杀毒软件.如果成功了,杀毒软件就要更新其判断语句,这不也是升级么?再者,对于一些不好判断倒底是否安全的行为,都要交给用户解决么?


说道driver级病毒的拦截,对于未知的病毒,我认为上两者都很难拦住,对于已知的,还是特征码好用一点.如果中了,dos下搞搞或ghost系统就行了.而且根据我的经验,在不乱用电脑的情况下,装一个强悍点的杀软.卡巴,nod什么的.因为中毒引起的系统重装和因为其他系统问题引起的重装相比要少的多多.


另外我到是看好主动防御对流氓软件的拦截.
在说一点微点的程序功能挺强挺全(模块分析,网络检测什么的),作系统的手动检查挺好.

还有坛子里有的人的话会有点误导.  只要你出手了,就能抓住你.  这是主动防御的目标而已啊,现在说这话,还不能保证吧.

[ Last edited by crosen on 2007-1-9 at 16:37 ]
作者: 案发现场     时间: 2007-1-11 14:07
第一次看到这么技术性的帖子。我是慕名而来啊。果然不让人失望啊。好爽。可惜偶是菜鸟一个。说不出什么技术性的话。还是祝微点能早日进入市场。
作者: 美好生活     时间: 2007-1-11 16:49
我想只要微点做的好 做到第一 那以后主动防御的标准就时微点主动防御的标准
作者: 青豆     时间: 2007-1-12 17:05
特征值不可完成的任务:病毒库的滞后
虚拟机不可完成的任务:简化(残缺)的模拟环境
主动防御不可完成的任务:行为分析带来的误报

只有多种技术的融合才能进行良好的防御,才能提高安全性能。

PS:据我所知,神舟飞船至少拥有三套完整的独立的返回系统,也就是说即使坏掉两个,飞船也能安全返回,这也是我国为什么能对外宣布“在飞船运行的任何一段时间如果飞船出现故障,我们都能安全回收”的原因。
作者: coolwaist     时间: 2007-1-13 15:13    标题: 一个非专业读者的读后感

首先申明,我不是专业人士,中学读理科,本科读工科(信息工程),硕士读社会科学,所以我的发言可能会跟这个帖子的气氛不相融合,但促使我终于还是“说几句”的原因有几点:
一,我对微点的关注以及寄予的热切的愿望,我衷心希望微点能做强做大,以期国产软件(不特指杀软)能在世界上有举足轻重的地位。
二,顶上这片帖子,以期用户(读者)能更清楚的了解微点,客观准确的认识微点。
一个字一个字的阅读了整篇帖子,用其他网友的话说就是:“看高手过招,过隐!”
作为用户,我非常支持llcracker的观点,并且敬佩他对技术的执拙,优美的文字以及精湛的逻辑,同时也对nasdaq, calm_cs兄表示致敬,尽管我个人认为你们在这篇帖子里的文字(有意无意)脱离讨论的范畴。
我个人的观点是:
一,llcracker在这里发这篇帖子比较及时,我也比较支持他的观点,从用户的角度出发,提醒微点存在的问题,对于用户和微点,都是一种双赢的作为。
二,我不赞同所谓的“表扬公开批评私下”的说法,llcracker这篇帖子是完全可以放到台面上来探讨的,如果微点不能接受,那么问题不仅仅是微点没有接受llcracker的提醒这么简单……让人欣慰的是,微点给这篇帖子加了精,这才是现代企业应该具有的精神和形象。
三,微点管理层必须考虑llcracker的建议,同时不能放弃对“主动防御”的研究,这才是微点的创新之处和卖点。
四,即使是市场手段,盈销策略,技术开发,都必须以用户为出发点和归宿点,不要以为“一般用户”就不懂你到底能杀多少毒怎么杀毒,“一般用户”不要知道那么多,他们(我们)只要相信感觉,感觉你不行,我们就换杀软的品种。信息公开和诚实守信是基本准则,特别是今天的中国企业,必须树立这种理念,才有发展的希望。告诉用户你能做什么不能做什么并且你们一直在努力,获取用户的信任和宽容,我想才是盈销的关键,这也是企业应该具有的社会责任感。
五,我们并不怕有弱点,名不副实才最可怕。
六,我个人决定使用微点,并会关注微点的成长,帮助你们测试。
七,我用微点的原因并不是我确信微点的对于病毒的力量,而是对国产软件的支持和希望,也是对微点现状的支持,我能出一点微薄之力并从中受益,很荣幸!
作者: 国伟     时间: 2007-1-13 21:45
第一次有强烈的买正版的感觉!!

微点要是上市了,一定支持!!
千万别倒下啦!
作者: hnxyy     时间: 2007-2-6 15:29
支持微点!支持国产软件!
作者: fzp070     时间: 2007-2-7 07:04
用了一晚的时间把这个贴给看完,看了这么多,从中我也学到了很多主动防御等杀毒方面的知识,
在此感谢lcracker nasdaq calm_cst和其中认真回贴的朋友.这个贴主要讨论一个意思:
现阶段微点等主动防御存在遇到驱动级甚至更低层硬件级的病毒时,
无法在病毒发作之前定义为病毒或恶意行为
(因为其行为不明确,一般是属于正常的行为,如lcracker所举的iexplorer.com加载aood.sys例子),
和发作后无法删除和恢复系统的缺陷
(病毒发作后已是驱动级别等跟微点一样的级别了).

钟对以上的问题lcracker说要使用特征值扫描来清除病毒,但这样就必然要有此病毒的特征值,病毒就一定要先发

作并感染一些用户,才能影起杀毒公司的注意和分析提出特征值再升级到防病毒产品中,
这样对少数用户来说在病毒库升级前就不能起到事前防住的目的了.
另:看lcracker例子说的iexplorer.com绕过了微点成功加载aood.sys例子,
但在后面根据它的后续行为还是判断出它是病毒了,但无法终止此进程.
这样未知的驱动级的病毒就无法在它已加载的情况下删除掉
(看前面的回贴所说过驱动级的东西不能在加载后Unload,必需要重启才行),
针对此种病毒微点能否想出一个很好的解决方法,

前面也说过当无法判断为正常行为可以在虚拟机中运行就不会有这个问题---微点可以参考下
另可以参考下151楼说的方法


对于driver级的病毒,微点是否可以采用下列方法清除?如上例所说:
微点根据iexplorer.com释放aood.sys的行为及其后续行为,判断出该程序为病毒后,不急着杀掉该病毒
(以免死机和无法删除因为已加载的驱动层无法Unload),先将该程序加入自身病毒特征库(黑名单),
并预备在重启后iexplorer.com运行前即予以拦截,然后再尝试实时清除该病毒

,如成功则意味杀毒成功,如失败则在重启后根据更新后的黑名单在病毒加载前予以拦截。
只要微点能做到重启后拦截成功,是否就意味着“主动防御”有效呢?

针对以上151楼胖胖牛提到的方法理论上对付一般病毒应该是可行的,但如以前我碰到过的个别情况:一病毒在一中毒发作后就重启并不能再启动系统了,这种问题怎么来处理.还有通过上面这个方法处理我觉得还不够,还应该让微点具备更强大的功能,1事前预防2发作时处理3事后系统修复(虽然事后病毒清除了但它造成的一些没有危害的如创建无用垃圾文件和注册表修改,某些程序损坏,系统文件丢失,程序图标及文件打开方式更改DLL文件关联破坏等情况)


不管怎样,祝微点越做越好,不断改进,我们永远支持你
作者: stone_strong     时间: 2007-2-7 21:57    标题: llcrack的错误

llcrack的问题其实很简单,他想说的是主动防御没有一个事实上的标准,也就是大家都认可的标准,就像法律一样的条条框框,然后用这个框框来判定一个软件是不是合法的软件。这样就不会存在误报了,因为正常的软件都遵守这个框框,这是他一再强调的一个要点,可是我要提醒的是,写软件的是人,即使有这个框框也同样的有误报,因为总有人不太想遵守规则,同样的病毒也会在遵守规则的情况下发作!否则还怎么算病毒?微点的主动防御其实就是一个通用的发现、解决病毒的方法的自动化,过去,都是由人工来发现病毒,然后找到特征值,然后升级病毒库,才能查杀病毒,现在,微点把这个人工过程自动化了,完全由软件来实现了,这样的好处是相当于给每个装微点的机器配备了一个反病毒专家,他不停的在发现病毒、解决病毒,完全在本地机器上解决了,不用你象原来那样上报病毒到杀毒软件公司,然后由人工找特征值,升级杀毒软件了,微点的行为判断方法是一套综合的方法,或者说是人工发现病毒方法的程序抽象实现。也就是说和人工发现、判断病毒的方法相同!通俗一点说,换成人也是这个判读方法,明白了吗?虽然你知道的函数不少,但是,你的脑子的开阔度不是很大,所以你也顶多就是一个死钻牛角的人。不要被自己所掌握的那点知识所左右,而失去了自己!或者说找不着北了!卡巴等软件在主动防御方面还是稍微差点,主要是在综合判断上他还没综合起来,也就是还没有完全把人工过程抽象化,所以他总是不停的跳出窗口告诉你有文件发生这个动作,那个动作,然后,问你怎么做,让你选择是同意还是不同意,他自己还没有达到完全抽象的水平,当然,不是说他技术上不行,而是可能也有商业利益的问题在里面!
作者: newgnay     时间: 2007-2-7 22:08
看了前面的许多发言,似乎几位讲技术的兄弟都比较推崇"虚拟机"杀毒,并且讨论了各种杀毒技术的优缺点,我现在来总结一下吧,呵呵.
(1) 特征码静态杀毒.
优点:安全系数100%;
缺点:对未知病毒的防护系数0%.
(2) 基于虚拟机技术的行为杀毒
优点:安全系数在理想状态下可达100%.
缺点:(i)但实际情况下安全系数达不到100%,因为虚拟机技术也有"漏洞",就像操作系统肯定有漏洞一样,如果这种虚拟机技术被别人成功调试,则发现漏洞的人可以利用上述漏洞来绕过虚拟机,获取对"真实"系统的控制权;
(ii) 最严重的问题是:不管你的虚拟机技术多好,它总是与真实环境有细微的差别,如果病毒识别出这种差别并因此潜伏起来(比如说一个病毒先判断是否运行在虚拟机环境中,如果是,则停止行动;如果不是,则动态释放加过密的病毒代码,解密后再执行之),则可以轻松躲过虚拟机的查杀.
(3) 真实环境中的行为杀毒:
优点:系统环境完全真实,不存在病毒主动潜伏的可能;
缺点:理论上无法对系统进行"完全"的监视. 除非微点自己做一个Windows内核(这个内核要求所有程序的底层操作都必须经过微点来进行)来代替MS的,呵呵.

顺便补充一句, 只要发现了病毒(即使是驱动级的病毒),理论上是可以清除的. 清除方法很简单:重启后进入微点自己的微型OS并删除病毒文件,并恢复注册表,然后再次重启进入Windows.

  以上是我的一点想法,可能不太准确,因为本人毕竟是搞物理而不是软件的,还请各位兄弟指正.
作者: newgnay     时间: 2007-2-7 23:12
对了,刚才 baidu了一下,发现原来设备驱动程序(.sys文件)也是能够动态卸载的.因此技术来讲,可以强制卸载这些病毒sys再删除之.
作者: nasdaq     时间: 2007-2-7 23:17
(1) 特征码静态杀毒.
优点:安全系数100%;
缺点:对未知病毒的防护系数0%.

我觉得newgnay朋友对特征码有些误解,说几句我的看法。

特征码只能说误报较低,但是误报是必然存在的所以谈不上100%。特征码的误报和MD5的冲突大概是一个远离,都是理论上无法避免的,只能是尽可能的降低其误报的概率。
特征码的误报率和它的拾取点设计方案有关,每家的技术都不大一样,所以误报率也是不一样的。不过因为特征码的误报率整体水平是比较低的,所以不同拾取点方案之间的差别,容易被人忽视。

特征码的各种改进衍生方案并不是完全无法检测未知病毒,只不过是能力不够理想,实用度不够高罢了。检测能力差,误报又高的方案是无法投入市场的。
作者: 反黑先锋     时间: 2007-2-7 23:30
llcracker所要表达的是: “行为分析”天生的缺陷不属于技术范畴,也不能是靠技术就能搞定 是现阶段不可能的任务。

有缺陷并不能掩盖创新所带来的一定意义和价值 创新是无价的  要做就要做的更好 Legend说过:“东方微点追求研发比当今更好的安全产品 同时将尽可能的提高微点的易用性。” 我坚信不断完善的微点势必要向行为分析天生的缺陷挑战!

#162 :“对于driver级的病毒,微点是否可以采用下列方法清除?..”

#163 : llcrack的错误
“解决病毒的方法的自动化,过去都是由人工来发现病毒,现在,微点把这个人工过程自动化了,完全由软件来实现了,这样的好处是相当于给每个装微点的机器配备了一个反病毒专家,他不停的在发现病毒、解决病毒,完全在本地机器上解决了,不用你象原来那样上报病毒到杀毒软件公司,然后由人工找特征值,升级杀毒软件了,微点的行为判断方法是一套综合的方法,或者说是人工发现病毒方法的程序抽象实现。也就是说和人工发现、判断病毒的方法相同!通俗一点说,换成人也是这个判读方法。”

#164 :各种杀毒技术的优缺点

据我所知微点通过多种技术来加强 完善自己的实力 个人觉得不如把主题设为:

“ 技术挑战- 如何克服行为分析天生的缺陷 ”
作者: 八闽汀江子     时间: 2007-2-8 00:13
70年代的时候好些专家教授提议要废除汉字,改用拼音!天哪!如果得逞,该有多糟糕啊!

那时专家的理由是:汉字没法录入电脑,严重影响伟大祖国的现代化......

同志们!今天大家看到了吗?世界上最易于、最快速输入电脑的就是汉字啦!!!
作者: newgnay     时间: 2007-2-8 09:24
同意167楼的,也很佩服微点不断的努力.
166楼的:我说特征码杀毒的"安全系数"100%,意思是说查毒的过程中不需要运行病毒程序,所以安全系数100%.同意你后面的结论,即静态码对未知病毒也有一定的查杀能力,毕竟存在瞎猫碰到死耗子这种情况,嘿嘿.
作者: 285166790     时间: 2007-2-12 19:10
我认为,主动防御之所以不能完全实现对未知病毒的查杀,主要是因为电脑智能化程度还不够高,一些所谓的“智能”,只不过是把人类已有的知识加以总结、归纳,变成一些规则让计算机照章办事罢了,完全达不到想人一样去思考的水平。因此,如果新病毒的破坏方式是在已知的规则之中,杀毒软件就可以判断其为未知新病毒,但是病毒也是在不断发展中的,如果它采用了现在的行为判定规则之外的,还不为现在所知的方法,那现有的行为判定规则肯定是无能为力的,这也正是微点仍然需要不断升级的原因,据我分析,它一方面是升级行为规则,另一方面是升级特征码。
      那有人可能会说,等电脑真正发展到智能的水平时,是不是就可以完全判断出未知病毒了呢?答案是否定的,因为杀毒软件若智能了,病毒也应智能了,至于谁比谁强只能看它们的编写者的水平了。但有一点可以肯定的是,杀软出现在前,未知病毒出现在后,后来居上的显然要容易的多。
       最后,虽然各种各样的主动防御不可能完全查杀所有的未知病毒,但它的存在还是有积极意义的。
一,可以在一定程度上抵御未知病毒是可以肯定的。
二,给病毒的编写者制造了编写新病毒的困难,使编写有破坏力的新病毒的时间增加。
三,对已知病毒的简单变种有很强的杀伤作用,因为病毒变种很多只是改变外部特征,而破坏方式一般变化不大,所以仍然难以逃脱行为检测。
作者: gggwly     时间: 2007-2-12 22:31


  Quote:
Originally posted by 八闽汀江子 at 2007-1-1 14:56:
还可以嘛!
下载了个2005年的病毒包15M,测试了一下,都通杀了!只是每个病毒的清除都要按确认,有点麻烦,有待改进?!

2005年的病毒包!!!哈哈!好主意!为安全起见,我影子系统,微点单机一起测............
作者: ling911ao     时间: 2007-2-13 13:54
好长的帖子,看得我眼都花了

不过有这么多人支持和关心微点的发展,我们大家都开心啊
作者: 外野孤鸿     时间: 2007-2-13 16:01
各位说的都是很专业的语言,小子不是很理解,我个人认为所有的杀软都要看其是否稳定,是否能够尽最大的程度来保护使用者的安全,是否能够做到兼顾大多人群(人性化)。就我个人而言,我更看重的是稳定性。如果因为装了杀软而造成其他软件不能使用,我只能说很遗憾了
作者: 干虾米哟     时间: 2007-2-16 00:23
我想微点以后升级还可以向这些方向发展:
1:让微点更聪明,细化判断准则。
2:让微点“反隐形”的能力更强大。
3:让微点分离并删除病毒的能力更强。

病毒库并不是微点的强项,还不如在主动防御上进步一下,靠病毒库吃饭的杀软就是要升级病毒库,靠主动防御吃饭的杀软要升级的就是智力,让软件更聪明。
作者: ylcn     时间: 2007-2-16 10:30
现在的windows是不允许直接绕过系统API进行底层的读写操作了,不然就给你一张蓝色的脸庞看看,另外楼上的说的接管中断那不就快赶上还原卡了。faint
作者: ylcn     时间: 2007-2-16 10:33
可以采用多种扫描方式结合的方式,比如现在我用的N多软件都无法扫出我多次加壳脱壳的病毒,当然也包括微点。所以我一直裸奔上网,其实只要自己有一定的防范意识,多注意下就几乎没有多少中毒的可能性,只有在有必要的时候零时安装下杀毒软件。
不过话说回来,微点做的还是不错的,支持微点。
作者: ylcn     时间: 2007-2-16 10:38


  Quote:
Originally posted by stone_strong at 2007-2-7 09:57 PM:
llcrack的问题其实很简单,他想说的是主动防御没有一个事实上的标准,也就是大家都认可的标准,就像法律一样的条条框框,然后用这个框框来判定一个软件是不是合法的软件。这样就不会存在误报了,因为正常的软件都 ...

首先的问题是,这个标准谁能够制定,制定了恶意程序一样可以遵循这个标准,修改工作量也许比正常软件还少,毕竟病毒等很小,而且多数代码实现都比较简单
作者: linovo     时间: 2007-2-16 17:15


  Quote:
Originally posted by ylcn at 2007-2-16 10:33:
比如现在我用的N多软件都无法扫出我多次加壳脱壳的病毒,当然也包括微点。.

我想问一下ylcn,你测试的病毒多次加壳脱壳后能否正常运行?许多人都宣称自己把病毒多重加壳后,微点识别不了,但仔细分析后,这些病毒在加壳过程中,活病毒都变成死病毒了,微点当然杀不了。
作者: 9041656     时间: 2007-2-16 22:17
这么简单的问题还用这样争吵。。。
怀疑。。。
我就不说什么了 。。。
作者: spatyt     时间: 2007-2-24 22:52
呵呵,大家就这个问题讨论得很激烈嘛。说明大家都是花了不少心思为微点出谋划策。我基本认同楼主的意见,单靠一种手段的确是不能很好地达到防御效果。安全问题一直是IT业界最为头疼的问题,一直争论不休,不过,大家都应有一个共识,那就是只要标准是开放的,就存在着安全隐患,这一点无论是在系统方面,还是在网络方面都体现得相当充分。因此,我想真要单靠一种手段就能实现安全防御的话,恐怕在微软的操作系统上除了微软自己,其他任何公司都没有这个可能。没有任何一家公司能比微软自己更清楚其内部调用机制。微软曾尝试过不对外界开放其内核级调用接口,呵呵,但却被多家软件公司诉诸法庭,控告其垄断,最终微软最迫开放。在安全和开放的天平上,这不得不说是一个令人难以决择的问题。仅就现在而言,我认为微点能做到现在这一步已算是不错了,对于驱动挂接方式的病毒,谁又能真正识别呢,何况现在注入型驱动挂接式病毒已屡见不鲜,又该如何识别呢?因此,我个人认为微点从原理上应能防止病毒对系统进行破坏,能保证系统在中毒的情况下仍能保持正常工作,但目前还不能保证系统的性能(毕竞挂接了过多的模块,无论是有害还是无害,对性能都会有明显的影响)。但对于不具破坏性的操作(例如:象上面一些朋友提到的驱动挂接),可能就目前而言还缺乏手段,因此,一方面微点需持续深入发展其仿真反病毒专家系统,增强其知识库策略,提升其智能化程度,另一方面,也必须结合传统杀软的优点,利用特征扫描和其他相关辅助技术进安全防御,同时,也可以整合象安全360这样的流氓软件清理工具的类似功能,进一步增强其防御能力和系统修复能力。最后,也谈谈自己的感受,这些年来,在网络系统的世界里摸爬滚打了很长时间,感慨良多,安全是一个综合性课题,安全防御必须构建一个整体的安全防御体系,从网络到系统,必须综合利用多种技术进行动态联动防御,安全问题才能从根本上得以改观。网络世界里的斗争已从底层斗到了七层,呵呵,系统世界里也从应用级杀到了系统级,甚至是核心一级。呵呵,既然开放了标准,就无法从根本上完全杜绝。技术本就是一柄双刃剑,谁也无法控制其如何使用。更何况单靠技术是永远无法解决一切问题的,更多的可能还是在于管理吧,大家也不要对微点提出过高的要求,毕竟在整个安全防御体系中,微点也仅是重要的安全防御武器之一。呵呵,如果真有天下无毒的那一天,恐怕又会产生新的问题吧......^_^
作者: 西就     时间: 2007-2-25 03:46
学习了不少,致敬....

呵呵...
作者: y111u     时间: 2007-2-25 17:16
太多了,看不完了,我支持微点,走自己的路,让别人去说吧
作者: csafei     时间: 2007-3-1 14:17
看了一点就不行了 ,太高深了,看不懂!
看来  来的都是高手!
这样的讨论很有意思,呵呵!
作者: popog     时间: 2007-3-9 12:12
不知道ssm对这个Driver级的拦截得怎么样?

随便附图一张,以表达对各位的敬意
附件 1: 850162200735200655.jpg (2007-3-9 12:12, 139.5 K,下载次数: 71)


作者: 微点放大是焦点     时间: 2007-3-9 13:37
没啥意义的帖子,不想发表我高贵的意见~~~(汗死你)
作者: xnine     时间: 2007-3-9 19:39
了解了一点点的杀软
知道了一点点的微点
1 偶是中国人 2 非常方便的杀了熊猫

冲这两点进行试用   

我是纯用户,自己能判断的病毒实在有限,中毒一般就是重装
现在生死就掌握在微点手里了
作者: kiky     时间: 2007-3-12 15:03
虽然不能说它有多好,但我知道装上了,系统并没有变慢多少,而且也没发现病毒了
作者: youraled     时间: 2007-3-13 15:53
任何新东西出来时都会这样的
作者: summer1981     时间: 2007-3-14 20:08
#134  

看了llcracker兄105#的发言,感觉微点所谓的主动防御卖点病毒“行为分析”似乎有点类似下面的比喻:

如果一个人(木马或病毒)预谋实施盗窃或破坏行为,警察(微点)的档案库里还没有此人的不良记录(特征码分析+8000多个现有样本库),无法事先制止其盗窃或破坏行为,只能让其先实施其预谋的活动,等其活动实施到一定程度,与“行为分析”库中的犯罪行为能对号入座了,然后再通知手下的干警实施抓捕行动。抓捕的结果:抓牢并绳之以法 或者 财物被窃罪犯逃之夭夭!

