avisen
新手上路
积分 1
发帖 1
注册 2007-1-8
|
#151
终于看完帖子了,都半夜了,眼睛都看花了。
第一次看到这么技术性的帖子,真是享受啊!
我不是很懂技术,但我有兴趣,现在学习中,以后努力了,呵呵。
| |
※ ※ ※ 本文纯属【avisen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-1-8 01:13 |
|
crosen
新手上路
积分 6
发帖 6
注册 2006-12-31
|
#152
站在用户的立场上来说.
特征码虽然反应滞后,但是在病毒库里的东西基本可以保证查杀.至于那些新病毒,新变种,我会这么倒霉第一个就感染上? 短时间内病毒库就更新了.
主动防御现在想来就是一堆的if,then语句,可以看作是另一种特征码.假如主动防御大行其道了,写病毒的就可以考虑如何用貌似安全的行为骗过杀毒软件.如果成功了,杀毒软件就要更新其判断语句,这不也是升级么?再者,对于一些不好判断倒底是否安全的行为,都要交给用户解决么?
说道driver级病毒的拦截,对于未知的病毒,我认为上两者都很难拦住,对于已知的,还是特征码好用一点.如果中了,dos下搞搞或ghost系统就行了.而且根据我的经验,在不乱用电脑的情况下,装一个强悍点的杀软.卡巴,nod什么的.因为中毒引起的系统重装和因为其他系统问题引起的重装相比要少的多多.
另外我到是看好主动防御对流氓软件的拦截.
在说一点微点的程序功能挺强挺全(模块分析,网络检测什么的),作系统的手动检查挺好.
还有坛子里有的人的话会有点误导. 只要你出手了,就能抓住你. 这是主动防御的目标而已啊,现在说这话,还不能保证吧.
[ Last edited by crosen on 2007-1-9 at 16:37 ]
| |
※ ※ ※ 本文纯属【crosen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-1-9 16:18 |
|
案发现场
新手上路
积分 14
发帖 14
注册 2007-1-8
来自 中南海
|
#153
第一次看到这么技术性的帖子。我是慕名而来啊。果然不让人失望啊。好爽。可惜偶是菜鸟一个。说不出什么技术性的话。还是祝微点能早日进入市场。
| |
※ ※ ※ 本文纯属【案发现场】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-1-11 14:07 |
|
美好生活
新手上路
积分 1
发帖 1
注册 2007-1-11
来自 北京
|
#154
我想只要微点做的好 做到第一 那以后主动防御的标准就时微点主动防御的标准
| |
※ ※ ※ 本文纯属【美好生活】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-1-11 16:49 |
|
青豆
高级用户
超级发动机
积分 523
发帖 489
注册 2006-9-28
来自 汹涌澎湃浮沉混沌湍流
|
#155
特征值不可完成的任务:病毒库的滞后
虚拟机不可完成的任务:简化(残缺)的模拟环境
主动防御不可完成的任务:行为分析带来的误报
只有多种技术的融合才能进行良好的防御,才能提高安全性能。
PS:据我所知,神舟飞船至少拥有三套完整的独立的返回系统,也就是说即使坏掉两个,飞船也能安全返回,这也是我国为什么能对外宣布“在飞船运行的任何一段时间如果飞船出现故障,我们都能安全回收”的原因。
| |
※ ※ ※ 本文纯属【青豆】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-1-12 17:05 |
|
coolwaist
新手上路
积分 13
发帖 13
注册 2007-1-12
来自 湖南长沙
|
#156 一个非专业读者的读后感
首先申明,我不是专业人士,中学读理科,本科读工科(信息工程),硕士读社会科学,所以我的发言可能会跟这个帖子的气氛不相融合,但促使我终于还是“说几句”的原因有几点:
一,我对微点的关注以及寄予的热切的愿望,我衷心希望微点能做强做大,以期国产软件(不特指杀软)能在世界上有举足轻重的地位。
二,顶上这片帖子,以期用户(读者)能更清楚的了解微点,客观准确的认识微点。
一个字一个字的阅读了整篇帖子,用其他网友的话说就是:“看高手过招,过隐!”
作为用户,我非常支持llcracker的观点,并且敬佩他对技术的执拙,优美的文字以及精湛的逻辑,同时也对nasdaq, calm_cs兄表示致敬,尽管我个人认为你们在这篇帖子里的文字(有意无意)脱离讨论的范畴。
我个人的观点是:
一,llcracker在这里发这篇帖子比较及时,我也比较支持他的观点,从用户的角度出发,提醒微点存在的问题,对于用户和微点,都是一种双赢的作为。
二,我不赞同所谓的“表扬公开批评私下”的说法,llcracker这篇帖子是完全可以放到台面上来探讨的,如果微点不能接受,那么问题不仅仅是微点没有接受llcracker的提醒这么简单……让人欣慰的是,微点给这篇帖子加了精,这才是现代企业应该具有的精神和形象。
三,微点管理层必须考虑llcracker的建议,同时不能放弃对“主动防御”的研究,这才是微点的创新之处和卖点。
四,即使是市场手段,盈销策略,技术开发,都必须以用户为出发点和归宿点,不要以为“一般用户”就不懂你到底能杀多少毒怎么杀毒,“一般用户”不要知道那么多,他们(我们)只要相信感觉,感觉你不行,我们就换杀软的品种。信息公开和诚实守信是基本准则,特别是今天的中国企业,必须树立这种理念,才有发展的希望。告诉用户你能做什么不能做什么并且你们一直在努力,获取用户的信任和宽容,我想才是盈销的关键,这也是企业应该具有的社会责任感。
五,我们并不怕有弱点,名不副实才最可怕。
六,我个人决定使用微点,并会关注微点的成长,帮助你们测试。
七,我用微点的原因并不是我确信微点的对于病毒的力量,而是对国产软件的支持和希望,也是对微点现状的支持,我能出一点微薄之力并从中受益,很荣幸!
| |
※ ※ ※ 本文纯属【coolwaist】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-1-13 15:13 |
|
国伟
注册用户
积分 60
发帖 60
注册 2007-1-13
|
#157
第一次有强烈的买正版的感觉!!