十分的不可靠啊。。。


kojak585的比喻不恰当!病毒是小偷的话,只要你不是敲门入室。破窗、翻墙的话,警察(微点)都会把你当小偷来处理,他一直都监视着你呢!
作者: tiger6535     时间: 2007-3-15 10:10
我的天啊 这简直是太深奥,一般情况下看不懂 啊!
作者: wowocock     时间: 2007-3-15 13:59
对于DRIVER级别的病毒拦截很容易,不过一旦驱动加载后想要恢复,这的确很困.
作者: gys63     时间: 2007-3-15 21:46
好长的帖子,看得我眼都花了,从1楼爬到191楼,学习了不少知识,太高深了,这样的讨论很有意思,致敬....
作者: zhangaaa     时间: 2007-3-18 09:45
精彩太精彩学习在学习顶顶顶;););):D:D:D
作者: hai     时间: 2007-3-19 23:08
受教了!
应该务实但反对风沙!
作者: 我     时间: 2007-3-20 00:21
我顶
作者: 苹果小柚子     时间: 2007-3-20 14:02
个人觉得                      宁错杀一百 不放过一个         安全第一!
作者: shipwm     时间: 2007-3-20 23:06
看的好辛苦,但也也到了不少的东西.
我觉的还是老邓的那名话说的好:"不管黑猫白猫,能捉到老鼠的就是好猫!"
作者: zqd6789     时间: 2007-3-21 18:18
除了绅博的那篇《所有的防火墙都很弱》,本人完完全全看完的帖子就是这篇了(15-17页时不能完全打开页面),20页、197楼,也从06年回到了现在,因本人属于菜鸟中的菜菜,其间对文中所提到的名词查百度、看资料很是辛苦,但是乐在其中呀,非常支持这种技术类型的帖子,受益匪浅呀。感谢楼主llcracker、nasdaq、calm-cst、holley、干虾米呦(174#)、、、、、等等高手的分析和讲解.
其实,在敬佩楼主技术功底深厚的同时,我也有点小小的看法,楼主的标题的确是有误导或赚嘘头的嫌疑,套用任何目前查杀技术都有不可完成的任务,只能讲设置标题时不够严谨。不过对于楼主提出的微点的不足之处还是要给予肯定的,无论哪种杀软,只有不断地完善和突破提高才会越来越趋于完美,更要重视对不同意见的采纳和自我刨析能力,这一点,无论楼主还是微点官方都做得比较和谐(这词现下较流行 呵呵)
我是微点的一名普通用户,更是目前占国内绝大多数电脑用户的菜菜类,技术上没发言权,政治或商业竞争的烂事俺也不关心,llcracker nasdaq等应该属于高级用户了,电脑有个小问题啥的能够自己解决,象我们这些菜菜类就不行了,所以看待问题角度就会不同,只想讲点感受了。
1.微点是一款软件(应该属于商业类),就目前来看,不会达到理论或理想中的100%查杀率(相信现在也没有任何一款杀软能达到),
2.作为普通用户或叫初级用户吧,我只关心它的效果,自己的感受的确是比较好用:不会像天网、ssm等似的,普通正常程序也要让你来选择判断,有病毒他就会提示你,自然也就不用像那些高手还要用冰刃等工具逐条分析判断,俺也不会用,也不想用,电脑就是一个工具,我也不喜欢什麽扫描之类,就盼望都是傻瓜式的,多省心呀。好像有个朋友提出那个病毒库的建立问题,这也是我所疑惑的,病毒层出不穷,收集没完没了,啥时是个头呀?占资源只会越来越大,如果没有新技术代替传统杀软模式,那是很可怕的。目前为止,普通的不讲了,就遇到过两回需要微点重启延时删除的病毒,我可8个多月没有重装过系统了。所以我对微点倡导的或者宣传的动态仿真、专家智能等虽然不懂(微点也不会公开这些技术的 可以理解的),但微点的确带给我实用、省心、还算放心的电脑使用环境,希望你们高手多做些如此的讨论或辩论,以此让微点能更上一层,更趋于完善,俺们这些菜菜也有学习的好机会!
3.微点应该尽快发布反流氓广告程序的配置,除了病毒木马,就数这些烦人了,好多杀软已有此功能,从某种意义来讲,普通用户对病毒木马和这些流氓广告间谍程序的态度是一样厌恶的。
4.技术标准或行业标准不代表用户自己的适用标准(是适用啊),套用小平同志的话“黑猫白猫,逮住老鼠就是好猫”,楼主所讲的实时行为引擎危险性较高,目前没遇到过,反正nod32和诺顿企业版使用时我是中招了,还重装了系统的(8个月前),所以现在还是从心里支持微点要继续发展和突破技术难关,以带给用户越来越安全的使用环境。
5.微点的客服是我遇到的最敬业和最有耐心的了,如果以后微点做大了,市场完全铺开了,这个优势希望继续发扬下去,就市场销售来讲,这一点非常重要的。
最后,菜菜的我希望能够在微点论坛看到更多的象楼主llcracker一样的技术高级人士发表更多的技术贴,希望微点越来越完善!!!
作者: youyunsoft     时间: 2007-3-22 13:40    标题: 真希望上述帖子能对微点的开发人员有帮助

我同时用过卡巴斯基的主动防御。
我个人认为卡巴斯基主动防御绝对不成熟,第一速度极慢(片 2。8G,512内存,极度优化的windowsxp)。第二,没完没了的需要人工判断,对于新手来说没法用
下面是我的微点的一部分日志,是骡子是马,大家自己判断。还有相当一部分,都删掉了。最后我采取直接运行病毒文件并取消微点操作的做法。
2007-03-21 11:54:52        处理成功        Trojan-PSW.Win32.OnLineGames.agw        H:\新建文件夹\UANL.EXE        C:\WINNT\EXPLORER.EXE
2007-03-21 11:48:52        处理成功        Trojan-PSW.Win32.QQPass.bpl        H:\新建文件夹\SCNBRU.EXE        
2007-03-21 11:47:54        处理成功        Backdoor.Win32.Agent.cgr        H:\新建文件夹\B302EC43.EXE        
2007-03-21 11:47:47        处理成功        Trojan-PSW.Win32.QQPass.bpl        H:\新建文件夹\A0015192.EXE        
2007-03-21 11:47:40        处理成功        Trojan-PSW.Win32.QQPass.bpl        H:\新建文件夹\A0014411.EXE        
2007-03-20 15:33:30        处理成功        Trojan-PSW.Win32.OnLineGames.agw        C:\LOG\UANL.EXE        
2007-03-15 15:03:39        处理成功        未知间谍软件        C:\WINNT\SYSTEM32\LGSYM.DLL        C:\WINNT\IEXPL0RE.EXE
2007-03-15 15:03:39        处理成功        未知间谍软件        C:\WINNT\IEXPL0RE.EXE        C:\WINNT\IEXPL0RA.EXE
2007-03-15 15:03:39        处理成功        未知间谍软件        C:\WINNT\IEXPL0RA.EXE        
2007-03-15 15:03:24        延时删除        未知木马        C:\PROGRAM FILES\VXMW\WYNX.NLS        C:\PROGRAM FILES\VXMW\WYNX.DLL
2007-03-15 15:03:21        处理成功        未知木马        C:\PROGRAM FILES\VXMW\WYNX.DLL        
2007-03-15 14:54:26        处理成功        未知间谍软件        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$DR01.344\GJYOV.DLL        F:\PUBLIC\WINRAR\WINRAR.EXE
2007-03-15 14:53:36        处理成功        未知间谍软件        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$DR01.344\WM[1].EXE        F:\PUBLIC\WINRAR\WINRAR.EXE
2007-03-15 14:52:46        处理成功        未知木马        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$DR01.344\SERVICEA.EXE        F:\PUBLIC\WINRAR\WINRAR.EXE
2007-03-15 14:51:55        处理成功        未知木马        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$DR01.344\QQYOV.DLL        F:\PUBLIC\WINRAR\WINRAR.EXE
2007-03-15 14:51:53        处理成功        Trojan-PSW.Win32.OnLineGames.asc        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$DR01.344\MSCCRT.EXE        F:\PUBLIC\WINRAR\WINRAR.EXE
2007-03-15 14:51:48        处理成功        Trojan-Downloader.Win32.Small.ego        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$DR01.344\KUGOU_CNS.EXE        F:\PUBLIC\WINRAR\WINRAR.EXE
2007-03-15 14:49:32        用户取消        未知间谍软件        C:\WINNT\SYSTEM32\WSTTRS.DLL        C:\WINNT\WSTTRS.EXE
2007-03-15 14:49:32        用户取消        未知间谍软件        C:\WINNT\WSTTRS.EXE        C:\TEMP\WSTTRS.EXE
2007-03-15 14:49:32        用户取消        未知间谍软件        C:\TEMP\WSTTRS.EXE        
2007-03-15 14:49:24        处理成功        未知间谍软件        C:\WINNT\C0NIMA.EXE        C:\TEMP\WM[1].EXE
2007-03-15 14:49:24        处理成功        未知间谍软件        C:\WINNT\SYSTEM32\GJZOS.DLL        C:\WINNT\C0NIME.EXE
2007-03-15 14:49:23        处理成功        未知间谍软件        C:\WINNT\C0NIME.EXE        C:\TEMP\WM[1].EXE
2007-03-15 14:49:23        处理成功        未知间谍软件        C:\TEMP\WM[1].EXE        
2007-03-15 14:49:17        用户取消        未知木马        C:\WINNT\SERVICEA.EXE        C:\TEMP\SERVICEA.EXE
2007-03-15 14:49:17        用户取消        未知木马        C:\WINNT\SYSTEM32\QQZOS.DLL        C:\WINNT\SERVICER.EXE
2007-03-15 14:49:17        用户取消        未知木马        C:\WINNT\SERVICER.EXE        C:\TEMP\SERVICEA.EXE
2007-03-15 14:49:17        用户取消        未知木马        C:\TEMP\SERVICEA.EXE        
2007-03-15 14:49:06        用户取消        未知间谍软件        C:\WINNT\SYSTEM32\UANL.DLL        C:\WINNT\UANL.EXE
2007-03-15 14:49:06        用户取消        未知间谍软件        C:\WINNT\UANL.EXE        C:\TEMP\UANL.EXE
2007-03-15 14:49:06        用户取消        未知间谍软件        C:\TEMP\UANL.EXE        
2007-03-15 14:48:59        用户取消        未知间谍软件        C:\WINNT\SERVICEA.EXE        C:\TEMP\SERVICEA.EXE
2007-03-15 14:48:59        用户取消        未知间谍软件        C:\WINNT\SYSTEM32\QQZOS.DLL        C:\WINNT\SERVICER.EXE
2007-03-15 14:48:59        用户取消        未知间谍软件        C:\WINNT\SERVICER.EXE        C:\TEMP\SERVICEA.EXE
2007-03-15 14:48:59        用户取消        未知间谍软件        C:\TEMP\SERVICEA.EXE        
2007-03-15 14:48:49        用户取消        未知木马        C:\WINNT\IEXPL0RA.EXE        C:\TEMP\MH[1].EXE
2007-03-15 14:48:49        用户取消        未知木马        C:\WINNT\SYSTEM32\LGSYM.DLL        C:\WINNT\IEXPL0RE.EXE
2007-03-15 14:48:49        用户取消        未知木马        C:\WINNT\IEXPL0RE.EXE        C:\TEMP\MH[1].EXE
2007-03-15 14:48:49        用户取消        未知木马        C:\TEMP\MH[1].EXE        
2007-03-15 14:48:40        用户取消        未知间谍软件        C:\WINNT\IEXPL0RA.EXE        C:\TEMP\MH[1].EXE
2007-03-15 14:48:40        用户取消        未知间谍软件        C:\WINNT\SYSTEM32\LGSYM.DLL        C:\WINNT\IEXPL0RE.EXE
2007-03-15 14:48:40        用户取消        未知间谍软件        C:\WINNT\IEXPL0RE.EXE        C:\TEMP\MH[1].EXE
2007-03-15 14:48:40        用户取消        未知间谍软件        C:\TEMP\MH[1].EXE        
2007-03-15 14:48:20        用户取消        Trojan-Downloader.Win32.Small.ego        C:\TEMP\KUGOU_CNS.EXE        
2007-03-15 14:48:03        用户取消        未知间谍软件        C:\WINNT\SYSTEM32\CMDBCS.DLL        C:\WINNT\CMDBCS.EXE
2007-03-15 14:48:03        用户取消        未知间谍软件        C:\WINNT\CMDBCS.EXE        C:\TEMP\JH[1].EXE
2007-03-15 14:48:03        用户取消        未知间谍软件        C:\TEMP\JH[1].EXE        
2007-03-15 14:47:56        用户取消        未知木马        C:\WINNT\IEXPL0RA.EXE        C:\TEMP\IEXPL0RA.EXE
2007-03-15 14:47:56        用户取消        未知木马        C:\WINNT\SYSTEM32\LGSYM.DLL        C:\WINNT\IEXPL0RE.EXE
2007-03-15 14:47:56        用户取消        未知木马        C:\WINNT\IEXPL0RE.EXE        C:\TEMP\IEXPL0RA.EXE
2007-03-15 14:47:56        用户取消        未知木马        C:\TEMP\IEXPL0RA.EXE        
2007-03-15 14:47:48        用户取消        未知间谍软件        C:\WINNT\IEXPL0RA.EXE        C:\TEMP\IEXPL0RA.EXE
2007-03-15 14:47:48        用户取消        未知间谍软件        C:\WINNT\SYSTEM32\LGSYM.DLL        C:\WINNT\IEXPL0RE.EXE
2007-03-15 14:47:48        用户取消        未知间谍软件        C:\WINNT\IEXPL0RE.EXE        C:\TEMP\IEXPL0RA.EXE
2007-03-15 14:47:48        用户取消        未知间谍软件        C:\TEMP\IEXPL0RA.EXE        
2007-03-15 14:47:34        用户取消        未知间谍软件        C:\TEMP\CTFNOM.EXE        
2007-03-15 14:47:30        用户取消        未知间谍软件        C:\WINNT\SYSTEM32\CMDBCS.DLL        C:\WINNT\CMDBCS.EXE
2007-03-15 14:47:30        用户取消        未知间谍软件        C:\WINNT\CMDBCS.EXE        C:\TEMP\CMDBCS.EXE
2007-03-15 14:47:30        用户取消        未知间谍软件        C:\TEMP\CMDBCS.EXE        
2007-03-15 14:47:23        用户取消        未知木马        C:\WINNT\SYSTEM32\DA07224D.DLL        C:\WINNT\SYSTEM32\DA07224D.EXE
2007-03-15 14:47:23        用户取消        未知木马        C:\WINNT\SYSTEM32\DA07224D.EXE        C:\TEMP\7E0FF831.EXE
2007-03-15 14:47:23        用户取消        未知木马        C:\TEMP\7E0FF831.EXE        
2007-03-15 14:47:19        用户取消        未知间谍软件        C:\WINNT\SYSTEM32\DA07224D.DLL        C:\WINNT\SYSTEM32\DA07224D.EXE
2007-03-15 14:47:19        用户取消        未知间谍软件        C:\WINNT\SYSTEM32\DA07224D.EXE        C:\TEMP\7E0FF831.EXE
2007-03-15 14:47:19        用户取消        未知间谍软件        C:\TEMP\7E0FF831.EXE        
2007-03-15 14:47:14        用户取消        未知间谍软件        C:\WINNT\SYSTEM32\DA07224DT.EXE        C:\TEMP\7E0FF831.EXE
2007-03-15 14:47:14        用户取消        未知间谍软件        C:\WINNT\SYSTEM32\DA07224D.DLL        C:\WINNT\SYSTEM32\DA07224D.EXE
2007-03-15 14:47:14        用户取消        未知间谍软件        C:\WINNT\SYSTEM32\DA07224D.EXE        C:\TEMP\7E0FF831.EXE
2007-03-15 14:47:14        用户

[ Last edited by youyunsoft on 2007-3-22 at 14:15 ]
作者: 反黑先锋     时间: 2007-3-22 15:26


  Quote:
Originally posted by youyunsoft at 2007-3-22 13:40:
我同时用过卡巴斯基的主动防御。
我个人认为卡巴斯基主动防御绝对不成熟,第一速度极慢(片 2。8G,512内存,极度优化的windowsxp)。第二,没完没了的需要人工判断,对于新手来说没法用
下面是我的微点的一部分 ...

从日志上看 微点报警时 楼主取消了部分操作?

2007-03-15 14:47:48        用户取消        未知间谍软件        
C:\TEMP\IEXPL0RA.EXE

微点依据程序行为判断 病毒有破坏系统的行为 就会被微点软件及时拦截并做相应的处理  微点判断的绝大部分都是 病毒。

[ Last edited by 反黑先锋 on 2007-3-22 at 15:30 ]
作者: youyunsoft     时间: 2007-3-23 10:03    标题: 是取消了

我想看看让病毒运行会怎么样,结果一个木马进入内存,微点提示重启,重启后kill
上述文件是病毒样本,没有一个是误报。
我的电脑经常发生误报,但是都是金山和vrv的文件,反而不是防病毒的文件却没有什么误报。
举个例子,我下载的红色警戒2玩了半年多了,半年多经金山,vrv,nod32,卡巴斯基多次全盘扫描,没有发现问题,装了微点之后,提示未知间谍。
我想一定是误报,知道最近vrv升级之后,提示是后门。才证明了微点的火眼金睛
作者: jaber     时间: 2007-3-24 07:21
麻烦youyunsoft将微点误报的文件发送到:support@micropoint.com.cn  并在信中注明下情况!
作者: CHENBIN     时间: 2007-3-24 22:11
微点啊,有人来向你挑战了哟
作者: EA     时间: 2007-3-25 14:18


  Quote:
Originally posted by youyunsoft at 2007-3-23 10:03:
201  是取消了

我想看看让病毒运行会怎么样,结果一个木马进入内存,微点提示重启,重启后kill
上述文件是病毒样本,没有一个是误报。
我的电脑经常发生误报,但是都是金山和vrv的文件,反而不是防病毒的文件却没有什么误报。

举个例子,我下载的红色警戒2玩了半年多了,半年多经金山,vrv,nod32,卡巴斯基多次全盘扫描,没有发现问题,装了微点之后,提示未知间谍。
我想一定是误报,知道最近vrv升级之后,提示是后门。才证明了微点的火眼金睛

学习了果然强 早听说微点了朋友几个都在用 微点报警多半是病毒之类  今天第一次试用感觉很棒 功能好多  就是界面没有换肤功能 希望增加

[ Last edited by EA on 2007-3-25 at 14:20 ]
作者: youyunsoft     时间: 2007-3-26 09:31    标题: 举个例子

vrv的vrvclient.exe
vrvclient_.exe
毒霸的kmail。。。邮件监控文件
update
uplive
但是我已经把他们列为正常文件,针对上述目录的误报,不算什么,不少杀毒软件不是喜欢别人的病毒库文件当病毒吗
作者: xuy777     时间: 2007-3-26 14:09
最好没有既定标准,有了既定标准,你病毒就有规律可循了。
所有有规律可循的东西都有规律回避。
作者: ylle1652     时间: 2007-4-8 13:33
对啊     对于广大的菜鸟们来说  
搂住的说法很容易误导我们的    大家都知道没有一样东西是十全十美的
想得到一些东西的同时就肯定要牺牲另一些   就像大家所说   我们最看重的是效果
而不是怎么开发  怎么防毒  怎么检测 或是什么   只要能让我们的系统干干净净的不受病毒的侵害  那我们就会去支持
而且希望楼主在说微点本身不足的情况下  也能与别的杀软做出些对比  让我们了解微点不足的同时 也看到与他们的差距啊
还有也希望搂住在提出一些宝贵建议的同时  也能提出一些解决方法帮助国产软件的进步哦     呵呵   希望大家支持国产 ~
作者: sunrise     时间: 2007-4-11 00:22
花了近一个小时才粗略浏览完如此好帖!学习中......
作者: likey     时间: 2007-5-25 15:21
真的是强贴
作者: pingpaiji     时间: 2007-5-26 15:50
学习
作者: rsy1949     时间: 2007-5-26 21:05
今日刚安,试用一下,支持微点,中国人应该有在世界上叫得响的软件,希望你们越作越好............
作者: 可爱的卧底     时间: 2007-5-27 03:42
支持下,看完不容易啊 。
支持微点的人没做错,微点是个好东西。
质疑(注意是质疑不是反对)微点技术的人没做错,有这个问题就应该提出来。
不过别指望微点正式承认自己的技术有多大缺陷,我对微点不太了解,不知道他们素质高不高,但我知道新闻媒体和微点的竞争对手,没什么良心。估计今天微点正式承认自己的技术不是十全十美,他们就能给扭曲成有巨大漏洞,甚至能引起北冰洋海啸和外星人基因突变了。也希望楼主理解啊。说不定顶你帖子的人里,就有刘旭本人哪。。

看开点。都别生气啊。

[ Last edited by 可爱的卧底 on 2007-5-27 at 03:43 ]
作者: coolsila     时间: 2007-5-27 12:49
花了N个小时终于看完了,几位达人的观点都很有道理。很久没有看到这么有深度的讨论贴了,又学到不少东西了。
鄙人也谈谈自己的看法:
1、我用微点也有一段时间了,中间还反复了几次。不过这2年来微点进步确实很大,但是依然还有很多不足需要改进的地方,微点现在并不是特别成熟,毕竟是新概念,新技术(相对传统杀毒技术来说),而且对微点更确切的定义是防病毒软件,而不是杀病毒软件。相对而言它的防御性还是比较好的,杀毒清毒修复能力相对要弱一点。这个倒是跟某些安全软件的理念有一点相似。既然能防住为什么要杀,而且像有些强悍杀毒软件那样,连文件一起干掉,很容易损坏数据甚至系统。当然能够杀掉并修复更好。
2.不管什么安全软件,都不可能是万能的,而且各有特色,所谓不管黑猫白猫,能抓耗子的就是好猫。对于大多数用户来说,不管你是多么牛X技术,有一些什么神奇的功能。不能保护电脑,解决一些实际问题,那么对于大多数用户来说也是没有用的。大多数用户(特别是广大普通群众,菜鸟)要的是方便,能解决问题。好用就行。没有最好,只有最合适。个人认为选择自己最合适的。不会看广告,看疗效。
作者: zn3300680     时间: 2007-5-27 19:32
79楼的精彩,衷心的希望微点能成为世界级的反病毒产品:D:D:D:D:D:D
作者: zn3300680     时间: 2007-5-27 20:05
微点也应该发展自己的启发式,把这三种方式有机的整合起来应该可以吧,优势互补,这样的话就可以集众家所长,避免了单独一种的缺陷。
作者: norman6810     时间: 2007-5-27 20:42
这个帖子估计是本论坛最长的啦,网速太慢,都没能一一看完!
     不过看过一些帖子后,发现微点确实有一批真正关心她的用户!
相信微点明天会更好!
作者: 独行侠     时间: 2007-5-31 15:35
哈,好热闹啊!
我是个外行,但我支持国产的东西!每一个杀软不论它的出身在任地,都有它的优点和缺点。我们不能要求每一个杀软都能做到百毒不侵这也不可能。必竟攻和防是一个对立面(找不到说辞,故且这么说一下)。微点是国产杀软,我只希望他能做到别人能做到的微点也能做到,能让咱国人的电脑比洋人的电脑少感染一点病毒,自身的免疫力强一点!
作者: nalan1m     时间: 2007-5-31 16:54
同意105楼的观点,虽然俺说不出来,感觉也是那么回事儿。不过俺相信微点会有更大的发展。
作者: wzw     时间: 2007-5-31 20:19
同意楼主的观点,所以我担心的是:微点是否最终会走其他杀毒软件被动杀毒的老路。
作者: zhimibuniu     时间: 2007-5-31 21:40
好不容易看完了   还是不懂  我家的电脑是给老婆用的 我怎么搞  20天回来还是要给她重装系统  所以一直盼着有个傻瓜杀毒软件  呵呵 我自己的电脑一直裸奔 不怕  她的电脑.............. 我怕
作者: rainbow     时间: 2007-5-31 22:13
不管怎么说,我支持国产.
一直用瑞星,现在发现很有问题了,有几个病毒存在都快一年,还是杀不掉,垃圾啊,尽管那几个病毒没对我工作产生什么影响.
想试试微点了,不知道能不能杀掉.
作者: jimmy_388     时间: 2007-6-9 11:58
:lol:哈哈,学习了!花了我一个晚上加一个白天才把 llcracker   calm_cs   aidi  nasdaq  四位高手的帖子看完,这篇帖子被升精足以见得微点能够察纳雅言,我也没什么说的,毕竟我也不懂那些技术,对市场也不了解,不过我想表达的四位高手的都已经阐明了。希望微点在后续的发展中不段完善自己,使用户能够用到更好的产品,我相信微点!
     不管怎么样,希望微点以后成长起来后,在成为国内或国际响当当的大公司后,还能够察纳雅言,听的进去一些见解,那样才是一个真正的大公司。才是能够让大众信服的一个好公司!中国软件就需要像微点这样有发展前途的产品了!!无论是现在还是未来,对于微点,或者中国正在糨宝中的很有前途的这些软件公司来说,诚信,服务,质量才是用户希望看到的!!希望微点能够早日走出困难!!!:P:P
作者: kmbzy     时间: 2007-6-10 15:49    标题: 谁优谁劣,技术说的再好,还是不如用户的口碑好。

不管卡巴也好,瑞星也罢,微点自有微点的优势,以主动防御为主的杀软,毕竟是市场的需要。还是那句话,不管白猫黑猫,抓到老鼠就是好猫,适合用户需求,满足用户需要的产品就是好产品。
作者: 81153559     时间: 2007-6-12 13:26    标题: 希望微点的明天会更好!!

我从其它的网页无意到此,看完了整个了的帖子,自觉得受益匪浅,确实值得一看.在我耐心范围内我第一次看完了这么长的帖子,我觉得诸多网友无非是想表明这样的观点,不管是对微点的批评,还是对微点的赞美,都希望微点越做越大,不要像哪个什么星的,只是不知道微点能否真的承载诸多网的厚爱?!!!
作者: sweetl     时间: 2007-6-12 17:37

      个人认为,没有十全十美的东西! 不能说不完美就要放弃,那样的话这个世界上就没有东西可以存在了!!!包括我们每一个人。

      主动防御还是有其先进性的,至少对大部分病毒来说能防患于未然!!!


作者: skydragon     时间: 2007-6-13 11:00
有如此的用户反馈,用户建议,再不强,就xxx
作者: ljgdgl     时间: 2007-6-14 14:42    标题: 路过

第一次花这么长时间看完一个贴子,支持!!!
作者: jaber     时间: 2007-6-28 18:20
这个帖子我看了很多次   每次看了都会学习到一些东西!
作者: 干虾米哟     时间: 2007-6-29 23:14
没有十全十美的……

主动防御也是有好处的,但我们不能要求它无所不能……也不能因为它有缺点就不用它了……

法律不能消灭犯罪,但我想谁也不会因此就把法律废了吧??
作者: 运指如飞     时间: 2007-7-2 11:02
主动防御还是要根据用户的电脑知识来具体运用的

万事都不可能做的完美,毕竟电脑就是电脑,不是人脑
作者: digua008     时间: 2007-7-2 12:49
大家都是为微点好,不过标题有误导之嫌.用微点很长时间了,很满意. 这是一个方向.没什么可以拿来置疑的.楼主说的完美和各种不稳定的可能.这要一个过程.你不能让任何一个新生事物一上场就那么完美.就象一个孩子.一出生就想让他去读博士一样.你很给他吃,穿,读书,努力.最重要的的要生长.是不是这样呢~~
作者: 小可     时间: 2007-7-3 11:09


  Quote:
Originally posted by playworm at 2006-9-1 08:58:
说半天就是看哪个取得系统最核心的控制权(优先权),看哪个能在最底层进行基本的I/O操作,嗯,安全系统在发展,病毒也在发展,这是个趋势。我有个想法,能不能控制最低层的操作为不允许,必须通过中间层呢?比 ...

什么叫标准???
对付病毒能讲标准吗??那病毒不就能做出一个标准型的病毒来了.瞎扯嘛!
作者: 独孤一梦     时间: 2007-7-3 11:55
看了2个多小时,总算看完了,哈哈,技术性的问题不是我们这种外行人能懂的
不过花了2个多小时看贴,不说句话,对不起用过的时间
说说我用微点的感受:以前用过卡巴,开着主动防御,结果老是提示我操作,不过我还能对付得来,机子很卡,我可是双核的,后来居然几次QQ被盗,卡巴没反应,加上卡巴KEY过期就用微点了,装了后速度快了很多,快赶上裸奔的速度了,装了一个多月了,还没什么大的不正常情况的出现!现在只用微点,感觉不错!!
作者: han     时间: 2007-7-3 13:17
与楼主无仇,无微点无缘,凑个热闹。以下所说有错愿改,有冒犯请海涵。

===============
原题主论点:主动防御不可完成的任务
原题次论点:主动防御目前只能成为安全工具的辅助手段,也是不可完成的任务。

原题论据:
1、主动防御标准含糊不清楚,没得具体的行业标准
2、(主动防御)从技术层面来说是不可真正的实现动态监视

感想与戏言:
引子:论据本身够不够确凿,与论点的逻辑关系是不是必然是为论之宗旨。
1、论据1中的“主动防御标准”是指尚未制定的国际主动防御标准?还是微点现在遵循的主动防御标准?还是就是微点?
如果指的是国际标准(比如PAL电视制式标准),据我所知,截今好象没有主动防御国际标准;如果指微点自身遵循的“主动防御”标准,很显然一定有,不然微点就无法工作;如果将微点等同(比方问:什么是社会主义?你不能因为中国走的是社会主义就说“中国就是社会主义”)主动防御,那么通文逻辑就有问题。
2、论据2其实也是论点,但在整篇文章中却是论据。该论点的论据没有归纳成条,而是通过微点防御机制分析和驱动层次、与病毒的权限、病毒与非病毒的辨认方面进行假设性推导。
如果作者针对的是“主动防御”而不是“微点”,则似乎成不了对立,如果是指微点的主动防御或微点本身,因为微点其实已经采用了特征码(由微点软件而不是反病毒人员或公司在防御过程中收集和提取形成),那么要得出“(微点)从技术层面来说是不可真正的实现动态监视”就站不住脚。
总结一下:作者试图通过一、主动防御理论因为没有统一的国际标准而微点的标准“含糊不清楚”而存在缺陷;二、即使不谈“标准”,主动防御在实际技术上也不可能实现主动防御来论证“主动防御不可完成的任务”,即理论和技术两方面论证主动防御是一项不可完成的任务,却有(微点)“主动防御”是根本无法实现,顶多只能做辅助手段甚至连做辅助手段也不可能实现(次论点)的嫌疑。从论点到结论,始终存在某种问题。个人认为针对的对象不确定所致(可能是未读懂):“主动防御”有时是广义的国际标准,不知不觉中又转移给了微点的主动防御标准,最后归结到微点。
最后也谈一下“标准”。比方最初对病毒的定义是什么界定的,现在的反病毒公司是不是必须严格遵循?如果一个程序卡巴认为是病毒而瑞星认为不是病毒,到底谁说得准。个人认为“标准”是人们规定的,也不是一成不变的,如果必须等待统一的国际标准出来了才生产反病毒软件,其结果实在难以想象。世界上也没有一款完全遵照国际标准(假使有)的杀毒软件。
任何一门技术都永无止境,没有绝对只有相对,作为公司不能片面夸大或有意欺骗用户,辨良言而纳之,知不善而益之善莫大焉;作为用户则应该以事实为依据,谁优谁劣,不听宣传讲实验。个人认为微点现在还有很多地方不成熟,对其产品的“主动防御”和“行为判杀”的联系也不清楚,但作为一个受到扼杀、举债前行的一个软件公司的试用品,相形之下确有其独到之处,难免的误杀多少还需要人们能够包容。(所言荒唐本不想贴,权当大家饭后笑资吧)

[ Last edited by han on 2007-7-5 at 08:22 ]
作者: 新时代     时间: 2007-7-20 15:51
主动防御是一件任重道远的任务,除了要有高超的防毒技巧,还要有敏捷的反应。这一点我觉得不久的将来就会做到。
作者: qq2008444     时间: 2007-7-20 16:30


  Quote:
Originally posted by linovo at 2007-2-16 17:15:

我想问一下ylcn,你测试的病毒多次加壳脱壳后能否正常运行?许多人都宣称自己把病毒多重加壳后,微点识别不了,但仔细分析后,这些病毒在加壳过程中,活病毒都变成死病毒了,微点当然杀不了。

的确
重复如此动作就是为了打乱程序
达到免杀的目的
在重复加壳脱壳的过程中程序受到严重破坏
自然没多少可以安然无恙的了

PS:这招MS是以前的小黑们拿来过NOD32的免杀用的招式
作者: qq2008444     时间: 2007-7-20 16:34
看了这么多头有点晕
回去消化两天学习两天再来发表意见
PS:到后面几页除了#234  
其他基本是垃圾帖子:(

[ Last edited by qq2008444 on 2007-7-20 at 16:35 ]
作者: wantcm     时间: 2007-7-20 19:13
特征扫描对于加壳病毒和变种病毒处理的很不好,每出一种新的变种,病毒库里都要添加一条新的病毒特征码,每发现一种新的加壳方法,都要对应的出新的去壳程序,而微点,完全不需要这些,只要你有病毒行为,并且该行为是微点的规则包里存在的,你就被定义为病毒,然后结束进程删除掉该文件,删除的过程中也不论你加了多么牛X的壳!
作者: 红塔山     时间: 2007-7-20 19:53
看了以后头晕眼花了,有一点看明白了,大家都是为了微点好,主动防御必然成为主流。
微点从来没有让我这么踏实过,但微点决不是神
作者: 可爱的卧底     时间: 2007-7-21 04:38
敬佩几位高手对知识精益求精的苛求!
做技术的人就应该像你们一样!
微点论坛的风气很正!至少别的论坛这类辩论很容易变成泼妇骂街或者扯淡式雄辩。
----------------
我想对楼主说一点,我知道,微点不是神。但是,现阶段,微点保住了我的系统。装过微点的电脑,报毒多次,却从来没中毒!微点总在罪恶的黑手发作之前的一瞬间将其斩断!我衷心的谢谢微点!衷心的谢谢刘旭。
但是也提醒下微点,前两天同事电脑安装瑞星中了AV终结者变种,微点如果装上去的话,杀那个病毒一点问题都没有。可是,当时他确实没装上去。希望微点小心了。
我保证,只要价格不是太高,我的第一个正版杀毒软件会是微点!
作者: 干虾米哟     时间: 2007-7-22 10:08
标准型病毒怎么没有?搞破坏盗数据的不就是标准型病毒?哪个病毒不搞破坏也不盗数据的?破坏可以以多种手段实现,最终目的就是破坏!盗数据也是有很多方法,说到底不还是偷东西??
作者: www_mmpfw_com     时间: 2007-7-26 23:44
好贴,菜人看得呆了,病毒生成的DLL文件怎么不能删除啊

[ Last edited by www_mmpfw_com on 2007-7-26 at 23:45 ]
作者: nmgjl     时间: 2007-7-27 11:28    标题: 要看疗效~~~

我是菜鸟,我觉得菜鸟最好的办法就是先装个微点,用段时间看看情况,过段时间再用升级的杀毒软件杀杀看, 如果杀不出病毒说明还可以,如果有的杀出来了,而微点没发现,说明有的东西还需要改进哦!~~~
作者: baroque     时间: 2007-7-27 12:17    标题: 支持楼主

支持楼主,支持对微点有意见的朋友,这样才能让微点更好更快的发展,同样,也支持微点,祝愿微点越走越好
作者: 做微点的微尘     时间: 2007-7-27 17:11
做微点的微尘
作者: 做微点的微尘     时间: 2007-7-27 17:12
做微点的微尘
作者: easecloud     时间: 2007-7-29 09:19
都是高手。。。
作者: qq2008444     时间: 2007-7-29 22:12
呵呵
相见恨晚啊
看到这个帖子都已经有好几百贴了。。
太后悔没早点来看看
呵呵
进入主题拉。。。

  Quote:
Originally posted by nasdaq :
我一直是支持技术融合的,并且我原来也一直在说微点是一款多种技术综合性信息安全软件。我一直也不认为微点现在就已经很完善了,无敌了。不过针对于年初的版本来说,微点有了很明显的进步,这一点我是很高兴的。其实,某种程度上说,您和我都是更看好微点未来的发展,假以时日,在结构上完善,在技术上融合,2-3年后的微点必然会大放光彩。

我们大家都希望微点是会发展起来的,我们在这里的讨论也都是为了这个,不是么?

  Quote:
Originally posted by nasdaq :
您从技术角度谈这种技术的局限性;我从辩证法来看,我认为不存在有万能的东西,每种事物都有其适用范围。其实我们殊途而同归,观点是一致的。行为引擎虽不是万能,但是其是有一定意义并且有一定价值的,这点您也是认同的。

用特征码扫描再加上行为判断引擎的确能够比单独使用特征码扫描防范效果好,但是前提是特征码是数量一致,那么现在这个好象不满足。。。。

  Quote:
Originally posted by nasdaq at :
而我这个无业游民天天有的是时间打字

呵呵那我可是十分的羡慕你了。。我可是没时间天天一贴一贴看,只好打印下来慢慢琢磨了。。。

  Quote:
Originally posted by bingyan at :
个人认为,微点应该变为行为特征码扫描加上行为监控才会行成突破。扫描是必须的,仅靠监控是不够的

经过我的调查,我周围大部分的人并不重视扫描,也就是说,有大半的人并不愿意花大量时间去进行扫描而是依靠监控,这说明监控必须强大

  Quote:
Originally posted by crosen at :
特征码虽然反应滞后,但是在病毒库里的东西基本可以保证查杀.至于那些新病毒,新变种,我会这么倒霉第一个就感染上?   短时间内病毒库就更新了.

很可惜的是,事情并不是就像你所想象的如此简单。。如果一个病毒只是小范围传播,小到杀软公司并不重视,那么你就只能够吃哑巴亏了,如果只靠特征码,那么你就只能够挨宰了。。我以前写的一个小病毒,到现在,江民还是查不出毒来。。
或者这个病毒刚刚出来就开始大范围传播,这个时候杀软厂商的病毒库还没有这个病毒,那么,你就有很大可能挨宰。。别以为这不可能。。就是这样。。。

  Quote:
Originally posted by 青豆 at :
特征值不可完成的任务:病毒库的滞后
虚拟机不可完成的任务:简化(残缺)的模拟环境
主动防御不可完成的任务:行为分析带来的误报



  Quote:
Originally posted by stone_strong at :
过去,都是由人工来发现病毒,然后找到特征值,然后升级病毒库,才能查杀病毒,现在,微点把这个人工过程自动化了,完全由软件来实现了,这样的好处是相当于给每个装微点的机器配备了一个反病毒专家,他不停的在发现病毒、解决病毒,完全在本地机器上解决了,不用你象原来那样上报病毒到杀毒软件公司,然后由人工找特征值,升级杀毒软件了,微点的行为判断方法是一套综合的方法,或者说是人工发现病毒方法的程序抽象实现。也就是说和人工发现、判断病毒的方法相同!通俗一点说,换成人也是这个判读方法,明白了吗?

你的理解错误了。。。微点是靠判断程序行为来确定未知病毒。。在查杀完病毒时将特征码传送更新。。

  Quote:
Originally posted by han at :
如果作者针对的是“主动防御”而不是“微点”,则似乎成不了对立,如果是指微点的主动防御或微点本身,因为微点其实已经采用了特征码(由微点软件而不是反病毒人员或公司在防御过程中收集和提取形成),那么要得出“(微点)从技术层面来说是不可真正的实现动态监视”就站不住脚。

请理解我们的意思好么?我们是在讨论行为判断引擎的可实施性。。。

对于行为判断能不能在病毒进行病毒行为前将病毒截杀。。。我认为不太可能。。就像是LLCRACKER说的IEXPLORER.COM释放AOOD.SYS,这个过程是正常的,但是这个时候病毒已经完成了它的病毒行为...
所以我认为,行为判断引擎最好是和虚拟机技术配合使用...

最后,不知道大家知不知道以前一个可以过毒霸启发式扫描的病毒:广外女生..

我是半桶水,有不同意见的欢迎大家指正。。
作者: qq2008444     时间: 2007-7-30 15:48
正在再再次观看。。。
llcracker calm_cs 和NASDAQ 的辩论每次看都受益非浅啊。。。
我的理解还十分片面
让各位见笑了。。。
作者: cukow     时间: 2007-8-2 16:43
看完纳斯达克和楼主洋洋洒洒万字小说,有点感触.纳斯达克与楼主在标准的完备性与用户体验上,技术的成熟性与商业利益方面均有针锋相对的理论,有次深刻而不失和气的讨论氛围,实为微点之福,刘总如果知道微点背后的用户有此心思,定当不负众望.

按我对两位发言的理解,双方虽有争执,但也是有共通点的,首先双方都承认了传统静态特征码的不足与行为判断的优点,均肯定了微点在预杀未知病毒上的成绩,楼主认为,微点在行为杀毒没有统一工业标准的情况下很难做到对每个程序行为100%的正确判断,楼主所说的不可能完成的任务也就是指行为判断不能在没有人工干预的情况下做到完全令人信服,所以,楼主的观点是在目前行为判断不成熟的局面下,微点的发展应当以特征码杀毒为主,行为判断为辅.而纳斯达克则认为,尽管行为判断有其不成熟的地方,但是,它有优于特征码杀毒的用户体验,并且,它比特征码杀毒更有qian景,所以,应当以发展行为判断为主,辅以特征码杀毒

两位的焦点,应该是在于行为杀毒与特征码杀毒,谁主谁次.鄙人不才,并非计算机从业人员,操作系统原理也不太精通,但是,看完两位的舌辨竟也有相当的斩获.总结两位的观点,我也有了自己的观点,微点未来的着眼点在于虚拟机+行为杀毒.现长话短说

首先我想解释一下为什么不是特征码杀毒.很明显,基于特征码杀毒需要高效的引擎和庞大的毒库,设计出好的引擎需要时间的积累,收集庞大的毒库更需要时间的积累.微点作为成长型的企业,未必有这样充裕的时间和财力.有人说,做虚拟机也需要时间的积累,我是这样想的,引擎+毒库毕竟是老的滞后的技术,启发虽是传统杀毒未来必经的趋势之一,但是,启发式需要通过分析对象文件与毒库中的病毒原码进行比较,当二者匹配率大于某一值时,杀毒软件就会将其列为可疑文件以进行下一步的处理,它同样依赖于毒库,并且这个匹配率的量的轻重上,没人能估摸的准,也不可能估摸的准.另外,微点做传统杀软,对他而言反到是个新的领域,而做虚拟机,是有技术根基的.虚拟机其实也可以做成行为判断,关于这个两位在之前的帖子也有提到过,不同的在于虚拟机只是在模拟环境下的行为判断,微点所谓的行为判断是在真机下的行为判断,虽然环境上的区别造成判断上的区别,但是,我想,至少这两种技术的思路和评判的标准是一致的.随着cpu核心数量和内存容量的不断升级,我同样认为,虚拟机的效率不再是问题,而且我也相信,一旦微点能够做得出无须人工干预的行为逻辑标准和高效成熟的虚拟机,那么他的主动防御完全可以放到虚拟机里面来做,这样也可以杜绝由于真机环境下运行病毒造成的隐形忧患.

看完我帖子的人想必也知道我不是干技术活儿的,写这些也算是向两位致敬,再掺和点自己不成熟的想法.我想广开言论对于正在发展中的事物总是好的吧
作者: qq2008444     时间: 2007-8-2 17:03


  Quote:
Originally posted by cukow at 2007-8-2 16:43:
看完纳斯达克和楼主洋洋洒洒万字小说,有点感触.纳斯达克与楼主在标准的完备性与用户体验上,技术的成熟性与商业利益方面均有针锋相对的理论,有次深刻而不失和气的讨论氛围,实为微点之福,刘总如果知道微点背后的用户 ...

呵呵。。。
拜读你的帖子也是一种享受啊

哎..我要讲的大半你讲了..我就稍微补充一下

虚拟技术作为一项非常有发展前途的技术,它的影响力不只限于业务连续性和灾难恢复领域,实际上它对各种应用程序都带来了极大的冲击。虚拟技术具有封装性、整合性、独立于硬件平台等特性。这种封装性作用于整个计算环境,包括操作系统、BIOS、应用程序、数据和虚拟化的硬件。它的上述特性使灾难恢复解决方案的可管理性和灵活性更强,也更节省开支。所以我认为虚拟机技术和行为判断分析技术联合是很有安全性能的
但是虚拟技术目前虚拟模式和现实本机模式相比依旧有一定差距,如果病毒发现这个差距而推迟运行,大家都明白杀软不会在同一个文件上耗很多时间,如果在一定时间里没有病毒行为,那么就会判断这个病毒并非病毒。。呵呵。。乱了套。。但是我依旧看好虚拟技术。。。虚拟技术的发展十分快速,迟早会克服这等不足
我是半桶水,有不同意见的欢迎大家指正。。
作者: cukow     时间: 2007-8-2 18:43


  Quote:
Originally posted by qq2008444 at 2007-8-2 17:03:
如果病毒发现这个差距而推迟运行,大家都明白杀软不会在同一个文件上耗很多时间,如果在一定时间里没有病毒行为,那么就会判断这个病毒并非病毒。。

的确如qq所言,而且,很多病毒如今也附有anti-虚拟机的代码(比如那个msn照片木马MSN-Photos)所以虚拟机技术在一段时间之内还需要真实环境下的行为杀毒做依靠,但是我相信,随着虚拟机技术的发展,随着我们对病毒潜伏性和触发条件的了解,通过虚拟机模拟这些触发条件来唤醒那些沉睡的潜伏病毒也许不会是很长远的事情

[ Last edited by cukow on 2007-8-2 at 18:47 ]
作者: Mars     时间: 2007-8-3 23:37
哇 真是高手云集啊 呵呵 闪人
作者: fwind     时间: 2007-8-4 17:18
我觉得用什么名词无所谓,关键是怎么才能更好达到安全和方便的统一。技术本身并无错误,关键是看如何使用,病毒和防病毒,大家互相借鉴优秀的开发思想 :) 病毒也有互相排斥的,这时候,对于被排斥的病毒来说,排斥它的病毒,不也就是一种反病毒软件。
微点的设计想法是比较好的,当然目前操作性上还不是很好,可以明显是看出微点技术导向的产物。当然我不是说不好,只是微点目前的一些配置,对于普通用户,真不知道该如何下手。
另外就是微点目前的功能,商业化的意图也比较明显,当然这对最终用户也不见得是坏事,我还是很期待稳定的正式版微点发售的。
作者: qq2008444     时间: 2007-8-4 18:33
病毒也有互相排斥的,这时候,对于被排斥的病毒来说,排斥它的病毒,不也就是一种反病毒软件。

哎..具我所知,互相排斥的基本是同一家族的病毒...

另外就是微点目前的功能,商业化的意图也比较明显,当然这对最终用户也不见得是坏事

我觉得现在微点的功能比较杂乱...有时候我也在怀疑微点的侧重会不会偏向错误...:P现在看来是多虑了...不过我对功能多不多无所谓,关键要"精益求精"
作者: chunli     时间: 2007-8-13 23:38
累死我了。。。。终于看完了。
作者: doclsh     时间: 2007-8-14 09:04
看完后觉得学了不少的知识,可是脑袋都大了几号
作者: hanker     时间: 2007-8-15 17:08


花了近一天的时间一个字一个字的看完了

果然强悍啊......

不过后面都是水贴了,包括我的也是水贴
作者: qq2008444     时间: 2007-8-15 20:56


  Quote:
Originally posted by hanker at 2007-8-15 17:08:


花了近一天的时间一个字一个字的看完了

果然强悍啊......

不过后面都是水贴了,包括我的也是水贴

是基本
不是全部
还有一些看得过去
作者: Mage     时间: 2007-8-15 21:13
很佩服nasdaq的评论,我觉得微点以行为判断有害指令再以特征码为辅解决大部分病毒,这已经给我们的电脑提供很大的保护。当然微点缺乏杀毒引擎的确带来一些不方便,所以我搞个大蜘蛛来补救,不知道大蜘蛛在微点之下会不会受限制?
作者: qq2008444     时间: 2007-8-15 22:23


  Quote:
Originally posted by Mage at 2007-8-15 21:13:
很佩服nasdaq的评论,我觉得微点以行为判断有害指令再以特征码为辅解决大部分病毒,这已经给我们的电脑提供很大的保护。当然微点缺乏杀毒引擎的确带来一些不方便,所以我搞个大蜘蛛来补救,不知道大蜘蛛在微点之下 ...

不会有限制

不过偶要指正你一下
微点不是以行为判断有害指令再以特征码为辅
刚好倒过来
作者: han     时间: 2007-8-16 12:36
也许是理解的问题,总觉得原贴有倒点之计算。
首先否定了理论,其次是技术上不可能,如果这两点都成立,那么会得出怎么结论呢?微点还拼什么啊,干脆罢休算了,甚至有故弄玄虚骗人之嫌。
非盲目推崇,人云亦云。不懂技术,总有体会,微点实实在在起了很大的作用。如果微点哪天夭折,会有一种无言的悲痛和愤慨。
这篇贴子能加精,体现了超版的虚心和仁慈,展现回贴人的才气。再读原贴,倍感深寒。但愿不是以小人之心度君子之腹。
作者: ghostfei     时间: 2007-8-16 22:42
看过那么多的论点,我想说一个题外话,微点能不能在国外挂牌发行自己的软件,然后杀回国内。
到时候看公安部通不通过检测
作者: qq2008444     时间: 2007-8-16 22:56


  Quote:
Originally posted by ghostfei at 2007-8-16 22:42:
看过那么多的论点,我想说一个题外话,微点能不能在国外挂牌发行自己的软件,然后杀回国内。
到时候看公安部通不通过检测

不可能...

那样还是要通过国内挂牌
信产部要是照样卡牌就米用了
作者: yahi     时间: 2007-8-16 23:12
我顶下此贴~希望更多的人能看到啊~我断断续续花了两天时间看完~很好啊~支持楼主对待技术的严谨态度~支持微点~
作者: 天笑     时间: 2007-8-23 01:25
楼主所谈到的问题并非不可解决,这又得回到我之前的一个贴子:http://bbs.micropoint.com.cn/showthread.asp?tid=15634&fpage=2


就以楼主的外挂挂接API等为例,可以对该外挂的多种行为而并非仅仅是挂接API这一种行为进行综合判定。因为无论是病毒还是木马它都有一些行为是正常的程序所不具有或者很少的。

总之,减少误报就是要做到细化规则,进行综合判定,而正常的软件一般不会具有或者只有极少的病毒木马的行为(换句话说就是正常的软件如果有类似病毒木马的行为一般也就一两条,而每一种行为其风险率也是完全可以评估的,而正常的软件所拥有的这种类病毒木马的行为其风险率也一般是较低的。通过对多种行为风险率进行综合评定就可以做到减少误报率);再加之本身也只有很少的正常软件才会有类似病毒木马的行为。

通过以上两方面说明通过细化规则综合判定的方式完全可以大大减少误报率(这种误报率个人认为完全可以做到在允许范围之内)再加之通过询问用户的方式,给出相关警告信息(这个贴子是我关于窗口警告信息等方面的建议:http://bbs.micropoint.com.cn/showthread.asp?tid=15678&fpage=2)让用户来进行选择,如果用户确信其正常则可放过并添加到信任里面,那么这种少量的误报就是完全可以接受的。

当然以上所谈到的实现起来本身就不易,这些方面要靠技术人员长期摸索积累经验并进行相关数据统计才能逐步完善。但即便如此误报仍然会存在(当然也是可接受的)。而个人认为使用主动防御安全软件的用户自身也应该了解一些关于网络安全方面的知识,这样使用起来才能得心应手!!!
作者: 998csc     时间: 2007-8-23 09:26
嗯.非常好.
作者: 998csc     时间: 2007-8-23 09:27
我觉得.去国外开拓"上市"未尝不可.呵呵.
作者: nullspace     时间: 2007-8-26 11:18
微点用起来效果确实很好,至少对于像我这样的许多普通用户而言是这样
这说明微点在某些方面(主动防御,智能化,傻瓜化...)做的比较好
不管他采用的技术有没有统一的标准,是否有缺限,是否完备,是否有质的飞跃

像解数学题一样,虽然这个问题没有或找不到完备解最优解,各人给出的都是可行解
只是有的更好一些,有的较差

从实用主义的角度,确实是要不看广告看疗效
揪广告词肯定会找出很多漏洞
对普通用户来说感觉它更好用一些就足够了

[ Last edited by nullspace on 2007-8-26 at 14:46 ]
作者: nullspace     时间: 2007-8-26 14:44


  Quote:
Originally posted by 天笑 at 2007-8-23 01:25:
楼主所谈到的问题并非不可解决,这又得回到我之前的一个贴子:http://bbs.micropoint.com.cn/showthread.asp?tid=15634&fpage=2


就以楼主的外挂挂接API等为例,可以对该外挂的多种行为而并非 ...