微点要是上市了,一定支持!!
千万别倒下啦!
| |
※ ※ ※ 本文纯属【国伟】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-1-13 21:45 |
|
hnxyy
新手上路
积分 1
发帖 1
注册 2007-2-6
|
#158
支持微点!支持国产软件!
| |
※ ※ ※ 本文纯属【hnxyy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-6 15:29 |
|
fzp070
新手上路
积分 21
发帖 21
注册 2007-2-7
|
#159
用了一晚的时间把这个贴给看完,看了这么多,从中我也学到了很多主动防御等杀毒方面的知识,
在此感谢lcracker nasdaq calm_cst和其中认真回贴的朋友.这个贴主要讨论一个意思:
现阶段微点等主动防御存在遇到驱动级甚至更低层硬件级的病毒时,
无法在病毒发作之前定义为病毒或恶意行为
(因为其行为不明确,一般是属于正常的行为,如lcracker所举的iexplorer.com加载aood.sys例子),
和发作后无法删除和恢复系统的缺陷
(病毒发作后已是驱动级别等跟微点一样的级别了).
钟对以上的问题lcracker说要使用特征值扫描来清除病毒,但这样就必然要有此病毒的特征值,病毒就一定要先发
作并感染一些用户,才能影起杀毒公司的注意和分析提出特征值再升级到防病毒产品中,
这样对少数用户来说在病毒库升级前就不能起到事前防住的目的了.
另:看lcracker例子说的iexplorer.com绕过了微点成功加载aood.sys例子,
但在后面根据它的后续行为还是判断出它是病毒了,但无法终止此进程.
这样未知的驱动级的病毒就无法在它已加载的情况下删除掉
(看前面的回贴所说过驱动级的东西不能在加载后Unload,必需要重启才行),
针对此种病毒微点能否想出一个很好的解决方法,
前面也说过当无法判断为正常行为可以在虚拟机中运行就不会有这个问题---微点可以参考下
另可以参考下151楼说的方法
对于driver级的病毒,微点是否可以采用下列方法清除?如上例所说:
微点根据iexplorer.com释放aood.sys的行为及其后续行为,判断出该程序为病毒后,不急着杀掉该病毒
(以免死机和无法删除因为已加载的驱动层无法Unload),先将该程序加入自身病毒特征库(黑名单),
并预备在重启后iexplorer.com运行前即予以拦截,然后再尝试实时清除该病毒
,如成功则意味杀毒成功,如失败则在重启后根据更新后的黑名单在病毒加载前予以拦截。
只要微点能做到重启后拦截成功,是否就意味着“主动防御”有效呢?
针对以上151楼胖胖牛提到的方法理论上对付一般病毒应该是可行的,但如以前我碰到过的个别情况:一病毒在一中毒发作后就重启并不能再启动系统了,这种问题怎么来处理.还有通过上面这个方法处理我觉得还不够,还应该让微点具备更强大的功能,1事前预防2发作时处理3事后系统修复(虽然事后病毒清除了但它造成的一些没有危害的如创建无用垃圾文件和注册表修改,某些程序损坏,系统文件丢失,程序图标及文件打开方式更改DLL文件关联破坏等情况)
不管怎样,祝微点越做越好,不断改进,我们永远支持你
| |
※ ※ ※ 本文纯属【fzp070】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-7 07:04 |
|
stone_strong
新手上路
积分 3
发帖 3
注册 2007-2-7
|
#160 llcrack的错误
llcrack的问题其实很简单,他想说的是主动防御没有一个事实上的标准,也就是大家都认可的标准,就像法律一样的条条框框,然后用这个框框来判定一个软件是不是合法的软件。这样就不会存在误报了,因为正常的软件都遵守这个框框,这是他一再强调的一个要点,可是我要提醒的是,写软件的是人,即使有这个框框也同样的有误报,因为总有人不太想遵守规则,同样的病毒也会在遵守规则的情况下发作!否则还怎么算病毒?微点的主动防御其实就是一个通用的发现、解决病毒的方法的自动化,过去,都是由人工来发现病毒,然后找到特征值,然后升级病毒库,才能查杀病毒,现在,微点把这个人工过程自动化了,完全由软件来实现了,这样的好处是相当于给每个装微点的机器配备了一个反病毒专家,他不停的在发现病毒、解决病毒,完全在本地机器上解决了,不用你象原来那样上报病毒到杀毒软件公司,然后由人工找特征值,升级杀毒软件了,微点的行为判断方法是一套综合的方法,或者说是人工发现病毒方法的程序抽象实现。也就是说和人工发现、判断病毒的方法相同!通俗一点说,换成人也是这个判读方法,明白了吗?虽然你知道的函数不少,但是,你的脑子的开阔度不是很大,所以你也顶多就是一个死钻牛角的人。不要被自己所掌握的那点知识所左右,而失去了自己!或者说找不着北了!卡巴等软件在主动防御方面还是稍微差点,主要是在综合判断上他还没综合起来,也就是还没有完全把人工过程抽象化,所以他总是不停的跳出窗口告诉你有文件发生这个动作,那个动作,然后,问你怎么做,让你选择是同意还是不同意,他自己还没有达到完全抽象的水平,当然,不是说他技术上不行,而是可能也有商业利益的问题在里面!
| |
※ ※ ※ 本文纯属【stone_strong】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-7 21:57 |
|