严重同意。不仅看质还要看量,不能严格就要模糊,不能完全解决部分解决也是好的。

我觉得微点似乎结合了一些人工智能的技术,虽然该领域很难有突破,但如果能将之有效的应用到传统软件中去,带来的效果会是比较可观的。

[ Last edited by nullspace on 2007-8-26 at 14:46 ]
作者: nullspace     时间: 2007-8-26 14:51
早晨爬起来就看帖,看了整整一个上午到现在终于看完了,获益不少

查一查我用微点的时间(2007-2-27)到今天正好半年了
一直在用微点并推荐给很多找我帮忙的朋友使用
自己的系统基本没出过问题,基本没有重装或恢复

此前裸奔过一段时间,上网小心翼翼,不知道的网站只敢用百度快照打开
装了微点后就爽了随便点不会出问题
以前用过卡巴,实在太卡了,微点还好

最后赞一下超版legend的反应速度

[ Last edited by nullspace on 2007-8-26 at 14:58 ]
作者: 西风     时间: 2007-8-27 14:26    标题: 我路过,也过来顶一下

我路过,也过来顶一下
作者: qq2008444     时间: 2007-8-27 16:12


  Quote:
Originally posted by 天笑 at 2007-8-23 01:25:
楼主所谈到的问题并非不可解决,这又得回到我之前的一个贴子:http://bbs.micropoint.com.cn/showthread.asp?tid=15634&fpage=2


就以楼主的外挂挂接API等为例,可以对该外挂的多种行为而并非 ...

但是现在的电脑使用者对网络安全方面的知识明显缺乏,而目前微点的使用者也偏向菜鸟,他如何判定一个操作是否正常?HIPS就是因为这样不容医走向菜鸟
所以必须通过更加精确的判断来保障用户安全
细化规则是个可行的办法
但是没有一个现行的行为判断方法规定什么样是正常的情况什么是非法的行为
这个也是llcracker的观点(自认为的)

行为判断误报不可避免,关键是如何在加强安全性的同时保证误报率较低。我也对行为判断技术完全0误杀不抱任何希望。
作者: 178460799     时间: 2007-8-31 15:10    标题: 一口气爬到273楼,不容易。。。

llcracker   calm_cs   都说的很好,有见解,当然微点能接受不同的观点更是可贵,杀软没有最好,最有最适用,我用的不多,现在换微点,希望微点名副其实!
作者: qq2008444     时间: 2007-8-31 21:41


  Quote:
Originally posted by 178460799 at 2007-8-31 15:10:
llcracker   calm_cs   都说的很好,有见解,当然微点能接受不同的观点更是可贵,杀软没有最好,最有最适用,我用的不多,现在换微点,希望微点名副其实!


你其实是上274楼的说。。。
作者: SPIDER     时间: 2007-8-31 22:46
有楼主的一席话

偶想偶们聪明的微点知道应怎么做了

偶仅表达所有支持微点的世界人民感谢您 !!!!
作者: qq2008444     时间: 2007-9-25 21:08
今天我也在想“微点究竟靠什么判断程序是否非法?”我有一个U盘病毒传播器他的特性是“执行后复制本体和指定文件到WINDOWS目录下,再执行放置在一起的指定文件”,我们抛开那个“指定文件”是否会被查出,程序执行后修改注册表将自己自启动,然后复制本体,监视U盘的添加并运行病毒文件,整个过程微点没有任何反映,而他的病毒行为也已经执行完成,那么,微点究竟如何判定一个程序是否为病毒?
作者: 白云依依     时间: 2007-12-13 13:28


  Quote:
Originally posted by llcracker at 2006-8-31 16:24:
其实我引入游戏外挂,不是争议游戏外挂的合法性。因为完全没有必要,我是通过游戏外挂想引出像这样类似的程序,它目的并不是为了破坏或者干扰系统正常运行而存在的!这样的程序也包括了微点,难道微点不去挂接嘛?不 ...

不存在标准就说明存在严重的问题,或者说主动防御不可能完成的任务吗?那么我想问一下,在传统的杀毒软件市场中,哪些所谓的厉害杀毒软件真的也有既定的标准吗?还不是自己的标准,即使看上去似乎都是以病毒特征码为标准,但以你的那个例子来说,难道这些杀毒软件就可以作为主要的杀毒软件吗?为什么一定是主动防御只能作为辅助杀毒软件呢?
到这里,实际上就是主动防御和传统杀毒软件的理念之争,感谢楼主指出主动防御软件的不足,但是也请你看到传统杀毒软件的不足。两者不同的杀毒理念,完全不可比。
作者: newduba     时间: 2007-12-13 19:57
这个帖子不错,学到了很多东西:)
我个人认为杀毒软件的好坏还不仅仅局限于防毒杀毒,还要有一定的修复功能,也就是收拾残局的功能。如果用户的部分系统文件被破坏,应用程序被修改了,希望可以被改回来,至少对于已知的病毒应该做到这点,毕竟已经分析过的东西没有什么难度了。。。!
作者: bigpoint     时间: 2007-12-13 20:15
只是希望微点走好,但我知道很难
作者: 该硬就硬     时间: 2007-12-13 21:22
那你说那条路是可能的?难道整天追在病毒做手屁股后面被牵着鼻子走?
“预防为主,消防结合”,懂不懂?
我真怀疑你有没有好好用过微点,微点已经把我们从无聊的硬盘扫描奴隶中解脱出来了,而且对未知病毒的防杀也超过了现有杀软。
人对自己放的屁也是要负责人滴,何况说话!!

不过很佩服楼主招回复的本事:P
作者: wincode     时间: 2007-12-13 22:14
猛贴呀
作者: wyang@semi.ac.c     时间: 2007-12-14 01:37
其实所谓驱动,也是可以"强行卸载"的,当然我不知道技术细节,好像是PJF大牛说的.
作者: pangliu     时间: 2007-12-14 09:08


  Quote:
Originally posted by llcracker at 2006-8-31 17:21:
其实,我所要讨论的是关于主动防御性的标准缺陷、技术局限性及有网友一直在说其微点主动防御优越与其它杀毒软件或者安全工具所含有主动防御。我在前面两贴中已经非常详细的把我观点说得非常明了,认为主动防御的重 ...

呵呵,我插句嘴。我是菜鸟,我只是用着微点还可以,最近没染过什么毒!!但是,我想问您一下,所为特征码,它提取的都是唯一码吗?别的程序要是也有一段此类代码,那就是病毒吧?!!这是缺陷吗??您所说的Drive我不懂,可是要想先下手为强,赶在病毒之前,不让他运行就是最好的方法,您说呢??还有,您有什么办法??这只是菜鸟之言!!
作者: dsl5     时间: 2007-12-14 10:24
楼主提及的其实更多涉及的是底层的技术,的确,这个是自我保护和清除病毒能力的保证!

而主动防御只是一个在有基本底层技术保证下的策略性的方向!以对底层技术的质疑来否定方向性是不全面的!
作者: yanguofu     时间: 2007-12-14 11:28
我就知道我原来装的最新的瑞星机子中的病毒杀不掉,老死机,装了微点后,机是就跟新装时一样,速度超快,而且我给朋友家电脑也搞过一样的,爽,说的好,只要机子好用安全,就是好软件,就我来说,我觉得微点比瑞星好.
作者: wjmjx     时间: 2007-12-14 11:42
心里感到很欣慰,只有交流才会提高。
作者: 100000     时间: 2007-12-14 16:54
从卡饭收集了一个贴子
http://bbs.kafan.cn/viewthread.p ... page%3D1&page=1
作者: qq5201314     时间: 2007-12-14 17:11
好长的贴子,好多强人,以后有时间再补充电脑知识再来一字一句读吧。
微点的强悍以前说得太多了,也说得累了,忠心祝愿微点在技术越来越强,市场也越做越大!!!
作者: wwsd     时间: 2007-12-14 18:26
同意楼主的分析,这是很有益处的讨论。
作者: 点饭的百度空间     时间: 2007-12-14 20:59
已经看过了 我准备再看一遍
作者: zen     时间: 2007-12-14 22:37
哇。。。此贴技术含量高
作者: y2355689     时间: 2007-12-15 01:14
一个负面标题,居然让人动了注册之心,呵呵。
一个平等、包容、开放、辩论的环境,正是一个论坛或企业发展的土壤。
早听过微点,今天才来试试,因为这篇帖子。
祝愿微点一路走好。
作者: heli-185     时间: 2007-12-15 23:22
今晚几个小时一直看了十五页,真佩服前边几位的技术、逻辑和礼貌的讨论,学了很多东西,感谢这样的朋友们,如果这样的朋友多些的话,我们的软件,我们的各种科技技术该会 前进的更快更稳吧!
由于水平有限,当然很多还是不能看懂,不过确实都是十分中肯的。

那个什么*专家系统 越看像是人工智能的产物,呵呵
本人微点测试用户,用了快一年了,效果很好,支持微点!
希望 它走的更好,中国的杀毒软件走的更好,保护广大网民个和谐的网络环境!
作者: tanes     时间: 2007-12-15 23:55
我以前中过一次灰鸽子,瑞星就杀不掉,每次说杀掉了,需要重新启动,重新启动了以后,又说发现病毒,又杀掉了,又要重启。 特征库也并不一定就有多强啊。据我所知,单论发现病毒以后有的杀毒能力,诺顿最强,因为他这种美国的大公司,应该是能够查看微软的源代码的。 别的杀毒软件好像都是一般。中毒以前,防御没问题,很方便,特征库一扫描就行, 可是,要想带毒查杀,到现在为止,还没有哪个软件能比较理想的。相当一部分,带毒情况下,连安装都不行,更别说杀毒了
作者: 香溢四海     时间: 2007-12-16 09:37
专业讨论
作者: zhaojpn     时间: 2007-12-16 18:10
看了,受益非浅。从商业化来说也就想红海和蓝海一样,微点是充分运用了蓝海战略,这也是避开现有血淋淋的红海杀软件市场,有自己毒有的产品及技术。
作者: 深海火山     时间: 2007-12-16 23:14    标题: 从这里认识了微点,坚定了支持微点的决心

从一篇新闻报道中知道微点作为一项新技术产品,由于威胁到现有的杀软市场,而遭到信产部、公安部、现有杀软厂商的重重封杀,竟然蒙冤三年。心里只有一个感想:那叫一个黑!某些杀软公司,对病毒手段不多,技术不怎么样,对付别的公司倒是手段挺多的。
从那篇报道,来到微点的社区,看到了这一篇帖子。用了整整一下午的时间来看贴,把我原来计划出门的事情都搁下了。看得我心里竟然有点热乎乎的感动,为高手对于技术的执著感动,为高手之间对事不对人的心平气和感动,为管理员的为一个负面标题的帖子加精的博的胸襟感动,为这么多的朋友对微点的真心关怀感动。正如许多朋友所言:看高手过招,过瘾。就好像金庸小说里面的高手华山论剑一样,让人长知识又长见识。从1楼看到294楼,竟然没有演变成在许多论坛里面常见的骂街,这也让我感动。
以前我用过卡巴,受不了它没完没了的报警;用的最多的是瑞星,因为要支持国产;现在,我决定支持微点。如果微点倒下,那将是我们国家的不幸。
作者: lixiaotian2002     时间: 2007-12-17 17:52


  Quote:
Originally posted by llcracker at 2006-8-31 15:25:
首先我先说明一下我自己的立场,我认为主动防御是一项不可完成的任务。单独使用主动防御无法真正达到“主动防御”概念所描述的那样的一个状态。为什么呢?简单说是因为其主动防御标准含糊不清楚,没得具体的行业标 ...

个人认为主动防御是一种很好的思路.而且也是可以实现的.病毒的感染条件是病毒要运行.我想做技术的人应该都明白.任何一个进程都是从CreateProcess开始的,或者说NTCreateProcess, 当然如果还有其他方法(比如缓冲区溢出,这个可以通过防火墙解决),微点劫持CreateProcess函数,任何程序运行的时候都会经过这个关口,当然,如果做得更狠一点的话,就是每启动一个进程都先询问.如果智能一点的话就先判断可信任的进程.就像部队大院的警卫员一样.认识的人就放进去,不认识的人就不让过. 当然,如果一些不能识别的程序,就需要用户的主动判断,是否运行.

      其实,不论多么好的软件,都会有疏漏的时候,主要还是取决于使用者的专业水平,素质.如果能够正确设置window,完全可以不用任何杀毒软件的.

     不过总的来说,我觉微点挺不错的,希望微点越做越好.
作者: xiao1967_109     时间: 2007-12-17 19:43
我觉得现在的微点像个新出尘的孩子,身上有着这样或者那样的错误。但是此孩子有着很强的生命力。我们要做的是怎样让孩子健康,茁壮的成长。而不是摸黑,打击他的上进心。
作者: gucheng21     时间: 2007-12-18 11:30
走了好远回来看一下!发现这里高手林立!没有什么话要说!只是想说一下!在这个黑客已经是全民化的世界里杀软永远是跟在病毒和木马后面走的!毕竟他们是几千人面对的是几千万的高手!
思维是不断前进的!我有个兄弟以半驱动的木马为前进方向!路过而已!
作者: shaokenljy     时间: 2007-12-18 14:11
我支持微点 同样支持国产。。。
希望微点越做越好 最好能做到让老外都用咱们的杀软最好了
作者: xs129     时间: 2007-12-19 09:28


  Quote:
Originally posted by nasdaq at 2006-9-2 13:09:
刚注意到先锋的签名,原来是IBM的fans

看了好多贴。。就感觉你最无聊了。。。
说的全是白痴话。。。还好意思号称什么专家。。。。
作者: sqsszzq     时间: 2007-12-19 14:31
难得有这样的好贴,这贴一年多了看完太累了,看了快3个小时,很支持llcracker的,他要表达的意思我也看懂了点,技术我也不懂我是学机械设计制造的,嘿嘿,跟设计程序差不多,嘿嘿开个玩笑。
不知道现在的微点有什么进步,按llcracker老兄的说法成立,微点只能做个辅杀,因为比特征库实在没实力,微点只有在一些流行病毒爆发传统的杀软杀不掉,冒险应付一下,说冒险就是病毒必须得先有所动作了否则无法判断,这个动作或许在微点把它挂起前对系统没有造成破坏---这是幸运的也是我们想要的,但是如果在挂起前数据遭到破坏--这就有点损失了,如果微点能在判断是病毒后可以追溯到发作前的动作并对遭到破坏进行修复,我想这样就完美了。
还有llcracker老兄说这是行为分析的缺陷,不是技术所能解决的,是说不是行为技术可以解决的吧,或许不可以解决,但可以辅以其它技术进行恢复。不过说辅助技术了又回到llcracker老兄的出发点了----微点不要只用行为分析一种技术,这样很具冒险性,若真这样微点上市慢也不是没有原因的。
作者: a_luopeng     时间: 2007-12-19 15:55
好贴..论坛吗? 就是要讨论的...发表意见才算论坛...
作者: 禁言用户     时间: 2007-12-19 20:24
不知道真与假,等她长大再用吧
作者: clovedsm     时间: 2007-12-20 16:53
诺顿也已经发表声明,由于现在恶意软件数量实在太多,而且很多都是地域性传播而不是全球范围传播,因此一个个杀过来几乎不可能,考虑建立白名单库了。主动防御是不可逆转的潮流,就算有各种各样的缺点也远胜于特征码扫描了。lz的那些误杀完全可以通过一个白名单配合md5,数字签名等解决
事实上,现在特征码的杀软要攻破实在很简单,网上到处都是几十个引擎混合扫毒的网站,上去扫描一下,只要pass,不pass就修改到pass,什么杀软都攻破了。特征码是最好攻破的,主防则难的多。另外lz说某些病毒优先级高杀不掉,那我要说,只能是杀软和病毒拼优先级,否则搞个多重保护,特征码扫描一样杀不掉。清零扇区搞破坏病毒会的话,微点一样会,而且微点可以做的更好,因为木马要方便传播,大小有限制,不可能几百MB,而微点多写点代码完全无所谓。本来就是杀软和病毒相互斗争才不断发展的
作者: 斜阳夕下     时间: 2007-12-20 22:34    标题: 111111111

;)新手过来见识一下的~~~
作者: hljking     时间: 2007-12-20 22:43
感觉谁说的都有道理,可是没有思想怎能突破,没有山怎么才能过山啊!~
作者: 火鸟     时间: 2007-12-21 13:00
楼主是不是觉得自己懂得很多?仅仅因为外挂这些事情就去否定微点?不知是该说你无知还是什么
作者: matrixsky     时间: 2007-12-21 15:29    标题: 我的妈呀走12点看到15点28分。终于看玩了

我感到很高兴。希望以后老外们以用我们的东方微点
赞一下超版legend
很敬业
作者: 林克     时间: 2007-12-21 17:11
东方微点中,我就是喜欢
作者: quantumvirus     时间: 2007-12-21 21:45    标题: 我也说一下关于安全软件需要用户参与判断的问题

杀毒软件利用自己的“智力”、“经验”,查杀遇到的新病毒,作出分析判断,这同时也是一个认识过程,或者说是学习过程,通过用户参与,告诉杀毒软件如何做,这是一个“智力”的提升、“经验”的积累,是最快捷有效的办法。

当然有些菜鸟一看到弹出的对话框就晕了,....无语

好多菜鸟装了杀毒软件一样会中毒。人品不好,没办法
作者: qcwlzhaoqun     时间: 2007-12-22 14:41
楼主是一个 对微点有严重偏见的   
站在这个角度 用一些技术的思考来攻击微点

即使你所说的正确 微点有些缺陷  但是都是可以一点点完善的

难道没有创新就更好  至少微点正在一步步  完善让用户一点点减少 威胁
难道这样也是错误?
作者: qcwlzhaoqun     时间: 2007-12-22 14:44
如果像楼主那样什么都要求完美在做事
那你只能天天躺在床上不停的思考
到你老死那天也什么都做不了

例如传统杀软   缺陷不是更大、!?   更新速度都不如病毒新出的速度

难道像楼主的意思   岂不是不需要杀软了   有杀软也跟不上新病毒更新的速度

楼主你的思想有问题  不是技术问题
作者: johnchu     时间: 2007-12-22 15:04
看到一好贴,不过现在老拿主动防御当后盾好像已经很晚了哦,主动防御已经不是新名词
作者: qq2008444     时间: 2007-12-22 16:31


  Quote:
Originally posted by qcwlzhaoqun at 2007-12-22 14:44:
楼主是一个 对微点有严重偏见的   
站在这个角度 用一些技术的思考来攻击微点

即使你所说的正确 微点有些缺陷  但是都是可以一点点完善的

难道没有创新就更好  至少微点正在一步步  完善让用户一点点减少 威胁
难道这样也是错误?
如果像楼主那样什么都要求完美在做事
那你只能天天躺在床上不停的思考
到你老死那天也什么都做不了

例如传统杀软   缺陷不是更大、!?   更新速度都不如病毒新出的速度

难道像楼主的意思   岂不是不需要杀软了   有杀软也跟不上新病毒更新的速度

楼主你的思想有问题  不是技术问题

您好
有意见冲突可以用数据或事实说话,要搞清楚这个是技术帖子
请不要意气用事
不要人身攻击
事实上,楼主说得极有道理
的确,微点的确解决了一些问题
但是,它因为技术不完善的原因
很难做到避免误杀的问题
不过,这几个月来,微点的问题在大家帮助下减少了很多
但是还有许多未知的问题不断会出现
例如稳定性,微点出错几率十分大,就像现在,我这里的微点又一次壮烈了
“如果像楼主那样什么都要求完美在做事 ”
我们需要以一种苛求的态度去对待微点,因为他是一块很有价值的玉石,需要我们去不断磨砺它才能成为价值连城的美玉,否则,他就只能和普通的石头一样了。
“即使你所说的正确 微点有些缺陷  但是都是可以一点点完善的”
许多问题可以通过更新解决。但是,我们是使用者,不是试用者,我们需要的是一个完美的程序,漏洞越少越好,大家应该不希望使用一款实验室产品吧?正因为如此,我现在开始学习LINUX系统操作,准备脱离WINDOWS:P
“例如传统杀软   缺陷不是更大、!?   更新速度都不如病毒新出的速度

难道像楼主的意思   岂不是不需要杀软了   有杀软也跟不上新病毒更新的速度”
传统杀软的确问题多多,但是有一个绝对优点:误报极少,使新手可以无后顾之忧地进行操作(卡巴例外,HIPS+它的病毒库几乎可以把所有文件都报一遍毒)
而且,楼主也没有强调不要用杀软,只是单从技术角度上考虑行为分析完全0误杀的可能性几率而已
请楼主把全篇帖子看完再发表定论,谢谢合作

[ Last edited by qq2008444 on 2007-12-22 at 16:32 ]
作者: linyoung     时间: 2007-12-23 19:28    标题: 建议微点加入国内知名杀毒软件公司或合作,这样达到完美的结合。

建议微点加入国内知名杀毒软件公司或合作,这样达到完美的结合。

为什么一定要自己开公司呢?没有一点合作的精神!
作者: cncsf     时间: 2007-12-24 09:48


  Quote:
Originally posted by nasdaq at 2006-9-1 21:48:



接下来就很必然了,微点软件同时应用多种技术和辅助方案,以求达到一个较好的综合防止效果。譬如说对于有些朋友提到的用户参与问题,我个人就比较倾向用大型白名单库来解决。一个大型白名单库,可以极大地解放最终用户,可以使得大多数乃至绝大多数常用程序,无须用户干预,即可安全运行和网络放行,同时也可缓解行为引擎监控的压力,提高计算机的整体运行速度。余下的一些少常用程序,可以由用户在微点技术服务部门的指导下,进行相应处理。特别要说一些亦正亦邪的程序(譬如网游外挂),出于对网游著作权公司的尊重,也不可以加入白名单轻易放行,还是向用户报警为佳。由用户自行鉴定,在技服的帮助下处理。

果真是绝妙的建议!~
作者: cncsf     时间: 2007-12-24 10:36


  Quote:
Originally posted by LjhEARTH at 2006-9-4 00:02:
我觉得没有所谓“启发式”和“行为引擎”之分,对软件进行行为分析就是启发式,和放不放在虚拟机无关。微点主动防御软件的“主动防御”就是指采用启发式扫描引擎(对,是扫描引擎,微点只是没有提供让用户进行手动扫描而已)对未知病毒的发现和拦截,这个和卡巴斯基的启发式(好像卡巴斯基称之为“病毒前摄技术”吧)道理是一样的,只不多卡巴斯基把未知病毒放在虚拟机里运行分析,而微点直接让其在真机运行分析而已(程序行为实时监控)。
     在研发难度上,我不觉得卡巴斯基的“虚拟机+行为分析”会比微点的“单纯的行为分析”难度高。因为卡巴斯基虽然增加了一个“虚拟机”研发项目,但其行为引擎却允许病毒全程执行完自己的破坏行为后进而做出判断;微点因为没有虚拟机,所以必须在病毒做出破坏行为之前就通过逻辑分析先预判断出该程序是病毒。所以,微点的行为分析引擎在智能性方面的要求要比卡巴斯基的高得多了。

顶,正解!~
作者: tsh65     时间: 2007-12-27 11:15
其实争论的焦点是行为引擎可以不可以百分之百的判定未知病毒
答案是显而易见的,不可能。前提是我们要认定没有完美的矛也没有完美的盾。
但是,行为引擎有特征扫描不可替代的优势,是无可否认的,那就是对未知的病毒的预防上。
为了论述方便,我把特征扫描可以看成是看人是否穿黑衣或白衣,行为监控可以看做是看他具体干什么。我们那一个具体的案例来看一下,就拿AV劫持者来说,我们可以比拟一下,一个人就你的家门,就把你家的监控都拆了,换上自己的频道,特征扫描就因为他没有穿黑衣就不管。行为扫描就可以,你到我们家为什么拆我的监控?
以上的例子不一定恰当,但是,基本上是可以表达一个意思,就是到我的家里(也就是系统)必须遵循一定的规范。至于说行业规范,由于这才刚刚开始,急于订立规范,一是可能限制它的发展,二是不成熟会漏洞很多。
还有,说道直接写盘,我是这么看的,一般的应用层的操作是不会这样的,就便就是是可以采取一些预防措施的。这就如有人到你家一般人是不会去试一试你的保险柜的把手是否结实,你可以试,但是屋主人就要小心了,等他拿出撬杠就直接拿下。还有建立驱动的问题,你可以建立,关键在下一步,就是争夺系统的制高点,他一定会漏出狐狸尾巴。提前控制和有效的保护就是关键了。最近出现的机器狗穿透还原点就是一个例子。只要它没有拿下控制权,就有办法清除它了。
行为引擎最经典的描述就是大话西游中唐僧师徒和观音姐姐的对话。
但是并不是等所有的动作都完成才行动,这里就存在一个平衡的问题。行动早了误判,行动晚了被杀。但是可以提前预防,人家拿出刀也可能只是磨刀,我们是否可以盾牌护在身前,或离他远一点?
说的比较形象一是好理解,二这是原理问题。
我个人觉得现阶段,行为引擎和特征扫描的结合是比较好的。特征扫描监控快,行为引擎对免杀或未知是好的。
行为引擎是一个发展方向,就是所有系统内的程序不可以危害系统以及用户的特殊利益,未来就是如法制社会,你可以想,但是不要随便伸手。当然,法律也有错判的时候,这就回答我最先说的话了。不要期望有一方良药可以治疗所有的病。
作者: qq888     时间: 2007-12-27 17:13


  Quote:
Originally posted by qcwlzhaoqun at 2007-12-22 14:44:
如果像楼主那样什么都要求完美在做事
那你只能天天躺在床上不停的思考
到你老死那天也什么都做不了

例如传统杀软   缺陷不是更大、!?   更新速度都不如病毒新出的速度

难道像楼主的意思   岂不是不需要杀软了   有杀软也跟不上新病毒更新的速度

楼主你的思想有问题  不是技术问题

说的太好了:(  很早就看过这篇报道今天特来注册论坛支持伟大的微点
作者: qq888     时间: 2007-12-27 17:19
看看318楼说的好 专业!  天下没有治白病的万能药 我怀疑一楼人思想太天真 把微点当作永动机了哈哈
作者: kugar     时间: 2007-12-28 03:42
那么长的帖子还是第一次见过,看的我头都晕了,不过可能是我在反病毒论坛上过的枪手最少的一个帖子了把,值得纪念一下

    看到最后那些说楼主什么要求太过完美的回复,有点好笑,这是技术帖子,技术这东西本来就没有什么完美的,可大家都在拼命的往那个方向努力,大家都在追求完美,为的就是让一个产品更加完善。
    如果没有拼命的挑微点的毛病,那么微点就不可能进一步的完善。过度的对微点的保护,反而会阻碍微点的发展,其实真正对微点好的人,应该是像楼主这样的能挑出微点现在存在的漏洞的人。
    在我看来,一个产品是否值得关注,并不止是现在,更重要的是这种产品使用的技术是否有发展的潜力,如果有,这个产品不管现状多差,都是值得关注的。
再说说微点把,我个人是做维护的,由于微点没带扫描器,所以不怎么敢给新手装,我自己的机用的是微点+nod32,防火墙一起开的,各取所长,效果挺不错的,呵呵,这里不是给nod做广告。
    作为一个用户来说,关心的不是杀毒软件在广告上的宣传(现在的广告做的都不像话了),而是实际的效果。对于一个初级用户来说,如果一个杀毒软件没有带扫描器的话,从心理上来讲,他们是不怎么会放心的,因为他们不知道自己的电脑上究竟有没有存在病毒,总不可能说装完微点之后,把电脑上的所有程序运行一遍把,所以强烈建议微点在正式上市的时候,加上扫描器,对于用户来说,安心放心才是最重要的
作者: 千里走单骑     时间: 2007-12-28 23:44
看了很多!想了很多!!微点在努力!!
作者: qq2008444     时间: 2007-12-30 21:43


  Quote:
Originally posted by tsh65 at 2007-12-27 11:15:
其实争论的焦点是行为引擎可以不可以百分之百的判定未知病毒
答案是显而易见的,不可能。前提是我们要认定没有完美的矛也没有完美的盾。
但是,行为引擎有特征扫描不可替代的优势,是无可否认的,那就是对未知的病毒的预防上。
为了论述方便,我把特征扫描可以看成是看人是否穿黑衣或白衣,行为监控可以看做是看他具体干什么。我们那一个具体的案例来看一下,就拿AV劫持者来说,我们可以比拟一下,一个人就你的家门,就把你家的监控都拆了,换上自己的频道,特征扫描就因为他没有穿黑衣就不管。行为扫描就可以,你到我们家为什么拆我的监控?
以上的例子不一定恰当,但是,基本上是可以表达一个意思,就是到我的家里(也就是系统)必须遵循一定的规范。至于说行业规范,由于这才刚刚开始,急于订立规范,一是可能限制它的发展,二是不成熟会漏洞很多。
还有,说道直接写盘,我是这么看的,一般的应用层的操作是不会这样的,就便就是是可以采取一些预防措施的。这就如有人到你家一般人是不会去试一试你的保险柜的把手是否结实,你可以试,但是屋主人就要小心了,等他拿出撬杠就直接拿下。还有建立驱动的问题,你可以建立,关键在下一步,就是争夺系统的制高点,他一定会漏出狐狸尾巴。提前控制和有效的保护就是关键了。最近出现的机器狗穿透还原点就是一个例子。只要它没有拿下控制权,就有办法清除它了。
行为引擎最经典的描述就是大话西游中唐僧师徒和观音姐姐的对话。
但是并不是等所有的动作都完成才行动,这里就存在一个平衡的问题。行动早了误判,行动晚了被杀。但是可以提前预防,人家拿出刀也可能只是磨刀,我们是否可以盾牌护在身前,或离他远一点?
说的比较形象一是好理解,二这是原理问题。
我个人觉得现阶段,行为引擎和特征扫描的结合是比较好的。特征扫描监控快,行为引擎对免杀或未知是好的。
行为引擎是一个发展方向,就是所有系统内的程序不可以危害系统以及用户的特殊利益,未来就是如法制社会,你可以想,但是不要随便伸手。当然,法律也有错判的时候,这就回答我最先说的话了。不要期望有一方良药可以治疗所有的病。

各种病毒查杀技术都有自己的优缺点
至于我个人认为,单独的主动防御软件其实根本不可能做到误杀低的可能
主动防御目前大家熟悉的有:行为分析、HIPS、启发式和广谱特征杀毒,试问哪一项不是误报多多?主要是因为没有可以确定的程序行为供其参考,只能是猜测
而特征扫描虽说速度慢,但是有一个极大的优点,就是误报少,卡巴那种误报狂例外,其他软件特征扫描误报率几乎都低于5%(个人估算值,大家有意见请提出来哈)。因为它有特征码供给比对,就像通缉令上的嫌疑犯照片,能让他辨认。试问有哪个正常软件的特征和病毒相似?所以自然误报就少了。
所谓的广谱其实就是将一个家族里的病毒相似的特征提取出来供给扫描,虽然本质上还是特征扫描,但是它的确是能杀出一部分未知病毒,姑且算主动防御吧。。。
我认为,主动防御是未来发展的方向,但是特征扫描的地位短时间内不可能被撼动。只有两者兼并才是王道,特征的稳定、误报少,主动的未卜先知,共同构筑了用户的安全长城。

其他的以前我都说过了,今天不多讲了。
作者: qq2008444     时间: 2007-12-30 21:44


  Quote:
Originally posted by kugar at 2007-12-28 03:42:
那么长的帖子还是第一次见过,看的我头都晕了,不过可能是我在反病毒论坛上过的枪手最少的一个帖子了把,值得纪念一下

    看到最后那些说楼主什么要求太过完美的回复,有点好笑,这是技术帖子,技术这东西本来 ...

扫描器正在进行最后完善,请耐心等待~
作者: dingdangdang     时间: 2008-1-1 02:00
拜服,强人铸造强贴进来学习深造了…………每天看一点……太长了,如此强帖怎能不留名
作者: 风之痕     时间: 2008-1-1 20:42
主动防御才是王道
后知后觉的杀毒,靠的是数量的积累。
我总感觉那是最傻的办法,虽然对常规病毒有效。

每天都太阳都是新的,病毒,木马都在更新,依靠特征码的对比,什么时间才是终点?

主动防御,智能化的处理,我想这才是用户最需要的,
作为用户,他们不需要知道你的原理和办法,
只需要的是安全,
智能化的处理,就像某人所说。
我知道他是病毒了,要你提示干嘛?
我要不知道他是病毒,你提示又何用?
虽然偏激,但是很有意思。

主动防御+智能化的处理!
总结完毕!
作者: tan88     时间: 2008-1-4 20:29
经典 !我看了好久
作者: tan88     时间: 2008-1-4 20:31
希望微点能越来越好,不付众望!
作者: hccccc     时间: 2008-1-4 21:41
争论归争论,努力还得努力!能不能完成,让事实说话吧!哈哈,,,确实难!
作者: 58687888     时间: 2008-1-5 22:31
好贴,学习,学习,再学习。
作者: gxrsprite     时间: 2008-1-9 20:45
我觉得主防主要是用来保护系统和杀毒软件自生的不被破坏 虽然微点做的很好 但是杀毒实在还是一件很重要的事情

微点还不是一块真正的杀毒软件  等到微点病毒库成型了  其他杀软还不上进的话  就回家歇着去吧
作者: zwh_zyc168     时间: 2008-1-11 00:08
我但觉得LZ说得不错,微点对于一些懂软件的朋友还好控制,,一些不怎么懂的朋友看见微点报毒了绝对马上删除,然而这样就让某些程序无法运行.
作者: qq5201314     时间: 2008-1-12 12:59


  Quote:
Originally posted by zwh_zyc168 at 2008-1-11 00:08:
我但觉得LZ说得不错,微点对于一些懂软件的朋友还好控制,,一些不怎么懂的朋友看见微点报毒了绝对马上删除,然而这样就让某些程序无法运行.

误报没那么严重吧,至少我在十几个菜鸟的电脑上装上微点没见误报过什么正常文件,微点也没让什么程序无法运行的了!!!
作者: jwkiss     时间: 2008-1-17 02:57
你说的什么技术我都不怎么懂,我用了知道效果是好的!打个最简单的比方,就像现实中的反扒警察(微点)抓贼(病毒),在抓住没定罪之前只能说是嫌疑犯(是真正抓到了也有可能是误报)!
作者: jimice     时间: 2008-1-17 10:25
按楼主的想法,主动防御不可完成的任务,的确也是这样,因为目前的主动防御实质上还是一系列行为判断的结果,这个“判断的过程”本身的标准就是一个问题,但相比于其它的纯病毒库式的杀软而言,微点多的这个“判断的过程”本身就是一个优势,并且还在不断的完善中,对于那些电脑使用不是太精通,还不能够放弃杀软的“普通”用户而言,微点是一个好选择!~
作者: risc700     时间: 2008-1-17 14:14    标题: 各位老大不要讨论什么主动防御了.

是不是 主动防御我也不关心. 明显的病毒, 所有的杀毒工具都不给杀.
都是垃圾....我自己正在反汇编中.......

微点 更是欺世盗名......有反对我的....那用事实说话...把这个病毒杀了才说明问题.(出现1个月不止啦....特征码不行,主动防御更是一派胡言...)
作者: qq5201314     时间: 2008-1-17 20:51


  Quote:
Originally posted by risc700 at 2008-1-17 14:14:
是不是 主动防御我也不关心. 明显的病毒, 所有的杀毒工具都不给杀.
都是垃圾....我自己正在反汇编中.......

微点 更是欺世盗名......有反对我的....那用事实说话...把这个病毒杀了才说明问题.(出现1个月不止啦 ...

什么病毒?给个链接。是不是病毒,是要看对系统有没有害而言的,而不是直观认为是病毒就要杀软也认为是病毒哦,呵呵!!!
作者: everack     时间: 2008-1-18 15:53
用了很多时间看完这个帖子,由此对微点的了解多了很多,感觉用微点配个杀软会比较放心。
作者: baola     时间: 2008-1-18 16:57    标题: 说明一点

需要说明一点的是,成立快速的病毒搜集小组,第一时间对突发病毒反映,将毒发用户搜集的第一手病毒资料转换成病毒库,来巩固其他用户的病毒防线,有点像打疫苗,某些杀毒软件不仅从技术层面来处理,也包括了宏观的处理方式;
作者: yezilp     时间: 2008-1-20 20:41
我觉得做为一种防御手段  微点算不错      卡巴我觉得一般  就使他杀杀毒  防范来说 我觉得微点挺好的
作者: FAFDSGSGFS     时间: 2008-1-21 13:23    标题: 例子

我用微点试过??病毒,微点很快就报未知了。
主动防御最简单的标准:发现未知病毒。管你是不是什么外挂游戏!电脑安全就行了!
作者: vAnA     时间: 2008-1-22 22:46
不谈技术的话,就只需关注一点:效果
作者: rick_zhao     时间: 2008-1-24 11:24    标题: 关键: 一年多过去了, 微点有没有提高识别, 处理DRIVER级别的病毒能力?

看了一天的帖子, 有了下面的一些想法:
1. 贴子中讲的特征码从狭义上来讲, 是一个"代码的特征码"
2. 微点的病毒行为识别是识别病毒的"行为特征码", 是一个广义上的识别特征码.

相信只有两个"特征码"都采用, 才会更高的提高杀软的病毒识别能力.

关键的是: 现在一年多过去了, 请问微点有没有继续发展, 特别是提高识别, 处理DRIVER级别的病毒能力?

我也来用微点来试一下吧. 从愿望上讲是支持微点的, 反对瑞星不公平竞争.
作者: sagezhj     时间: 2008-1-25 01:20
支持微点,看了cnBeta上微点通过了那什么国家安全检测才来的。
希望微点能再在系统占用方面做的好一点啊。


这贴子竟然从06年9月,一直顶到08年1月。真是一个奇迹啊!!!
作者: 边城浪子     时间: 2008-1-26 23:22    标题: 好深入的解释~~

好深入的解释,我作为一名使用电脑超过10年的用户觉得上了一堂技术课,TKS!虽然我不懂编程语言,但你们的解释我真的体会少少~~
作者: qq5201314     时间: 2008-1-26 23:44


  Quote:
Originally posted by sagezhj at 2008-1-25 01:20:
支持微点,看了cnBeta上微点通过了那什么国家安全检测才来的。
希望微点能再在系统占用方面做的好一点啊。


这贴子竟然从06年9月,一直顶到08年1月。真是一个奇迹啊!!!

微点的系统占用已经很少很少了,比微点少的除了dr.web外还没发现有比微点更少的。这个帖子太长,看了前面几页就看不下去了,nasdq强!!!
作者: JCrazy     时间: 2008-1-30 17:17    标题: 开一个先河

既然说主动防御没有标准,是否微点可以去成立一个组织去制定一个标准呢?

当然,可能微点的规模还不够,但是是否有这么一个计划呢?
作者: qq2008444     时间: 2008-1-31 09:01


  Quote:
Originally posted by JCrazy at 2008-1-30 17:17:
既然说主动防御没有标准,是否微点可以去成立一个组织去制定一个标准呢?

当然,可能微点的规模还不够,但是是否有这么一个计划呢?

我记得我说过,主动防御技术是一个统称名词,底下还有许多分别,如HIPS、行为分析、广谱、启发式等,那这么多技术,怎么可能使用同一个标准?
作者: zxs079     时间: 2008-2-4 22:34


  Quote:
Originally posted by 微点专家 at 2006-8-31 17:02:
微点主动防御软件属于防病毒软件,但完全区别于目前市场上的防病毒软件。

    当前杀毒软件多采用特征值扫描技术,即由专业反病毒人员在反病毒公司对已可疑的程序进行人工分析研究,人工判断该程序是否是病毒; ...

同意
作者: zczyh123     时间: 2008-2-14 14:01    标题: 支持创新

各位的专业分析我都看不懂,但是我有自己的选择方法
先不管有没有被公认为创新,微点得到的专利让我信服,至少是个新事物。响应国家鼓励创新的号召我决定一试微点。对新事物要宽容,总得给个机会,说不定这就是个狮子呢
从刘旭过去的工作经历我相信他的新产品会比瑞星更高级
从刘旭的遭遇的经历看出,他执着坚强,而且信用好

再反过来说:1、支持国货 2、从瑞星的行为看,他不敢正面竞争,或者说它的行为是这个社会的病毒行为,社会的木马病毒

[ Last edited by zczyh123 on 2008-2-14 at 14:03 ]
作者: 情缘V堕落     时间: 2008-2-14 15:33
不是很懂你们说的,尤其是前面的几贴啊,难啊,只怪自己读书太少了,哎,昨天上网发现了微点,今天用了一下,感觉不错,现在 我的计算机是卡巴+360+微点,以前是卡巴+360。
作者: genius_bc     时间: 2008-2-15 02:55    标题: 终于看完了!!

用了我将近5个小时才仔细看完的帖子果然没有令我失望呀!!
我从大家的发言中学到了相当多的知识!!
我想向楼主   calm_cs   nasdaq   表示敬意!!谢谢你们!!
也向那些用心,认真回帖(但是被我忘记名字)的用户表示敬意和歉意!!
嫌货的才是买货的!!
大家来这里讨论的出发点都是为微点着想的,这个现象是可喜的~
希望大家不要进行人身攻击,或者说一些很过分的话。
不看功劳还有苦劳,毕竟人家自己辛辛苦苦打了那么多字(还都是原创)。。
不过很可惜的是楼主和calm_cs貌似发完这个贴以后就很久没登陆了。。。(时间停留在2006年)
希望只是因为工作太忙没时间来看看
最后祝愿微点越来越好!!有这么多人支持你们,你们必须要坚持下去!![/b]
P.S.也感谢超版的及时回馈,微点的客服真是没话说!!!

[ Last edited by genius_bc on 2008-2-15 at 03:00 ]
作者: 半浮云     时间: 2008-2-16 21:16
好帖子~严重顶一下~
作者: tuotuo     时间: 2008-2-18 18:54    标题: 我来说几句

花了差不多一个小时才看完这些帖子和回帖,呵呵,忍不住也来凑凑热闹。

本人是公司网管,虽然Delphi编程还是半吊子,好在这里高手多,也不会拿我当回事,那就说说我的个人想法哦。

对于一个网管来说,最大的困惑莫过于在于系统上已经有了病毒和木马,但是使用的杀软居然不报告,这是最头大的。但是有一款软件如果报告了,但是杀不掉病毒或者木马,那对我来说就无所谓了,一个Ghost就全搞定了,哪怕是服务器系统。

但是,我用过的一些杀软都有不报告的情况,而实际上系统已经中了木马,我本人是通过snifferpro这类工具来检测到的,我也不知道该如解决这个木马,所以ghost了。

不怕报告了杀不了,就怕不报告。有过网管经历的朋友,相信都会有我这样的感受吧。呵呵。

重要的是预先检测,毕竟主动防御的卖点是防御而非通杀,如果真有这样通杀类的杀软,不妨在这里通知我一声,我可是先谢谢了。

声明:截止现在,我还没有用过微点,只是觉得这款软件有点意思

[ Last edited by tuotuo on 2008-2-18 at 18:55 ]
作者: ghostfly     时间: 2008-2-19 15:35
呃,当真看的过瘾啊。也晃悠过那么几个安全论坛,从来没有这么洋洋洒洒的论战(大概还是叫“讨论”更合适?)

不瞒大伙儿说,字体偏小,看的好累——但是信息量之大诚然令人叹为观止。
但是很奇怪的是基本上没有“水”楼,是都被斑竹干掉了还是这里的爷们儿们都字字珠玑?

最后为了某楼一句话顶之

  Quote:
其实,国内的现状是,最广大人民群众的平均科学文化素质是很不理想的,大多数最终用户真听不懂也不想弄懂咱们所讨论的这些话题,他们只想更好的杀毒、更安全的使用计算机。微点在未知病毒查杀方面,做出了有益的探索,事实在这儿摆着,大家有目共睹。

纯SSM使用者飘过……但给好几个人装过微点,效果优秀。

[ Last edited by ghostfly on 2008-2-19 at 15:41 ]
作者: yiguangqiang88     时间: 2008-2-20 10:04    标题: 顶。。。

版主加精有道理。。如此纯技术的讨论贴很少见,建议版主摘精整合,可以出一本书了哦。

向楼上的所有成员致敬。。。

[ Last edited by yiguangqiang88 on 2008-2-20 at 10:07 ]
作者: gnaix     时间: 2008-2-20 16:25
哪个杀毒软件没有杀不了的毒,哪个杀毒软件没有误报
微点在主动防御上确实走在其他的前面
作者: scbeyond     时间: 2008-2-20 17:17
哎,眼睛都看花了,真是公说公有理,婆说婆有理呀。。。
为了安全起见,使用两款或两款以上杀毒软件,相对会比较安全。
作者: scbeyond     时间: 2008-2-20 17:18
当然,如果每个用户都能分辨出应用程序是否为危害程序,是否为可信程序的话,各杀毒软件公司也可以关门大吉了。。。。
作者: hellen     时间: 2008-2-20 20:29
理论是很诱人,前景看来也确实很好! 这是微点的希望!

判断是不是能实现,关键在于以后对付病毒的情况,与其它杀毒软件的对比,是否真能实现,至少在“熊猫烧香”事件中表现不俗,许多人也是从此认识微点的!

至于细节,应还属商业秘密,不宜随便透露吧!不过,
作者: 方与圆     时间: 2008-2-22 19:57
看这帖有点像看金庸的《神雕侠侣》,开始引人,接着精彩!到得最后好像是几个乡里在进行华山论剑!!!
作者: a138194577     时间: 2008-2-22 20:00
永远支持微点  说微点差的就别用  滚一边去
作者: 专打左奶     时间: 2008-2-24 04:21    标题: 看了楼主帖,受益中....

看了4个多小时的帖.......  
今天在朋友电脑上网不幸中彪,金山杀毒查杀不全后搜索到了一个新名词“微点”
本人用过很多杀毒,效果各有所长,也不好一概而论谁好谁就不好,主动防御功能在诸多杀毒中也是常用的辅助手段,但“微点”以此为卖点(先这样说, 迟早要上市),给人的印象就是抛弃了病毒库,能实现强大的查杀,而实际呢?我想llcrack兄已经给出了明确的答案,那么“微点”在以后解决主动防御不足的过程中,不断更新特征码库实现功能完善又打者主动防御的旗号,不就是一种欺骗么?
  这里多说一点:nasdaq的回复,都刻意回避楼主提出的论点,用什么逻辑分析来掩饰着,有必要么?软件存在问题是正常的,能指出问题所在的人是对产品负责。
nasdaq提到的用相机做的比喻,个人觉得不理想。相机之所以傻瓜的占有率高,是因为价格低和操作简单+上大众对相片清晰度追求不需要很高;而杀防毒软件不同,大多数世界排名靠前的杀毒界面都很“友好”,价格嘛,多数国人都用免费的就不说了,对杀毒的要求也不是越强越好,要有操控功能,本人机子上就留有很多不杀的“病毒+木马”。举个简单例子:试问谁会要便宜但很多毒都杀不了的杀毒软件?(买来占用系统资源?)但一个照片不是太清晰的便宜照相机我想多数人会接受!
本人现在正版瑞星用户(支持国产但不支持瑞星公司对xx公司做手脚影响其上市的做法),计算机专业学生,文中若有错误论述,还望包涵,请指教。:lol:
作者: norman6810     时间: 2008-2-24 09:48
看来这个帖子注定要成为永恒,好像争论的双方,或者说有几方都说服不了其他人。

我觉得任何事情都不能绝对化,安全软件(这样说应该更准确吧)不可能永远一层不变。

至于打着什么旗号??
楼上这位id很搞的朋友,你用着的XX杀毒软件现在难道没有打主动防御的广告吗?
难道这也是在欺骗?
不要自相矛盾啦吧!
有好的手段当然要用啦,微点也没有说要抛弃病毒库,实际上微点在推出之初就已经让我们知道,他是智能判断病毒,自动提取病毒的特征码,在本地建立起新的病毒库。
微点的优势就在这里,虽然确实会有不足的地方,但是我想这应该不是打不打旗号的问题!
请大家认真看微点官方的介绍再下结论。

并且明确一点微点决不是传统意义上的HIPS!
他不摒弃病毒库!而是在更好的利用病毒特征码!
作者: mecc     时间: 2008-3-1 17:59
这才是高手,大家平和对待对微点的各种声音也是一种进步嘛~
作者: leitiannu     时间: 2008-3-1 18:06
看的头都有点晕了,这个还是不错的。
作者: neohaly     时间: 2008-3-4 16:20
主动防御。。呵呵,本人也安装了微点,并且注册了预升级帐号,下面就是
我使用中得到的几点疑问了:微点对什么样的行为会判断为病毒? 对行为的跟踪又到了什么程度呢?

1、apache服务,win下搭过apache web服务器的同学都知道,这个软件要往注册表里写入服务项,在系统开机时自动以服务方式运行,运行时又要在主机上开端口监听,而且服务进程一开就是2个,其中一个是守护进程,以上行为严重和某些木马软件行为雷同^^,微点毫不客气就弹报警框了,让我来处理。
还好,我是系统管理员,明白安装的软件是什么,但这是因为我是专业人员,如果
是个普通用户呢?  再一个例子:

2、无界浏览代理  该代理软件就一个主程序 u88.exe 运行后会在9666端口注册监听
同时会自动修改ie的浏览代理配置,修改成使用9666端口代理(就是该软件本身)
这又是款严重类似木马软件的东西,同样在主机上注册端口,并且修改了ie的相关注册表项目,这回微点居然认出该软件是个代理软件,但识别为木马程序。

就以上2个软件的情况,我想说:难道修改了系统注册表的就是木马软件么?开服务端口监听就一定被认为是非法么?
实际工作中,很多用户是脑盲,你顶多告诉他一句:安装软件的时候,都设置为允许,可信任就好了。  但这样真的好么? 现在很多木马病毒都是捆绑在安装程序内的
, 你微点会说:我能识别出来捆绑啊!  但普通用户他可分辨不出来!万一他安装的
程序也需要写入注册表,你告诉他都允许算了,那这时候有捆绑木马怎么办?他肯定
会也一并加入信任列表里。

也许微点说:我以后会做白名单,像apache这样的软件我能认出来,在正常使用过程中网管们再也不用告诉普通用户:你统统都加到可信任程序里。。。

这个好到是好,但白名单就那么好建立的么? 病毒完全可以伪装成正常白名单的程序
往同样的注册表位置和端口注册它自己的服务,接下来微点怎么办?病毒可都已经安装进来了!!  (这里可以用md5来算是否正常程序,但软件版本那么多,每天新出的软件版本能多到让管理这个的人发狂,你微点难不成要所有软件厂商每发布一个新程序就自动提交到你这么?)

想到这,区别一个软件是否有侵害用户的行为,必须细化到每一行代码中了。
就我所知,一个系统底层设计人员,对于汇编等很熟悉的话,在正常软件里嵌入木马代码是轻而易举的事,而一行代码是否是有害的,真的很不好判断,可能跟正常
代码区别仅仅在于:用户的帐户密码信息发送的网址不同。你能把www上哪些
是有害网址,哪些是无害的都区别出来么?  这就是让一个极其有经验的程序员
来查找,估计也得有一会呢,微点能把这些判断程序占用的系统资源做到让用户
接受的范围内么?

写了这么多,其实不是想打击微点,而是希望微点能解决这些问题,哪怕用很奇怪
的方法,只要是crack们想不到的,微点就能赢得时间和信誉了。
作者: 6822600     时间: 2008-3-5 14:55
yun
作者: robocop     时间: 2008-3-5 16:29
"为什么像有些程序去挂接了系统某些东西,就认定不合法?"
因为主人知道不知道  允许不允许的问题。。。
朋友到了我家我欢迎,没经过允许到我家乱串的,当然不合法
作者: zcs0820     时间: 2008-3-6 16:46    标题: 何必如此“吵架”,兴许又让某软件“主动”了

本人随便看了一下楼主的言论及一些回帖,实在不明白为什么要啰嗦这么一大堆的东西,显示自己的能力?

不知道各位有没有看过金庸的《笑傲江湖》,我觉得答案就在里面:独孤九剑,以无招破有招。
1、独孤九剑的理论为无招,可是仍然有九势,并且此九势学习之时繁杂无比,为的就是洞悉各家武功之精妙之处,探究其破绽之处。
2、理论上此九势可无敌于天下,但是令狐冲仍然伤于岳灵珊、岳不群、东方不败之手,不同之处在于:岳灵珊的剑,令狐冲是自己撞上去的;岳不群的剑,令狐冲没料到,但是关键之时自身内功发挥作用,偏离一点点要害;东方不败实在太快,委实无法招架(但其时令狐冲内功还未纯熟精深)。
3、小说最后,令狐冲的武功该当天下无敌,独孤九剑、吸星大法、易筋经。但是焉知后世有没有更厉害的武功创造出来,或者有人的辟邪剑法练到极致,快速到不可看见,犹如当今枪炮甚至激光武器,到时候独孤九剑又如何破解?独孤九剑又如何衍生出新招,类似TMD?

操作系统、杀软与病毒的关系亦然。

何必强说这多理论,更何苦强求完美。
寻求一款适合自己的,疗效好的不就完了么。

PS:鄙视一下那些要求人公开防御标准,要求人公开检测、防御、杀毒流程的家伙。商业秘密,何必让你知晓,难道还是某公司的行径?
作者: yq_chen75     时间: 2008-3-7 21:27
好贴,总算把大部分都看完了,后面的就没看了,看了这个帖子才了解了微点的特点
顶起了
作者: tomjohnjoan     时间: 2008-3-10 12:06
在非难中成长
在希望中前行
作者: sengyupain     时间: 2008-3-11 16:33
额,偶现在很生气,这个贴子花了偶一个多小时才看完,^_^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
作者: jack_ps_wang     时间: 2008-3-11 20:14
呵呵,讨论的很深入啊。


不过我是这么想的,只要把杀软和其他软件放在一个平台上,结论必然是谁也干不过谁,因为大家的技术都是一个的,权限也是一样的。病毒作者可以利用一切手段去破坏杀软,使得他瘫痪。

要想真正实现杀软赢的局面只要一个,那就是提高杀软的权限。windows系统文件权限第一,禁止任何修改,并有对其他软件生杀大权。其次就是杀软。最后是其他应用程序。禁止一切低层次访问,完全由windows系统接管,所有访问只有一个通道,这个通道被杀软监控,并赋予杀软审核权。杀软厂商和微软完全联姻。

哈哈。

[ Last edited by jack_ps_wang on 2008-3-11 at 20:15 ]
作者: hlcd     时间: 2008-3-13 01:35
病毒------------我拿机枪去大街上扫人
传统病毒库(特征码)杀毒软件-----------我身上有机枪,危险,我被逮捕了
主动防御类(行为分析)杀毒软件--------在我持枪一瞬间我被枪毙了
作者: 深度扫描     时间: 2008-3-13 09:22
这么专业的帖子怎么能不顶呢》,,,,,,,,,,
作者: aighsn     时间: 2008-3-16 00:21
眼睛看花了,顶一下,反正朋友都说这软件不错,还免费中。。。HOHO
作者: yihongzhou     时间: 2008-3-19 14:08    标题: 支持微点,帮我杀掉了NOD32也没有查出来的木马

无意中找到这个杀软,帮我杀掉了NOD32也没有查出来的木马
非常感谢,支持微点

木马日志如下:

时间        处理结果        木马名称        木马进程名        木马文件创建者
2008-03-19 10:28:59        处理成功        Trojan-Downloader.Win32.Agent.pfs        C:\WINNT\SYSTEM32\VKUNNJQVRPYMI.DLL       
2008-03-19 10:28:53        处理成功        Backdoor.Win32.Delf.cgk        C:\WINNT\SYSTEM32\NAVIHELPER.DLL
作者: ptlxj     时间: 2008-3-20 10:45    标题: 多提宝贵意见...

能多提宝贵意见真好,都是为了电脑用户能够顺畅地使用电脑.我是长期在一线活动的电脑行业人员,具体情况我比较熟悉,通常电脑公司售后最大的一块就是软件系统故障,硬件系统故障只占全部故障的5%左右,南方受雷击的机会比北方大多了,因为现在的网络环境不干净,对普通电脑用户引起的网页中毒,下载软件中毒的情况,他们有时真的是坐在那边发呆,不要笑话..因为微点以外的杀毒软件都拿那些木马、病毒没办法,什么卡巴,金山都只有被停止进程的命运。。没办法进行有效的查杀,而经过删除现有的杀毒软件,装上微点后,重启电脑,木马病毒一个个被捉出来,再用360安全卫士清理现有的IE系统,这两个结合使用,可以达到非常理想的效果。当然。。目前、有发现连微点都无法安装的带毒系统,即使装上微点,系统也是不能很顺畅地运行,会出现死机现象,这时只有保存数据重系统了,因为系统文件被修改后很难恢复的了。。。这是实践中的一点经验供大家交流,治电脑跟医生看病一样,得了感冒医生也不会只用一味药去治的,至少会用两种以上的药去调理治病的,世上事物都是相通的。。
作者: 上海     时间: 2008-3-20 10:49
微点的原理有何不同?
作者: ptlxj     时间: 2008-3-20 10:54    标题: 卖了再说

拿出来卖了再说,没有十全十美的产品..所有的产品都好用但都不完美,简单实用,保证电脑操作系统顺畅就可以了,就是国际大公司的帐目那也是不能够扒光衣服让人检查的,一查什么毛病都有的.所以呢..有效..简单..强力的杀软微点就是好东西.当然日后完售一直跟上才是对产品最大的负责,能捉到老鼠的就是好猫,不管白猫还是黑猫...
作者: hrshnfgjg     时间: 2008-3-21 12:51
LZ还是说的有些道理的~~~
作者: pzh26     时间: 2008-3-21 23:46
不看广告
看疗效!
不错!
我用了微点几个月了
刚开始用的时候兼容性不怎么好,也有很多误报!
所以其中有段时间改用卡巴7了
后来觉得卡巴太卡了,又换回微点了!
这次使用微点好用多了!
兼容性和误报都低了好多了!
微点还是在不断的进步!
支持!
作者: kinglsm     时间: 2008-3-22 13:10
受教了
作者: ohmygod     时间: 2008-3-26 22:34
乖乖。。这个贴可真长啊。。看完楼主的贴。。我想你是个开发木马的,结果有些系统层的函数操作,被微点防御住了。。你跳不开这个防御系统就要,它改变。。。。虽然说碉堡从里头最好突破,但也要有个理由。。你理由果然很好,很强大。。。。
强大到可以忽略系统安全。。。。一个健全的软件不是你手高,用以些系统层函数就代表水平的,要易用,易懂。方便维护。。这是写软件的必须遵守的。

不要再搞些所谓的系统软件了。。无非就是木马和外挂。有什么意思。。。。。LINUX开发上没有微点,,你可以随便去开发外挂去,只要你能突破LINUX核心。。当然。。这更要水平,,而不要提让LINUX核心安全标准适应你的程序,为你打开方便之门。


建议你多看看毕业时的程序规范,和行规。。。为大的程序员是以开发包容性最强的软件而为荣的。
作者: ohmygod     时间: 2008-3-26 22:44
[quote]Originally posted by neohaly at 2008-3-4 16:20:
主动防御。。呵呵,本人也安装了微点,并且注册了预升级帐号,下面就是
我使用中得到的几点疑问了:微点对什么样的行为会判断为病毒? 对行为的跟踪又到了什么程度呢?

1、apache服务,win下搭过apache web服 .。。。确实很常用,但开这个服务的人,不会连这点都不知道吧、?他如何维护WEB服务器????连基本的都不会。。那FWQ一个小问题就要GHOST。。。那还了得。。。
2、无界浏览代理 u6.0版本以上,全被微点查杀,而且不能信任。为什么是6.0以后。你跟踪过无界浏览代理6.0以上的网络包没有,,有没有时候启动无界后发现硬盘会狂转???另外这款软件是公安部明示不能使用的。。



:cool::cool::cool:
作者: zwh_zyc168     时间: 2008-3-28 21:50
这个帖是05年的,现在还能顶,那我就在顶一下哈哈
作者: 471795251     时间: 2008-3-28 22:13
哎……
现在我越来越发现自己是菜鸟了……
偶的朋友竟然都是大人物……
上兴作者、邪魔军团的俩头头、还有***N多的人……
作者: zs102     时间: 2008-3-30 04:32
一个很专业的好帖!!
作者: 915878233     时间: 2008-4-1 08:36
15楼的问题我体会到了,微点对灰鸽子真的没反应呀
作者: linx194     时间: 2008-4-2 11:13
天下没有攻不破的城墙,罗马被攻破过,特洛伊被攻陷过,长城被入侵过。
无论是千年巨龙中国还是新生霸权美国都有过“不光彩”的历史。
如今千年问题被放到电脑上。
攻不破吗?肯定会破的,时间问题而已。

中过毒吗?
肯定中过,习惯了备份重要文件和重装系统而已。
数次洗礼后中国依然屹立着,罗马的角斗场依然雄伟。只不过人已不同。
作者: 香烟一根     时间: 2008-4-3 21:19
学习了
作者: liuxueyong     时间: 2008-4-11 09:55
先用起来再说吧,感觉比其它的省资源。防的效果也行。推荐
作者: xiaohai     时间: 2008-4-11 23:57
帖子太经典了,说的都太专业了,我是搞不懂,不过我还是一直支持着微点,希望微点越搞越好。
作者: lelechina     时间: 2008-4-17 18:02
新人报到,学习了!
作者: sq30     时间: 2008-4-18 10:46
计算机病毒好比人类的病毒,假如你已经得上了 癌症,那有几个能治好的?重点在于防御,平时注意防范好才是王道。根据我个人实验,世界上任何一款杀毒软件,在已经中毒太深的情况下,无济于事。只能从装系统了。 自己掂量吧。(本人使用安装AVAST外加360等防杀流氓软件的软件,除了AVAST其他软件的监控从来不开,系统没有任何问题,关键在于用的人如何用。微点就相当于一个类似一个高手在旁边指导你,什么东西该点什么不该点。我想以后主动防御才是主流)
作者: zr840217     时间: 2008-4-23 12:24
图都看不到
作者: lingfeng80     时间: 2008-4-27 02:45    标题: 支持占用内存少的国产杀毒软件!

首先我申明:我在杀毒知识上就是个菜!我说不出那麽多道道!我只知道只要能全面的擒住病毒,不要误删系统文件的,占用内存少的,就是好软件!
作者: cwanter     时间: 2008-5-1 16:24
呵呵,在程序还没有能力判断人的感情以前,所谓的主动防御都是炒作的噱头而已~
作者: hjq6677     时间: 2008-5-2 20:10
呵呵,这个嘛,看你自己怎么看了,我觉得微点做的就是可以的……
作者: 66963534     时间: 2008-5-13 01:00
用了一段时间感觉也是可以的,但是作为外挂问题也是个值得考虑的问题,现在用外挂的还是很多的
作者: hooluupig     时间: 2008-5-15 23:36
学习了!!要是能深层讨论一下arp欺骗问题就好了,这可是个大麻烦,目前还没有哪个杀软对它有很好的疗效。:D
作者: 939092767     时间: 2008-5-19 09:41
好像應該我是沒權利說話的,但是我是一個你們說的'菜鳥'用戶!我機器上只裝了兩樣東東:微點和AVG Anti-Spyware.  至今已有一個月的歷史,無論是從開機速度,還是從系統響應速度來說都比以前裝上瑞星(正版)好了N多.而且我并沒有中過毒,一直很正常.(本人對于計算機技術比較白癡!)
  所以我覺得微點還是不錯的,而且你們說的誤報等等,我的微點幾乎沒有報過,除了我新裝軟件的時候!!!真是奇怪了,難道是試用版的問題?
作者: 939092767     时间: 2008-5-19 10:03
忘了說了瑞星花了我280個大洋,還沒到期我就給他下馬卸任了!
作者: 游玉梁     时间: 2008-5-21 10:16    标题: 呵呵



  Quote:
Originally posted by 微点专家 at 2006-8-31 17:54:
先别管什么技术,只要使用后电脑平平安安就是好软件。
技术在好,搞得你的系统是两天恢复,三天重装。这样的技术在高,恐怕也没人敢要。
在这个病毒横行的年代,随不想为自己的爱机选择一款好的杀毒软件。
今天 ...

专家也急了啊,告诉你,你说的这些地球人都知道,我用卡巴斯基互联网安全套装,就没中过病毒,呵呵,杀软不重要,重要的是我们要安全上网,就不会中病毒了……

[ Last edited by 游玉梁 on 2008-5-21 at 10:23 ]
作者: 风动水凉     时间: 2008-5-30 22:25
个人觉得,杀毒软件不管使用什么技术,只要满足电脑的安全,同时尽可能的少占系统资源,那就是好东西
作者: cqd001001     时间: 2008-5-31 13:49
支持楼上的观点,对我们这些菜鸟来说,实在、好用、简单、高效就是好东东!别的啥也别说!
纯菜鸟观点......
作者: qq2008444     时间: 2008-5-31 20:48


  Quote:
Originally posted by hooluupig at 2008-5-15 23:36:
学习了!!要是能深层讨论一下arp欺骗问题就好了,这可是个大麻烦,目前还没有哪个杀软对它有很好的疗效。:D

arp欺骗最好的解决方法就是锁定MAC。。。
作者: tenliq     时间: 2008-5-31 23:10
由于现在特征码的特性,
所以都在求新
作者: zhenghua700     时间: 2008-6-4 11:44    标题: 由衷佩服

今天终于把所有的贴看完了,当然不包括后面的聊天类的话。终于明白什么是高手,什么是技术。非常佩服各位的....精神。中国的软件越做越好靠的就是这种力量:):cool:
作者: ii88     时间: 2008-6-4 12:26
微点的行为分析的确很新颖,但也有其局限性,加上扫描引擎可能会更好!
更何况瑞*金*标榜的主动防御其实是虚设
作者: duliu     时间: 2008-6-10 04:55    标题: 我晕啊



  Quote:
Originally posted by 微点专家 at 2006-8-31 17:02:
微点主动防御软件属于防病毒软件,但完全区别于目前市场上的防病毒软件。

    当前杀毒软件多采用特征值扫描技术,即由专业反病毒人员在反病毒公司对已可疑的程序进行人工分析研究,人工判断该程序是否是病毒; ...

强烈鄙视这个微点反病毒专家;
作者: roedesign     时间: 2008-6-12 16:39    标题: 菜鸟

菜鸟一个,只能顶一下了,微点努力!
作者: ohmygod     时间: 2008-6-15 18:22
#12  

11楼的朋友说得很对,所以很多一流杀毒软件厂商都在产品里使用了 启发式扫描来弥补特征码扫描的不足啥,这样两者结合就能起到对已知和未知的病毒的查杀防御。不过,国产软件中的启发式技术比国外差得比较远,随便提一句,由于江民和 卡巴的关系(地球人都知道)它的杀毒引擎的启发式扫描还做的不错,可是江民老师爱上了炒房地产,结果江民的病毒库比瑞星的又差很多。

LZ。。。你认为那个好就那个好??你太傻B了吧。。。VB100。。卡巴和江民过了几次???????还谈他们好。。你个人傻也想别人跟你一样啥
作者: leiqishi     时间: 2008-6-16 16:10    标题: 楼主的文章概念混乱

楼主的文章提出主动防御概念不清,可我怎么看也觉得楼主自己概念混乱,把安全警告提示说成是不能区分病毒和正常程序更让人觉得有点胡搅蛮缠 :-)
作者: leiqishi     时间: 2008-6-16 18:18
楼主在 “#4  主动防御不可完成的任务(二)” 中说:“……但是,如果一个病毒或者恶意程序同样使用与正常程序同样的流程只是WriteFile的时候写入的数据是恶意的、有破坏性的那么微点能防住嘛?……”
    楼主完全搞错了概念,离题太远了吧。难道楼主希望微点连“格式化”软件都要报警吗?
    微点是防病毒的,而病毒首先是要传染和隐藏,附带偷窃、捣乱和破坏等内容,只要能阻止病毒传染和隐藏并消灭掉,自然就不会产生发作时的问题。楼主不要把本末搞颠倒了。
作者: 披坚执锐     时间: 2008-6-17 21:49
如果形成了具体的行业标准,那样是可以避免误杀,
但是你的定义越详细,那么“有心之人也就越容易绕过你的定义:cool:
这对主动防御的发展来说是个两难问题

[ Last edited by 披坚执锐 on 2008-6-17 at 21:54 ]
作者: 渗入危机     时间: 2008-6-19 01:41
不罗嗦,回下lz第一帖,括号内是揭露语

首先我先说明一下我自己的立场,我认为主动防御是一项不可完成的任务。单独使用主动防御无法真正达到“主动防御”概念所描述的那样的一个状态。(一开始就模糊、偷换概念)

为什么呢?简单说是因为其主动防御标准含糊不清楚(标准模糊,是标准模糊还是一些软件的手法无耻而被咔嚓?)

没得具体的行业标准(所谓行业也是一个即时产物,没有永恒主题),可以说是理论上可行而技术上不可行的东西(你所谓的技术是指一些软件专门找茬,就要钻空子,搞歪门邪道)。看了众多贴子,有人支持微点,有人质疑微点(质疑的可以说基本是枪手,因为抢打出头鸟,微点的出色和卓越有目共睹)

众说分云,因此我们需要从主动防御这个概念来说是否真的可行!首先,根据微点所称有众多的逻辑分析来确定是否为不合法的程序或者病毒等。我们搞技术的都知道,所谓复杂的逻辑分析如果用程序表达出来就是很多的if条件。但是这些if条件只是微点的标准,而不是主动防御标准

那这样的标准怎样能让用户信服(主动防御的标准你认为呢?是满足无限个if?也就是说,XX程序挂马是很正确的,微点不要杀;XX软件监控是很善良的微点不要咔嚓?那不成了要求微点为恶意软件服务了吗?我可以告诉你,恶意行为不需要太多if条件,恶意,就是不正当,不光明的下作行为)?

因此,就常常会出现误报(白痴之见)。

也许有人会说,其它安全工具或者杀毒软件也会出现这样的状况。因此,这就恰恰说明了为什么其它工具把主动防防御作为辅助手段(似乎照单杀毒的杀软才是误杀的罪魁吧,从面孔判断人和从行为判断人你说哪个更害人?)

也说明了微点根本没有质的飞跃(枪手,你肯定反驳自己不是枪手)。

这也许不是微点的错(再使用怀柔语言为自己留空位),这是因为的确主动防御这个概念很吸引人,但是没有非常清晰的界定(搞笑的言论)。

即通过行为特征认定病毒的标准(我上面已经说明,这个白痴看法很可笑)。

同样,微点自身产品也会做很多挂接动作,为什么就不被认定是恶意程序或者病毒(是不是杀日本鬼子的杀人行为就是罪恶的?)。

因为开发者知道自己做的微点是来保护系统的。这我也知道。但是,为什么偏偏就要认为我开发的游戏外挂之类(单机游戏外挂)的东东是病毒(你可以去问问法律),我游戏外挂第一不访问网络,只是挂接一些API或者修改游戏主程序的一些变量即内存指令。为什么我的程序就是病毒(看到这才知道你的确是一个枪手)。

也许又有人会说了,你不是可以将这些你认为信任的程序加入到微点中嘛?那如果是这样,对于用户来说,他能知道哪些是可信任和不可信任,干嘛还要来用这些东东(最愚蠢的狗屁言论,关键是你这外挂商太把自己当个人了吧!你就是一坨破坏游戏平衡的屎,遇之杀之,还设白名单,设你妈啊)?

因此,我认为由于主动防御由于没有既定的标准,也就大大限制微点自身的成长(冲其量也无非是有更多的if语句而已),这样根本不是质的创新,也谈不上优越于其它的杀毒软件(后面的狗屁结论不攻自破)。
作者: 渗入危机     时间: 2008-6-19 01:42
412l注册个名还含沙射影,典型网络痞子的作风
作者: 渗入危机     时间: 2008-6-19 01:58
从技术角度来讲,如果单独使用主动防御是否真的能冲当主力(别忘了,主动防御只是微点的地一个概念,而不是终极的概念)?

根据一些贴子描述得知微点使用了Driver,这是很明智的选择!先支持一下^_^!但是微点Driver似乎只对ntoskrnl中的一些内核例程还有AP层的一些API有所挂接,我是想问这样就能挡得住病毒嘛?假设一个程序使用NtOpenFile或者CreateFile打开一个磁盘盘符,然后使用WriteFile或者NtWriteFile来进行直接写扇区,如果是一个正常程序写入合法的数据OK,如果微点没有认为是病毒那么我觉得是正确的。但是,如果一个病毒或者恶意程序同样使用与正常程序同样的流程只是WriteFile的时候写入的数据是恶意的、有破坏性的那么微点能防住嘛(你个白痴啊,微点做的就是监控未知软件的违规则行为,你还在这里为病毒铺路,你吗生你时得脑瘤了吗?再者说,你也知道正规软件的此种行为是必要的,因为他的正规众人皆知,而你所谓的其他软件或未知程序做此种行为又是为了干啥子呢?只能是不正当的手段了。)

因为根据其微点的行为特征来判定,由于默认了正常程序的行为流程那么也意味着其病毒或者恶意程序的流程也在微点中视为合法,这带来的后果我不想多说了(更白痴开来,阻断未知程序相同动作就是对用户的最大负责,除非你这台机器就是为了搞病毒的。况且,退一步,你要真有能耐,你赶明请个二百五做一个所谓未知软件正规途径访问动作,你试试,看看微点杀不杀得了你,看看是不是一帆风顺,你光放屁没用)。

另外,像NtWriteFile或者ZwWriteFile等一些内核例程,其实是把命令打成IRP丢到文件系统层,如果病毒不经由NtWriteFile或者ZwWriteFile这些内核例程直接像文件系统发送命令,那么微点有办法拦到嘛(你的初衷是基于病毒的放行性,也就是说,你把基本位置摆在了任何可行性上,而他吗不注重实际的技术可行性,你是一个唯心的小丑罢了)?

另外,随着操作系统内核技术公开化,有些病毒也许还会自带Driver,而这些Driver并不是由病毒动态加载。而是由系统每次启动时加载,也许比微点的Driver还要先启动起来。此时我就展开联想说一下,假设病毒Driver一旦加载,他要感染某个程序非常简单。最简单的方法是直接调用内核例程,像上面提到的,其次自动构造IRP扔到文件系统中,除非微点在文件系统Driver层进行拦截。OK,病毒Driver它干脆不扔文件系统层了,而走更低层的Disk磁盘层。有办法主动防御嘛?如果这都有办法主动防御,那么病毒根本不在使用操作系统提供的Driver层次结构,而直接使用IN、OUT指令来对硬盘进行读写。有办法主动防御嘛,可以说到了这里可以说从实践中基本上是无法拦截住了,就算在Disk层就很困难。当然不是没有办法,使用DR调试寄存器来拦截下来。当然不提其它什么更深层的RootKit技术。就说得更简单一点,如果病毒Driver一旦被加载是没有办法让其Unload,除非重启。主动防御不仅从理论上有缺陷,从技术层面来说是不可真正的实现动态监视,基于这两方面主动防御目前只能成为安全工具的辅助手段,也是不可完成的任务。(靠啊,看到这里才发现一个问题,首先,你的假设基础是一种超意淫的无敌病毒已经存在,并永远克服微点概念的逻辑设想。其次,你的所谓技术只是一些空谈的应付,比如说我们可以利用量子加速来驱动飞船在一个月内抵达冥王星,这可行乎?可实现乎?即便可行可实现这些空谈逻辑概念,是不是对立方就终止了?你是说,微点不进步,就停留在这个阶段,然后让病毒大肆升级,这不典型的唯心二元论吗?拜托你先去学学哲学概念再来意淫这些病毒技术和可行性可实现性!)
作者: 渗入危机     时间: 2008-6-19 02:05
特征扫描的确也有缺陷!我感觉特征扫描有一种亡羊补牢之意,但是它的确也有它自己的好处。打个比方说,如果病毒有自带Driver这种情况下,是非常危险。可以说一旦让Driver被加载,主动防御就失去了它的威力。(更不要说其标准不完整,技术受限制的问题)因为即使微点也有Driver,那是无法去Unload已经启动的病毒Driver(前提是还需要确定得了这是个病毒Driver)。因此微点对于这种病毒来说形同虚设,这时个就需要特征扫描或者其它的方法来解决。并且,我的观点并不是在支持特征扫描。我只是单从主动防御来看,的确存在着很多局限性。这些局限性限制了微点及主动防御的发展。这不单单是靠一种两种挂接技术就能解决得掉的(发现你的所有前提是通行性病毒以存,即病毒已经存在,并已经跟微点对等,然后对打,为病毒帮腔,这就等于,让一个能毁灭杀毒软件的病毒永远先于杀软存在,然后再强行把杀软拉过来充当你口水的炮灰,你还说你不是唯心论者?如果你只是在揭示一些可行性,你大可以说太阳的氢能是毁灭地球的最大祸首,你明天就可以抵制太阳了)。
作者: 渗入危机     时间: 2008-6-19 02:09
例如楼猪:打个比方说,如果病毒有自带Driver这种情况下,是非常危险。可以说一旦让Driver被加载,主动防御就失去了它的威力。

你的前提永远是“打个比方,XXNB病毒很NB,他用永远抗微点,然后已经先于微点存在,并且某傻逼用户迷迷糊糊无视微点警告通过了,然后这NB病毒猖獗阴线与天下...”这有意思吗?你非要先得非典然后去找青霉素的茬也行,你变百吃了吗!
作者: 渗入危机     时间: 2008-6-19 02:15
我敢明跟原子弹说,喂!你小子张狂个什么劲,老子不高原子裂变,不高铀浓缩,你小子耐我何?

再看看楼猪的言论概念:如果一个盗号病毒被杀死,他自然不被盗号,但如果一个盗号病毒被某白痴用户通过,他自然能盗号。(罗索半天,跟没说一样的概念)

还有这种言论:“如果XXnb病毒先于、优于、无敌于XX杀软,那XX杀软就会被XX(弄了半天,等于在说,你是人我是神,你是神我是神他爹,你是神他爹我还是神他爷,他妈自诩逻辑可行性不看技术与人品过关性,罗索再多,等于抬杠和无理取闹)
作者: 渗入危机     时间: 2008-6-19 02:17
这帖根本不用与之探讨什么技术上的问题,直接从思维上就能证明其是个白痴唯心论者
作者: hacmz     时间: 2008-6-20 16:23
不错的讨论哦,不过现在微点可用说是世界上第一款全主动防御的杀软,而且处于测试阶段,肯定有这样那样的问题,这个以后都是能更正的,哪一件事或者物不是日积月累很多经验才能走到最后的辉煌的?总有个过程啊,刚开始,别那么刻薄了。
作者: sea-lou     时间: 2008-6-23 20:14
没有最好,只有更好!

Windows好不好?————一大堆BUG,但现在很多人在用它,所以你我在这争来斗去根本没用。

大多数用户都在用,反应都还不错,就够了。
作者: ray1112     时间: 2008-6-23 20:42
LZ想说的应该是误杀吧……这个问题现在应该是所有主动防御所存在的问题……不论是启发 基因 还是行为分析……都会存在这个问题……无法避免的……
作者: onlycast     时间: 2008-6-23 22:40
花了我一天的时间看完!比较认同llcracker的观点!此帖从2006年顶到现在!技术含量超高!
作者: tlze     时间: 2008-7-11 16:46
用了很长时间还是没法看完这贴,只能搜索几位高人的贴子来看了.略过了另一些高人的贴,罪过!
看毕,对微点了解深入了一点,更是喜欢了,现在去把预升级版升级为正式版.不过有个小问题想问下,为什么不是交注册费就行了,还要什么邮寄20元的,我并不需要光盘啊!这20元出得有点冤。
作者: 289613309     时间: 2008-7-11 16:51
前面几位真是高手啊....快下班了,明天接着看完这个帖子
其实不管咋样,先用了再说,毕竟是我们国人的一个骄傲,存在,即有存在的道理
作者: Legend     时间: 2008-7-11 16:55


  Quote:
Originally posted by tlze at 2008-7-11 16:46:
用了很长时间还是没法看完这贴,只能搜索几位高人的贴子来看了.略过了另一些高人的贴,罪过!
看毕,对微点了解深入了一点,更是喜欢了,现在去把预升级版升级为正式版.不过有个小问题想问下,为什么不是交注册 ...

20元为给您邮寄盒装产品的邮资费用;
您可以选择店面直接购买方式购买。
http://www.micropoint.com.cn/seller/customer/menu.htm
作者: winuxer     时间: 2008-7-13 09:55
无聊而且可笑的楼主!
什么叫标准?标准是谁定的?什么叫概念?概念由谁明确?
外国人定的标准、外国人明确的概念就叫标准,就叫概念?
微点确有不足,可微点就不能提出自己的标准了?就不能摸索自己的概念了?
作者: liwm3613     时间: 2008-7-15 10:04
:( 无语中,都有点傻,傻的天真,傻的可爱。
作者: 独孤仙     时间: 2008-7-15 12:46
看了,头晕了.........
作者: 独孤仙     时间: 2008-7-15 12:59
感觉技术含量高,虽然我看不太懂是什么意思.........
作者: green_cai     时间: 2008-7-23 14:25
这个帖子争论得很厉害啊,隔山观虎斗
作者: llydmissile     时间: 2008-7-25 14:01
技术含量很高...
个人认为shenruweiji是思路最不清的
引用#422
你的前提永远是“打个比方,XXNB病毒很NB,他用永远抗微点,然后已经先于微点存在,并且某傻逼用户迷迷糊糊无视微点警告通过了,然后这NB病毒猖獗阴线与天下...”这有意思吗?你非要先得非典然后去找青霉素的茬也行,你变百吃了吗!

你没看完帖子吧!楼主说的是先中了病毒,后安装的杀毒软件!(见94楼)
而且那种超xx的病毒,就算现在没有,以后就一定不会有吗。

你可以仔细看看102楼之类的,说的很明确,lz是想让微点做得更好,这难道也是有问题的?退一万步说,想让微点做的更好的帖子,就算思路模糊,也比你这些没一点意义、只对人不对事的帖子强啊!

还有,lz是2006年发的帖子,那时的微点还不成熟。你现在看到的微点,已发展了很多,误报率已大大下降了,这还要托lz等这些人的功劳!
作者: jiangchao121     时间: 2008-7-25 18:53
外挂是外挂,病毒是病毒,如果外挂中发现有盗取密码帐号的木马,可以当做病毒查杀

但是没有的话,我个人觉得还是不要被查杀

我这样并不是赞成做外挂,只是站在不同角度去考虑问题而已!
作者: kingforjin     时间: 2008-7-27 22:43    标题: .....

:mad:
哎,我不知道你们这些所谓的专家是干嘛的!病毒,恶意程序,请问,受到这些最大危害的是谁?而目前来说,最需要购买杀毒软件的又是那些人?像你们这些专家,自己懂电脑,那么厉害,还用得着杀软么?
就算中了毒,你们也可以靠自己解决!

杀软的好坏对你们自己有影响么?

而真正受到侵害的都是那些不懂电脑的普通用户,请问,对于这些普通客户,他们需要的是什么呢???

普通用户来说,一个很厉害的病毒,只要能杀掉或者解决掉的软件就是好软件!你们可以说他们无知,可他们还能干嘛?要所有人都知道用你们的标准来进行好坏之分了,那还要你们干嘛!
作者: appllove     时间: 2008-8-11 18:12
也许只有高级用户才能使用微点的“主动防御了”,
这是微点发展的最大障碍吧。

一般的用户去用垃圾瑞星和垃圾金山吧,
在他们的眼中这些垃圾使用很“简单”。


主动防御,最终还是要靠电脑使用者的“主动”。
作者: lin0599     时间: 2008-8-14 00:38
管它什么技术,说得不知所云...只会迷糊一些不太懂的人...

只要使用后电脑平平安安就是好软件

选杀毒软件!
   别看广告!!
      看疗效!!!

这些话最有力!  硬道理!!
作者: skylock     时间: 2008-8-18 21:34
原来帖子放久的话也会变质阿。。。。

06-08的期限就从技术帖变成口水帖啦
作者: ccxc     时间: 2008-8-19 10:27
满深奥的  得好好学习一下了
作者: qweasdzxc     时间: 2008-8-19 13:38
火贴
作者: yinjin     时间: 2008-8-21 00:45
主动防御是趋势,实际使用效果还是不错的。nod32所以厉害就是因为这,名字不一样吧,结果最重要,疗效
作者: 哇哈哈!!     时间: 2008-8-25 13:44
学习下,谢谢楼主分享!
作者: iawsx     时间: 2008-8-27 15:05
前面的都看过了,很精彩
作者: heytony     时间: 2008-9-4 11:14
嗯  完全的东西都是很理想化的,或者有前提的,但是这个前提能不能实现呢?这又是另外一个问题了,就象论证一样,追根问低到最後就追到公理去了
作者: zgsdxsd     时间: 2008-9-6 13:20    标题: 不知道你的要求是什么

不知道你是否对比过其实的杀毒软件,在我使用过的这类软件中,除了点用大量的内存,就是所谓的大大地病毒库。而且有些软件根本就杀不了毒,甚至那些软件也发现不了,还要自己手工去清除。不说别的,就说U盘杀手吧,国内某某软件却根本不认为是病毒。
所谓防御,我是这样理解的,从微点使用中感觉出来的。微点是让一些病毒或者可疑性病毒不能进入自己的电脑中,即使进去了,这些病毒不要发作,一旦发作,微点就会清除。
我对微点感触很深,一是点用内存极小;二是没有那些所谓大大地病毒库(这些病毒库甚至都包含了在DOS操作系统下不可能发作的病毒)。再者,微点会把一些未命名的,隔离的东西,主动告诉你。
如果你没用过,你自己用过一段时间就会感觉微点的伟大之所在。

去年到今年,我一直力推微点。用过的人都极力说好。
作者: cnhakkas     时间: 2008-9-7 12:16


  Quote:
Originally posted by 微点专家 at 2006-8-31 17:54:
先别管什么技术,只要使用后电脑平平安安就是好软件。
技术在好,搞得你的系统是两天恢复,三天重装。这样的技术在高,恐怕也没人敢要。
在这个病毒横行的年代,随不想为自己的爱机选择一款好的杀毒软件。
今天 ...

看了3页,这个所谓的微点专家已经有点撒泼的味道,如果连这么简单的质询都要打横来讲,建议你别掺和进来好点。

正因为在使用微点的过程中发现了问题,我们才在此讨论,如果你无法解答,那你可以退出此讨论,也可以把刘旭叫进来。

瑞星现在是什么状态相信业内的人士大家都知道,刘旭几时退出瑞星、当时瑞星的状况怎么样,也就明了瑞星不行而刘旭退出还是因为刘旭退出而瑞星不行。

我们在此讨论,也就是不想让微点成为第2个瑞星,如果就是简单的噱头出来,几年之后,那微点将又是1个瑞星!

楼主的分析绝对是超越刘旭、超越微点的,只有千百次试验后建立一定的标准(当然标准也会不断发展、更新),才不至于“头痛医头、脚痛医脚”,到最后像如今的瑞星,硬伤已积重难返。

自命专家,得拿出做专家的气魄,撒泼,只会让人笑话!

另外,说明一下,本贴非人身攻击贴,如果认为我是在搞人身攻击的,爱咋的就咋点。

希望在微点,能看到1个真正宽松的技术讨论环境!

成长,有些东西是必然的,但是,回报也是必然的!
作者: cnhakkas     时间: 2008-9-7 12:23


  Quote:
Originally posted by calm_cs at 2006-9-1 13:51:
不然,我就有点质疑,微点该不是以特征码查杀为基础,以主动防御这个噱头为卖点吧,要是这样就太对不起广大朋友对微点的支持了。我觉得微点应该给出这方面的测试数据,或对这个情况进行说明,来打消我们这些技术爱好者的疑虑。

这一点,也是大家的疑问......

还是像第3页两位版主所说,知道就成了,毕竟人家也是为了生存,能用、能帮我们省点力气,就这么过吧
作者: cnhakkas     时间: 2008-9-7 12:39
呵呵,这里我也向nasdaq鼓下掌,开下炮。

  Quote:
Originally posted by nasdaq at 2006-9-1 19:28:
哈哈,开工,目标llcracker朋友的 33、38帖,calm_cs朋友的34、37、41帖

首先,我想大家应该理清两个概念:产品和技术。

技术就是一种技术,譬如说行为引擎。

产品是将多种技术融合到一起的一种商品,譬如说微点主动防御软件(以下简称微点)。


基此,我有以下的一个表述:微点是包含有行为引擎技术的一种产品。特别要说明的是,微点并不只有一个行为引擎技术,最起码还包括特征码技术(见置顶帖,官方从未否认过使用特征码),最起码还有包过滤防火墙技术,最起码还有UI设计相关技术。


我今天又粗略地学习了一遍置顶帖们,结合我的体会,谈谈我的学习心得:

1.微点的总体出发点
对于特征码技术的滞后性,前面的讨论中我们大家都已达成了共识。微点的一个总体出发点就是想解决滞后这个致命的缺点。为此,微点提出的一个技术方向就是行为引擎,虽然在目前这个初期阶段,存在有很多这样那样的不足。但是,我们欣喜地看到了一些进步,譬如说国内的“黑小子们”喜欢加工灰鸽子,几乎每天都会有穿新衣服的灰鸽子出现。微点对此表现不俗,很遗憾由于我手中的样本量很有限,我无法提供有说服力的量化指标。

就如nasdaq版主所说,穿着新衣服的huigezi,事实上,这并不能说明你所谓的解决滞后性问题和行为引擎概念,表里表里,衣服下的里,这是特征码完全可以解决的,照您所说,微点的行为引擎,有点类似“微点特色的特征码”味道。

客观的说,目前的微点确实还谈不到彻底解决滞后性的问题,但是微点有力地缓解了这个矛盾,这一点有目共睹。


2.行为引擎与微点
任何一种技术都是有其使用范围的!(呵呵,我不知道在哲学里面怎么讲,但是我说的这个精神应该是对的,可能叫辩证法吧)正如咱们以前讨论的结果,特征码不是万能的、虚拟机不是万能的、行为引擎不是万能的。

在市场经济中,想必每一种产品,都会努力扩展其实际的应用范围,以最大程度地谋求市场的认可。在这种情况下,只使用单一技术,只能处于竞争地劣势。所以很多厂家在把技术转变为产品的时候,都会以某一个或几个技术为核心,多种辅助综合方案共同发展。目的就是为了最大限度的扩展产品的应用范围。

微点也不例外,行为引擎技术本身也会有它的使用范围。另外,llcracker朋友说的那些技术太专业了我不太懂没法评论。但至少我们大家都看到微点目前是处于并将长期处于行为引擎的初级阶段(哈哈当然中等发达程度肯定不至于要到本世纪中叶),初级阶段就意味着各种各样的问题肯定是不少的。从一个侧面,证明出行为引擎特别是初级阶段的行为引擎,必然会有其局限性。虽然论证方法不一样,但对于行为引擎会存在局限性这点,我和llcracker朋友算是殊途而同归吧。

接下来就很必然了,微点软件同时应用多种技术和辅助方案,以求达到一个较好的综合防止效果。譬如说对于有些朋友提到的用户参与问题,我个人就比较倾向用大型白名单库来解决。一个大型白名单库,可以极大地解放最终用户,可以使得大多数乃至绝大多数常用程序,无须用户干预,即可安全运行和网络放行,同时也可缓解行为引擎监控的压力,提高计算机的整体运行速度。余下的一些少常用程序,可以由用户在微点技术服务部门的指导下,进行相应处理。特别要说一些亦正亦邪的程序(譬如网游外挂),出于对网游著作权公司的尊重,也不可以加入白名单轻易放行,还是向用户报警为佳。由用户自行鉴定,在技服的帮助下处理。

这一段照说字面上绝对实在,可是细细一看,nasdaq版主的李代桃僵之计还更实在。不过划线部分,还是要赞一下,微点这个是做得非常不错的。但这里就引申一个问题,没有一点基础的用户,是否是微点的目标客户群?这方面涉及到的分级问题,我觉得微点应该向麦啡看齐。

3.主辅之争

目前的几种杀毒技术都不完美,组合成产品,便引出了llcracker朋友提出的谁主谁辅问题。

咱们先讨论一下关于全盘扫描和实时监控谁主谁辅的问题,这个问题其实不是技术问题,我认为完全是用户用途用法的问题。

我没有做过抽样统计调查,仅以我个人为例,做一下探讨。
我的基本情况是:比较熟悉计算机技术,有一定的信息安全判别能力,数据量较大(常用的在260G左右)
所以我目前的基本信息安全方案,是以实时监控为主,不愿意浪费时间去做全盘扫描杀毒。当然有时用扫描引擎对我收集的样本作分类鉴别用。
在接触微点之前,特征码型实时监控并不能满足我的安全需求,所以我用黑冰的应用程序控制来提高防范水平。
在安装微点之后,我个人感觉微点的行为引擎比我以前用的那些特征码实时监控带来了突破性的进展,防范能力大幅飙升,呵呵,当然我也自信有能力来处理好微点的报警提示。

以我的个人情况来做总结,实时监控的应用远大于全盘扫描。所以我力挺行为引擎。
当然,每个用户的情况都是不一样的,想必有一些用户是以全盘扫描为主要应用,平时不开实时监控。对于他们来说,当然行为引擎的意义就不大了。

呵呵,说句玩笑,如果以累计运行时间来做决断的话,对于全盘扫描的总累计运行时间来说,实时监控的总累计运行时间必然会有压倒性的优势。哈哈,当然这个算法太玩笑化了,无法作为有效论据的。

市场很大的,如果被一种产品垄断,应该说是一种悲哀,因为哪意味着相当数量的人在被迫使用不太适宜的产品。呵呵,说句题外的,譬如说对于咱们健全人来说,加碘盐是很好的东西,这点要感谢政府的大力扶持。但是很遗憾,这个世界上有一种病叫做甲状腺机能亢进,得这个病的患者是不能吃碘的。面对政府的好意——市场上严厉查禁非加碘盐,他们反倒活得很麻烦。

这个严重同意


4.关于主动防御

最后再来说一下主动防御,主动防御这个词的来源我没考证过。有了解的朋友请多多指教。

从微点的产品名称可以看出,主动防御是修饰微点软件的,好像是定语吧。我认为,主动防御是微点的一句商业口号,从商业宣传角度来说,主动防御四个字,显然比啰里啰唆的解释半天什么行为引擎、什么特征码滞后性的宣传效果要好的多。对于,主动防御四个字能否代表微点软件的神韵和特点呢?这是人家微点公司自己的事儿,咱们没有必要指手画脚。对于微点所针对的,完全被动靠升级特征码库和处置方案库的传统特征码引擎,微点确实可以不依赖升级也能识别很多恶意程序(老问题,我没有能力作出有说服力的量化说明,抱歉了)从这个意义来说,微点使用主动防御这四字,是有一定道理和依据的。

目前的现实是,似乎杀软行业都把主动防御这个词当成一个普遍应用地宣传口号了,说明书上有主动防御四个字,也就代表了该软件有一定的查杀未知道特征码的病毒的能力。具体效果我没有测试过,所以不敢妄加断言。

但我想,按照国内市场宣传的不良惯例,此主动防御非彼主动防御(微点)的概率应该是挺高的。李鬼和李逵的矛盾是永远存在的。

我并不是说只有刘旭可以开发出行为引擎,而别人就肯定都写不出来。现实是,创新性开发真是一个挺麻烦的事情呢,没多少人愿意去为风险投资为风险努力。国内论坛上有人写过一篇杀毒引擎的讨论文章,那文说世界上源头只有五大杀毒引擎。我不敢相信作者所说的数据都是真实有效的,但我领会到的一个精神是引擎是很麻烦的,数量很少很少。国内最大的软件公司,不就是买引擎来用么。

看到这个,我觉得有关微点的技术与噱头的争辩也该终止了,大家还是走回楼主的标准与定义的讨论吧。

nasdaq版主言辞犀利,赞一个!人也够实在,再赞一个!呵呵

作者: cnhakkas     时间: 2008-9-7 12:53
看到第10页,看不下去了。llcracker对技术的分析让我五体投地,calm_cs在大方向的把握上,最起码是我目前拍马难及的。综合两位大侠的分析,令我有豁然开朗的感觉。先下线好好体会一下了。

也希望两位大侠能在平时给予指导。hepanweng@gmail.com
作者: pwj510     时间: 2008-9-9 11:29    标题: 不完全赞同。

一句话,因为你的外挂非法。

它的主动防御目前虽不完善,但是效果是显而易见的,至于主动防御技术是否能真正实现还要看以后软件以及编程技术的发展了。

行业标准的制定是为了规范从产品的设计研发,生产,到销售,服务等一系列流程,以更好的满足各种用户的需求,杀毒软件的标准就是保护用户的信息安全,虽然目前杀毒行业内关于主动防御的标准暂未制定,但就目前业内各种反病毒技术防病毒的效果来看,微点确实处于世界前列,这么说是因为反病毒软件的目的无非就是在“不对用户的设备使用造成不适当的影响”前提下防止恶意程序对用户的信息安全造成威胁和损失,微点占内存很少,对机器运行几乎没有影响,杀毒能力那是不用说了,最重要的是不必频繁更新以及出现各种一般用户不太确定的操作提示, 在这一点上很多杀毒软件根本做不到!

[ Last edited by pwj510 on 2008-9-9 at 11:54 ]
作者: yurong7777777     时间: 2008-9-12 10:15
说得好,要自由言论,这样社会才有进步
作者: jeneson     时间: 2008-9-14 10:52
哎呀,说了那么多我自己都看得好糊

要不这样,自己去下载点内核级的马儿在自己电脑上测试下不就知道了吗?
作者: zhanxiaohai     时间: 2008-9-28 21:15
微点是个专家系统吗
不一般
作者: kimmyyuyu     时间: 2008-10-4 21:18
用了微点一年,起码还没中过毒
以前用瑞星 咔吧  23 个星期就重装,要是杀度软件好,我还会换杀毒软件嘛?
至少再怎么样,微点用了这么久还是没换.
这不是就成了嘛...
作者: pluto_shen     时间: 2008-10-10 14:04
强帖留名,看到现在这楼真不容易。

很早以前安装过微点,出了一些奇怪的问题,只能卸载了。

最近安装了新版本的,感觉很不错。
作者: mjhy61     时间: 2008-10-13 20:54
这个技术含量太高实在看不懂,不过个人感觉微点是在开创一个杀软的新时代,并且从技术的角度想(自己想的,并非专业人士),这个主动防御确实会是下一代杀软发展的方向,因此我还是毫不犹豫的购买了微点,尽管我的正版卡巴因此而失效(还有大半年的使用时间),马上换装了微点,但我感觉还是值得了。卡巴目前尚未解决的与OFFICE的冲突问题都让我头痛不已。希望微点能做的更好一些,再好一些。
作者: kele13     时间: 2008-10-30 09:09
争论的角度似乎不太一致。
感觉还是对防御的手段难界定,其实也是目前面对病毒和木马的困惑。
作者: xyhjxs     时间: 2008-11-6 10:26
一个软件的好与坏可以用他的用户群和增涨的比来看出

谢谢
作者: rt119     时间: 2008-11-7 14:26
唉,真有那么多机会中毒?????????????你CIA还是FBI啊还是五角大楼啊?????????
金山瑞星这些都能混走都有人用,微点就不行了??????
卡巴斯基秒杀国内所有杀软,而我是删了卡巴斯基用的微点,用卡巴的时候没中过招,用微点也没中过招,微点比卡巴占用资源小,很安静很安全,我为什么不用微点?
一句话,谁用谁知道!

[ Last edited by rt119 on 2008-11-7 at 14:28 ]
作者: yurong7777777     时间: 2008-11-7 17:40
很欣喜看到这样的局面,微点很吸引人啊
作者: 碳14     时间: 2008-11-9 12:41


  Quote:
Originally posted by 285166790 at 2006-8-31 16:35:
卡巴斯基互联网安全套装保护您免受已知威胁和未知的新威胁的感染。这由一个专门被开发的组件—主动防御。
由于恶意程序传播的速度比反病毒数据库升级的速度更快,这就导致对主动防御需求的不断增长。基于快速反 ...

确实是个好帖子!!
作者: zoxmes     时间: 2008-11-16 21:25


  Quote:
Originally posted by 285166790 at 2006-8-31 16:07:
非常同意楼主的意见,有些软件的确不是病毒确有可能和病毒有类似的行为,或借鉴了病毒的某些技术,这是很有可能的,不能把这种判断的任务都交给用户吧,要是用户自己都能判断还要杀软干吗,而且这个微点用kv2006的未知病 ...

很有道理啊!支持一下!:P
作者: fjdxp     时间: 2008-11-25 12:15
因工作原因 接触过多种杀毒软件,市面上绝大多数杀毒软件全都是用过,全多用过较长的时间,对于各种杀软的功能也自认 有较深的了解。
      结合以前使用杀软的经历总结出了一条结论:不管用何种杀软目的就是一个,保护自己的数据,面对越来越多的杀软误杀,误报,造成系统的崩溃,你还能相信什么。不要被如此大量的回帖搞得头晕,坚持一条原则:  选杀软  只看结果,  对于不懂技术的  朋友,可以综合身边朋友的杀软使用经历,考虑自己究竟该用哪种。
      用了多年的杀软,面对了对年的安全威胁,现在对于大多数的杀软信心已经越来越小,抛开复杂的技术问题不谈,只从防护结果上看,现在杀软我只用只用两种:  微点   江民   ,这可是我从事 I T 行业 6 年来的经验总结。
作者: liermin1210069     时间: 2008-11-27 10:42
高手过招.长知识啊,真的很好,可微点给人的印象老是辅助杀软。
作者: 燕赵之士     时间: 2008-12-7 07:04
想知道防的住防不住,你按你的思路做一个程序试试就知道了,你这种“抬杠涨学问”的手段,呵呵!
作者: a5520005     时间: 2008-12-16 12:42    标题: 楼主冷静

缺陷存在是必然的,楼主能在世界上找到什么完美的东西么,正是在不断地病毒与反病毒较量中,技术才有了进步提高,但是,微点就现在来说还是能防住很多的病毒的是不,那同样的一个病毒不被杀也是一个不可完成的任务阿,争论这个有意义么,楼主为什么不换个口气呢,写得出永远不被杀的病毒么,如果写不出,凭什么觉得主动防御计就应该防住一切,搞笑~~
作者: cass     时间: 2008-12-20 17:15
主动防御很有争议呀
作者: gjy550     时间: 2008-12-22 00:29
好帖!
从06年6月开始使用微点:测试版、预升级版,到现在家庭版。以前也用过多种杀毒软件,还是微点比较适合自己!希望大家的讨论能够给微点更多的启发,希望微点的路越走越宽,微点的客户愈来愈多。
作者: mimg11     时间: 2009-1-7 18:58
我只知道现在电脑N面危机.....今天刚杀了毒,1分钟后进系统就自动注销了,F盘不让访问了....这个网络世界真恐怖........
作者: mimg11     时间: 2009-1-7 19:00
最后我发现用两块硬盘装上同样的系统同样的软件,哪个坏了换哪个上去就无敌了~~~嘿嘿
作者: gownsmans     时间: 2009-1-9 17:19
两年的时间,主动防御已逐渐让大家认识,讨论的问题已转向“主动防防御”和“云安全”,哪个是反病毒未来的发展趋势。
作者: lwh2240     时间: 2009-1-9 23:03
太长了,要详细看看!
作者: 决策者之大气     时间: 2009-1-10 19:39
自从用了微点,我就不知啥时候关注它,我只想去推广就OK了,跟朋友都说,用微点,至于理论的东西让别人去研究,让我来用吧
作者: sgsrun     时间: 2009-1-12 14:56
我看好主动防御,hips是很好的选择,但这个对能力有一定要求,不适合普通用户使用。主动防御,技术确实不错,结合hips,但是微点的主动防御还有待继续完善,对高级用户,普通用户,给出不同的提示,让普通用户也能轻易的判断。我现在还不向朋友推荐微点,因为还是很不完善,误杀多了点。。。。
作者: 小白蔷     时间: 2009-1-12 23:51    标题: 新人

呵呵  不错看了各位高手的贴  受益匪浅哈  呵呵
作者: hansongj     时间: 2009-1-13 21:21
阅读
作者: hansongj     时间: 2009-1-13 21:21
阅读
作者: 淡淡的呼吸     时间: 2009-1-14 00:43
#10  

卡巴斯基互联网安全套装保护您免受已知威胁和未知的新威胁的感染。这由一个专门被开发的组件—主动防御。
由于恶意程序传播的速度比反病毒数据库升级的速度更快,这就导致对主动防御需求的不断增长。基于快速反应技术的反病毒保护要求一个新威胁至少感染一台计算机,并且要求分析恶意代码并添加到安全威胁特征库并更新用户计算机中的反病毒数据库的时间。到那时,新威胁可能导致更大的破坏。

由卡巴斯基互联网安全套装主动防御提供的预防技术可以避免失去在新威胁破坏您计算机之前的空白时间并消除新威胁。如何去实现它?与快速反应技术相比,分析代码,预防技术通过由某种应用程序或进程执行的行为序列来认可一个在您计算机中的新威胁。程序安装包含确定危险活动级别的一套标准。如果应用程序的活动类似于危险对象活动的特征,那么这种应用程序是被定义为危险对象,并且处理的操作会被应用到处理那种类型的规则中。一个危险活动对象的例子包括:
改变文件系统。
模块嵌入到其他进程中。
隐藏进程。
修改微软Windows系统注册表键值。
主动防御跟踪和拦截所有危险操作。
主动防御跟踪所有在微软办公应用程序中执行的VBA宏指令。程序使用安全威胁特征库来分析宏指令。
在实际运行过程中,主动防御使用已定义好的包含程序和创建的排除规则组。规则是定义一个活动或另一个活动并被程序执行的威胁程度的标准。
各种规则提供应用程序运行并监控运行在计算机上的系统注册表、宏指令和进程的改变。您可以通过谨慎地增加、删除或编辑规则来修改规则列表。规则可以阻拦程序运行或者授予程序执行权限。
检测主动防御算法:
计算机启动后,主动防御立刻分析以下要素:
运行在计算机上的每个程序的所有行为。主动防御有规律地记录程序运行的历史记录,并把它们与危险行为特征序列(由来自程序和安全威胁特征库更新的危险行为类型数据库)进行对比。
由VBA 宏指令执行的每个行为。程序用包含在自身中的危险行为列表来扫描它们以排除威胁。
程序扫描已经安装到您计算机中的所有程序的模块,这有助于避免应用程序模块版本被恶意代码替换并避免恶意程序打开这些程序。
每个试图修改系统注册表的行为(删除或者添加系统注册表键值,并输入可疑的键值等等)。
分析时会使用主动防御规则和被指定的排除对象。
分析完成之后,您可以执行以下的操作行为:
程序不会拦截满足主动防御规则的程序行为。
作者: longthink100     时间: 2009-1-15 20:29
很好的一个技术贴,可惜太长了,还没看完。明天继续看。前三页来看,技术争论笔比较多。相信现在已经完善多了。希望微点越来越好!
作者: hangeng     时间: 2009-1-21 22:06
我发表一下我的看法啊!

现在瑞星金山卡巴等等杀毒软件都在比较谁启动的早!

请问如果CIH感染了一台机器!

请问微点能做什么?
所以我希望  微点可在bioss(我忘了英语)启动时,一同启动,那就牛了!
还有是如果一个病毒如果过了微点,并且它关闭了上网功能,那么请问微点,我该怎么办?

ps:瑞星有个金山毒霸的急救箱,我用过,功能虽然简陋,可是它可以帮助我立即上网。请问微点是否可以也出一个!
作者: johnchu1984     时间: 2009-1-25 14:02
看的眼花了啊
作者: pandazr     时间: 2009-1-29 19:49
学习了
作者: 405016     时间: 2009-1-29 21:16
楼主是不是要微点象电视机和DVD一样,要外国人来制定标准?悲哀!中国人自信会做得最好
作者: jaben     时间: 2009-2-7 15:31
“微点专家”有点水
作者: hu1987     时间: 2009-2-9 16:11


  Quote:
Originally posted by hangeng at 2009-1-21 22:06:
我发表一下我的看法啊!

现在瑞星金山卡巴等等杀毒软件都在比较谁启动的早!

请问如果CIH感染了一台机器!

请问微点能做什么?
所以我希望  微点可在bioss(我忘了英语)启动时,一同启动,那就牛了!
...

CIH老事情了。。刘总在几年前就搞定的。。

和bios同时启动??legend回复一下。技术问题俺不太懂
作者: iamxmz     时间: 2009-2-23 09:48


  Quote:
Originally posted by 八闽汀江子 at 2006-12-31 22:28:
我是菜牛,N年前就想,流行的杀软要是这样不断升级病毒库下去的话,20年后其体积应该超过操作系统了吧!

现在终于有人发明出解决方案来了!!!而且是国人!!!

送上个晚来的祝贺!!! ...

这一点你可以放心.你可以去看一下linux内核源代码增长曲线.

而且这还只是内核代码,不包含第3方软件.
作者: lgq6311044     时间: 2009-2-26 12:09
不可能有完美的软件,只有更加的接近完美~而且外挂这种东西本来就是有争议的软件,微点报毒是很正常的事,请不要一片面的认识而全盘否定微点的能力!
作者: lonber     时间: 2009-2-27 13:29
天啊,我看长篇小说了。眼睛好痛
作者: 20090218     时间: 2009-2-28 17:15
讨论的很热闹,凑凑热闹!
作者: wwwww     时间: 2009-3-1 19:41
论坛字体太小,页面背景色虽然 很适合,但是总体感觉很死板!
作者: zgtp     时间: 2009-3-3 12:45
学习了---祝发展壮大
作者: lovejava     时间: 2009-3-4 17:12
楼主说的倒是也有道理
作者: 196422577     时间: 2009-3-8 02:44    标题: 暴寒,试用国产大牌江民以后

今日无事,突然从ESS用到江民,下载,安装----卸载。我总是在重复这样的动作。(我网龄只有3年,但是经验增加速度算7年,自夸:)

正题:突然注意到江民谈主动防御,沙盒。意识到最近主动很火,因为我长期使用ESS,发现ESS的主动防御也并不完美,而江民,用了才后悔,卸载,重启,再还原系统。。。。现在用趋势科技(估计过不了2天又想换)虽然我没用微点,但是我精神上支持你(一会估计我会改成行动支持),实测大名鼎鼎ESS的主动防御:1月份的病毒库,扫一台半年没用的机子,无毒(记忆非常深刻,绝对无毒),2月底,更新病毒库后,再次扫系统盘,提示:警告,发现病毒。

结论:没有最好,只有更好。(完美是相对的,地球人都知道)
作者: zhexuezhuzi     时间: 2009-3-16 22:23
不过,一个软件对系统监控到极点,这样实际上是充当了系统的“上帝”,给人一种不好的感觉,似乎很那个,有点像不良软件了……嘿嘿,只是说说而已
作者: yicheng     时间: 2009-3-24 17:06
很早很早以前我用过瑞星,当时相当不错,江民出KV300时就觉得瑞星不怎么样,之后换过卡巴\诺顿\之后是金山\后NOD\再装KV2007\2008\2009\.最近都有一个困惑,给很多朋友做维护时很多时候都是我把病毒先按住了,杀软才能重睡梦中醒来,然后才是命令它去干完剩下的拉圾
今天是装微点的第三天,今天花了一早上都还没看完这一贴高楼。
真是高手过招,看不着边际,不过我觉得精彩,有看头,从来没这么认真的看过贴子哈。。
不过我希望微点的主动性防御能名副其实,不像其它同行一样牌子老高,结果用得我火冒金光。
   希望微点能在主动性防御上取得质的飞跃,哪时我们就是微点的忠实用户
作者: palmerlee     时间: 2009-3-25 14:51
加入大量白名单就行。毕竟恶意软件数量远远大于正常软件
作者: 千里走单骑     时间: 2009-4-18 11:48
呵呵!以前人们认为地球不是圆的!

现在我想没人不知道地球是圆的!

所以在我们的世界还有许多未知事物,我相信微点是现在最好的!就够了,少点八股文章,好好做人!谢谢!
作者: 干虾米哟     时间: 2009-4-26 19:58
那么这些数据在执行的时候还是要有病毒的行为,只能够说前面的动作是正常的行为微点不处理,后面的动作是病毒的行为微点一样要拦截并处理的;
----------------------------------------------------------------------------------------------------------------只要它有权限,一旦开动起来就没有拦截的可能。
作者: f8312519     时间: 2009-4-27 02:33
看了几个小时还只看了一半.很佩服楼主的精神和技术.我明天要上班我都看到了2:30了
实在顶不住了.明天继续接着看,先睡了.不过我还是想问一下.这是2006年的贴子.现在也已经3年了.不知道现在的微点在技术上面有没有改变.有没有解决当年的问题!!
作者: BLAZING     时间: 2009-4-28 20:42
我相信是可以完成的,毕竟人家为此奔波了20年
主动防御的奇迹和电脑的奇迹是一样的
作者: RV2222     时间: 2009-4-29 20:56
这个帖子好长啊~真是藏龙卧虎之地啊。
我也来说两句。
我选择微点的原因。
因为别的杀毒软件不能满足我的安全需要。
我个人是玩网游的没有一款安全的软件看门护院,虚拟世界打来的装备都是别人的。我可不想再给别人做嫁妆了。
2005年传奇账号被盗的教训还让我记忆由新。
前面几位网友谈到了外挂的问题。
我个人认为这是一个极度危险的软件。
也是木马盗号滋生的温床。
为什么要让我们的杀软支持一个“山寨软件”呢?
作者: 雄视王者     时间: 2009-5-4 23:13
上帝。都09年中页了。太恐怖。这帖子。
作者: zyf364     时间: 2009-5-5 10:15
标记一下,学的更多。:D
作者: mekou     时间: 2009-5-5 20:32    标题: 我也想搞杀毒软件

我不是搞软件的,但我特别爱玩电脑,很羡慕你们对电脑了解的这么透彻,我也想搞软件,可惜我现在什么都不会,但我正在努力的学,看你们讨论的这么有意思,真想自己也为微点尽一份力量,好让微点更加完善一点。我还是相信微点,也推荐身边比我菜鸟的人用微点。就像linux一样尽管现在用的人不多但我相信优秀的东西始终会被大家接受的。我是因为看到这个贴才注册的,希望微点人再接再厉,我相信总有一天我会加入你们的。不怕有缺陷,只要天有进步就好。
作者: 112112     时间: 2009-5-8 21:18
那啥 我是个小菜鸟 但是 楼主 你敢把现在的微点和其他有主防的杀毒软件备份下 留着不升级过两年 杀下今后2年的病毒试试看? 比较比较那种才是真正的主防?
作者: Lc_Yunai     时间: 2009-5-9 19:56
这个贴子是三年前发的。
三年来微点有什么程序上的变化我不清楚,
但是,论坛上面人们对微点的赞赏是有目共睹的。
我相信微点会越来越好!
作者: baqianlilu     时间: 2009-5-18 14:01
微点已经相当的好,我相信她会越来越好。百分之百地完成当然不可能,但会越来越接近完善。
作者: tjj1995     时间: 2009-5-18 18:10
主动防御可能的确是个不可完成的任务,及时以后有人工智能杀毒软件,病毒可能也也有人工智能,这是需要我们不断探索的。
作者: wangtuo     时间: 2009-5-20 19:54
向高手致敬,楼主的意见需要微点方重视,看得很辛苦!
作者: lgh269     时间: 2009-5-22 10:20
首先看完这个觉得这才是有意义的贴子,
讲出了不同的观点,并拿出技术性分析

作为一个普通的软件开发员,个人认为不错
作者: wujiang6518     时间: 2009-5-27 20:34
记得第一次看这个贴子的时候还是06年底的时候(那时还没有在论坛注册呢,所以当时也没有回复),没想到今天又看了一遍,虽然有点累,但是很欣慰,看到了微点的进步成长。
作者: zjcxyz     时间: 2009-6-24 11:08
强人,,但是我不懂这些技术
作者: aceivy     时间: 2009-6-24 14:50
看不懂说什么
作者: chinabigstar     时间: 2009-6-24 16:54
都是高人,,,,
作者: china00078795     时间: 2009-6-25 22:12
这个帖子的跨度很长,差不多三年了。

作为微点的忠诚用户,三年中,见证了微点的成长。足以欣慰了。

微点是现阶段最好的防毒软件,我个人认为。

[ Last edited by china00078795 on 2009-6-25 at 22:14 ]
作者: houpbo     时间: 2009-6-26 17:43    标题: 楼主,你能买到纯度为100%的黄金吗??

楼主是典型的完美主义者,楼主在寻找绝对的安全,对不起!世界上没有这个东西,一个好的东西,只要能保证绝大多数情况下是对的,我想我们就应该满足了。如题,钱不是问题,你能买到纯度为100%的黄金吗??
作者: scpig     时间: 2009-6-30 14:51
好长的帖子,用了两个半天才看完,受益匪浅啊~~
虽然高手们可能早都不看了,但还是想说说自己的想法。
    楼主说对于未知病毒在driver层的一些操作微点会放过,这类的情况证明了主动防御的缺陷,我想说如果一个程序做的操作没有对系统造成破坏,那就不应该视这个程序为要杀掉的病毒木马。如果说这个程序是在为后边其他病毒做铺路的动作,那么在后续的病毒在实施破坏的时候,微点能识别并阻止那个病毒就行了。至于铺路的那个程序,根据楼主的测试,微点好像杀不掉,这个应该算是个缺陷,但是考虑到这属于未知病毒,只要能阻止其破坏系统就行了,在以后的日子里会提取到该病毒和那个铺路程序的特征码,到时候只要一比对就可以直接杀掉了。
   就好像甲给了乙买了一把刀(这时候警察不能说甲或者乙是犯罪嫌疑人),如果乙拿着这把刀杀人了,警察首先要阻止乙的行为,再判断甲买到给乙的目的,如果甲的买到给乙目的就是让乙拿到杀人,那么甲就是从犯,也要逮起来的。
    自己感觉微点主动防御和特征码结合的工作过程是这样的
1、一个进程被创建,微点进行监控,做特征码的对比,如果是病毒直接干掉,如果没问题继续监控其行为。
2、如果被监控进程做了可能危害系统的动作,如果符合病毒木马的操作,提示未知病毒木马,建议用户删除。
3、干掉未知病毒木马后,提取特征码,补充到库里,下次再有新进程的时候对比,如果符合直接干掉病毒进程。
作者: hehceng     时间: 2009-7-4 00:47    标题: 标题: 主动防御不可完成的任务(-)

对我而言杀10000个病毒不如防住一个盗号木马来得实在 能不被盗号我就谢天谢地了 只要微点做到这一点 不想发财都难(全世界的玩家都会用) 相应的如果你防不住那你的微点产品就是一个垃圾
作者: 河之男     时间: 2009-7-5 15:11
看这个帖子没耐心和体力是不行的 但是很值得一看 虽然有时候跟看天书似的 希望微点不要让大家失望
作者: 老麻蛇     时间: 2009-7-7 02:53
这贴子 我前学期就看了些 内容被你们说得复杂了 且有些技术 我都不懂 哎。。 微点一定要挺过去 要坚信我们的主动防御信念
作者: wuzhewujian     时间: 2009-7-7 17:47
有道理,希望大家都看看
作者: lsj301     时间: 2009-7-8 20:15
还是那句老广告词:没有最好,只有更好!
作者: lj70911569     时间: 2009-7-14 20:16
我用过很多杀毒软件,我觉得最不好的是瑞星,我装上我的机器就卡机而且文件丢失。反映慢。首先我们中国人,应该去支持国产。国产的有问题,但 是我们可以指出。技术太深我们不懂,但是用得最好是谁谁就是行业中的NO1,体验最主要,费话少说,用过就知道。
作者: moersliu     时间: 2009-7-15 10:31
三年的时间已经过去啦,看到大家这么支持咱们自己的产品,说真的,我很受感动,我们现在缺乏的就是这种精神啊!!
我是一直坚持看完了这些,希望大家再接再厉,为我们自己的产品加油,为祖国的强盛努力,为中华民族的崛起而不懈奋斗!!!
希望微点越来越好!!!
作者: zjs80117     时间: 2009-7-20 20:48
微点用了两年了,以前从来没有哪个杀毒软件用这么长(长的不到半年,短的就几天)。这个帖子我在一年半之前就看了、回复了。不管怎么说,用微点我还一直就没怎么中过毒,只是偶尔会出现一些正常的软件会装不上。
总之,用微点,我放心!
作者: tiane12     时间: 2009-7-24 20:20
if语句就够了...
作者: chinachr     时间: 2009-8-11 20:05
这个帖是长知识的……
我是来充电的……
作者: chinachr     时间: 2009-8-11 20:08
突然有点想法:不如从操作系统抓起……
想想我们中国人,有完不成的事情吗?聚合中国IT届的力量,打造出安全的操作系统又有何难?只是肯不肯一起做的问题了。

{本人纯属在扯淡,请无视}
作者: chinachr     时间: 2009-8-11 20:21
说实话,微点的主动防御比起其他的那些杀软,我还是比较赞赏的。
当初是奔着刘旭来安装微点的,现在是奔着刘旭和微点来论坛注册的。
保障了安全,就算偶尔错杀也可以理解。就如之前大家所说的,达到完美不太可能。
总之,支持微点就是了。
作者: lonber     时间: 2009-8-13 00:48
楼主,我首先要感谢你啊。第一次看这贴子的时候是在09年1月份,当时感觉微点是做技术的而不是某些山寨东东,也是因为这篇贴子让我申请成为微点的预升级用户,其实很想帮微点做点贡献。但自己不是计算机专业的,对专业知识一窍不通。也没办法从专业层面上来研究微点,来找出微点的更多的不足,其实目的不是为了打击微点,相反是想让微点做得更好。
          而到了今天,过去大半年了,,,这贴子依然活妖,真是让我感动啊。。。微点人啊,你们确实也让我们感动了。。。对反贴的关注胜过好评贴,这是一种难能可贵的精神啊。而且在这贴子里技术领域的东西实在说得太多。。。,虽然我很多都看不懂。。但是我知道这里是相当圣洁的技术殿堂。

所以今天我再来顶贴,这贴一定是微点跨时最长,技术含量最高的论坛贴了。:D

我支持微点。不懂专业知识的纯支持了。:lol:
今天留名,以后还会来留名的。。
作者: xixi     时间: 2009-8-15 00:13
别  说了  杀软关键看效果  能不能被病毒干掉  能不能杀毒  才是硬指标 别的都是虚的   我用了好多杀软  还是决的微点好  哈哈
作者: chinadyj     时间: 2009-8-17 15:11
主动防御这个概念很久就有提出了,但看了这么久还是有些不明白。这其实是个很简单的道理,但为什么别人就不能做,唯独微点才能做到。但是微点的确有他过人的地方,好像我用瑞星的所谓主动防御就好像没有什么效果。但是好像卡巴斯基也有主动防御,说得很清楚,好像和微点的差不多,有什么不同
作者: HomeSGerMine     时间: 2009-8-18 14:18
理论和现实是有一定差距的
作者: lsj301     时间: 2009-8-23 12:13


  Quote:
Originally posted by chinadyj at 2009-8-17 15:11:
主动防御这个概念很久就有提出了,但看了这么久还是有些不明白。这其实是个很简单的道理,但为什么别人就不能做,唯独微点才能做到。但是微点的确有他过人的地方,好像我用瑞星的所谓主动防御就好像没有什么效果。 ...

并不是每一个使用电脑的人都有一定的基础,让菜鸟省心的软件才是好的软件,微点就是这样的软件。
作者: 征服月球     时间: 2009-8-23 13:26
果真是好贴,长知识了
作者: 征服月球     时间: 2009-8-23 13:34
花了一上午的时间看了这个帖子,我决定马上安装微点
作者: z413733894     时间: 2009-8-26 10:02
那为什么微点就做到了?
作者: 82baoer     时间: 2009-8-31 08:22
貌似这个帖子很久没人顶了  这也是我唯一看完的最长的一个了
本人实属菜鸟,安装了微点也没多长时间,按说没什么话语权,但是看帖不回总觉得不好,以下纯属愚见,高手可无视:
我觉得:主动防御这个词确切地说不该用在杀毒软件上,而是应该用在防火墙上,如果你说微点本身带有防火墙,那我就无话可说了 。

打个比方,美国理论上可以建立一个安全防护圈(防火墙)来对美国本土进行保护,免受恐怖袭击,但是打造这样一个无懈可击的防护圈的难度可想而知。911之后,美国提出“先发制人”(主动防御)策略,防患于未然,说伊拉克有大规模杀伤性武器(病毒),但是到最后没找到(可能的误报),你说尴尬不尴尬。如果你是总统,你敢把所有的部队全部拉出去“先发制人”,国内一个警察都不留吗
个人建议:微点+杀软,在现阶段还是最好的选择

真心希望微点可以做到足够强大,让我把其他杀软可以卸载掉
作者: f8312519     时间: 2009-9-3 12:12
今天又看了一遍.这贴真是太精华了.恩.学习很多.以后有空就来看就来顶.这个贴子永远会留在微点论坛
永远跟着微点成长.
作者: 狙击手_咖啡     时间: 2009-9-27 04:49
对啊 技术论坛就是技术 知道的教大家 不知道的俺虚心学习,不应该有2楼那样的什么技术语言也将不出来 就知道坐着骂娘 呵呵
作者: 狙击手_咖啡     时间: 2009-9-27 04:50
精华帖 我咖啡学习了
作者: 狙击手_咖啡     时间: 2009-9-27 05:43    标题: 说说



  Quote:
Originally posted by playworm at 2006-9-1 08:58:
说半天就是看哪个取得系统最核心的控制权(优先权),看哪个能在最底层进行基本的I/O操作,嗯,安全系统在发展,病毒也在发展,这是个趋势。我有个想法,能不能控制最低层的操作为不允许,必须通过中间层呢?比 ...

首先,我想问llcracker兄弟,您所说的主动防御标准具体是什么?您有什么好的具体的标准吗?如果没有,那么双方结合官方赶紧制定出一个主动防御的标准,没规矩不成方圆!太多时间花费在讨论谁对谁错没意义!赶紧制定标准吧一起!


其次:综合你们双方看法 :觉得微点加上一款效果好的辅助杀软是目前【主动防御标准没出来,还不够完善之前】为止最好的方法了,起码微点比传统杀毒有效 再加上辅助杀软偶尔能杀掉带驱动的病毒,我感觉比单奔强多了!不知道我说错了没?
作者: xiaotuzi     时间: 2009-9-27 10:33
我是微点但奔族的!顶了!
作者: 星光HEAVEN     时间: 2009-9-27 16:49
学习学习,强帖
作者: netsaga     时间: 2009-10-5 12:54
标准?当年杀毒软件 提取特征码的标准是如何形成的??
标准.只要我们做的足够标准,满足我们的需要 我们就成为了标准
作者: 坐照     时间: 2009-10-23 11:13


  Quote:
Originally posted by llcracker at 2006-8-31 15:25:
首先我先说明一下我自己的立场,我认为主动防御是一项不可完成的任务。单独使用主动防御无法真正达到“主动防御”概念所描述的那样的一个状态。为什么呢?简单说是因为其主动防御标准含糊不清楚,没得具体的行业标 ...

关于LX所说的“标准”问题:

标准分为:企业标准 行业标准 国家标准 国际标准

这个分类层次是由低到高的。

只要你的东西够好,企业标准可以成为行业标准,行业标准可以成为国家标准。

这不乏先例。

LX凭什么认为微点的主防标准不可以成为行业标准,乃至更高层次的标准呢?

[ Last edited by 坐照 on 2009-10-23 at 11:19 ]
作者: 花开花落飘     时间: 2009-10-25 20:06
不管怎么样  都支持微点
加油  加油



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn