微点交流论坛 - 主动防御 - 国产杀毒软件缺的是什么？不是主动防御这个概念，而是强大而适用的虚拟机技术！

微点交流论坛 » 主动防御 » 国产杀毒软件缺的是什么？不是主动防御这个概念，而是强大而适用的虚拟机技术！

3/3

calm_cs
新手上路

积分 44
发帖 44
注册 2006-8-26

#21 杀毒技术原理的一些资料

http://www.jijiao.com.cn/avtech/antiVtech/index.htm
这是清华BBS上的一些关于杀毒技术的原理的资料，感兴趣的朋友可以去看看。希望有更多的朋友和病毒爱好者来了解和参与对杀毒技术的讨论。

※ ※ ※ 本文纯属【calm_cs】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-28 14:25

flo
注册用户

积分 168
发帖 168
注册 2006-8-17

#22

Quote:

Originally posted by aidi at 2006-8-28 13:54:
“但是纯粹依靠微点的“主动防御”有些东西是完全搞不定的。很多东西一进内存杀软就没戏了。”

这个可不好说，进入内存具体是指什么？还不是要有病毒的行为?
微点是底层的驱动加载，应该可以监控到这些行为， ...

微点的监控并不完全。
它没有监控任何驱动加载行为。以微点现行的手段，它最多监控到加载驱动这一行为。但是这一驱动再往后到底干了什么事情它是没有可能了解的，更不要说判断某个驱动又没有危险性。而且如果微点尝试监控驱动加载后的行为，也会带来许多兼容性问题。
且不说加载驱动，这个要求似乎有点高哦

。从行为分析本身讲，很多基本用户行为就可以用来做后门。最简单的，比方说，启动网页浏览器，这个行为很正常吧。那么要是启动iexplore http://xxx.com/?Message。就可以将Message发送给xxx.com了吧。而且还有许多变相的非标准的自启动方法（只是因为现在大家都特征码一下，所以再诡异的行为意义也不大）。所谓的复杂的逻辑分析，最多也就是某组行为的串联或单个行为的加权，恶意、善意很难说啊

。

[ Last edited by flo on 2006-8-28 at 15:40 ]

※ ※ ※ 本文纯属【flo】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-28 14:37

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#23

Quote:

Originally posted by flo at 2006-8-28 14:37:

微点的监控并不完全。
它没有监控任何驱动加载行为。以微点现行的手段，它最多监控到加载驱动这一行为。但是这一驱动再往后到底干了什么事情它是没有可能了解的，更不要说判断某个驱动又没有危险性。而且如果微 ...

lol:呵呵要求是很高啊！不然那些王牌杀软公司早就研制出主动防御了，

微点正在不断提升自己的主动防御，

这是个开始。

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2006-8-28 16:59

hshy83
注册用户

积分 174
发帖 174
注册 2006-8-26
来自火星

#24

支持微点，别忘了给朋友介绍，在网上宣传。

※ ※ ※ 本文纯属【hshy83】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-28 17:17

flo
注册用户

积分 168
发帖 168
注册 2006-8-17

#25

我个人并不反对行为分析，也不会有人会反对技术创新。只是必须清醒地意识到每一种技术的局限性。较准确地防御未知病毒当然是个极好的想法，但是能否实现是另外一回事。
现在的加壳等技术是针对特征码的不足。行为分析恰恰能针对这样的不足，这很好。但行为分析软件的知识库再怎么先进也是有限的，不可能面对无限的代码变化，也没有什么行为是病毒木马非要用到的。
特征码再不好，但是已经经历了时间的洗礼，是一个成熟的技术。比方说为了应对单纯特征码，VXer搞出了变形和多态技术。在现在白痴木马疯狂的时代，这些技术也被用到了各种壳上。AVer于是开发出了虚拟机技术来应对。
而行为分析若流行起来了也会遇到自己的问题（特别是单纯的行为分析）。因为各种行为太多了。单单以自启动来说，看看KIS6的注册表监控。System Startup就有44处。这还不全，还有一些注册表键值可以被利用。除了注册表之外，还有其他的自启动啊。举个例子，比方说我把桌面快捷图标的路径全改一下。又或者把QQ的timplatform.exe替换一下。可以利用的地方多得是。这些都是用户模式的小儿科游戏，若是索性底层一点呢？
路长着呢，呵呵。

※ ※ ※ 本文纯属【flo】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-28 20:53

微点专家
版主

Weizi

积分 11554
发帖 11458
注册 2006-8-27
来自贵阳

#26

微点正在不断提升自己的主动防御。
我等待
微点帝国

※ ※ ※ 本文纯属【微点专家】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-28 20:57

nasdaq
版主

版主

积分 1140
发帖 1118
注册 2006-4-6

#27

Quote:

Originally posted by flo at 2006-8-28 20:53:
我个人并不反对行为分析，也不会有人会反对技术创新。只是必须清醒地意识到每一种技术的局限性。较准确地防御未知病毒当然是个极好的想法，但是能否实现是另外一回事。
现在的加壳等技术是针对特征码的不足。行为 ...

呵呵，理论上特征码可以侦别出所有的有害程序。但很遗憾，这个推断是建立在一个不可能完成的前提之上——收集到所有的样本。忽略误报问题（其实无法忽略，只是每家公司都不公开而已），特征码技术的可靠性确实不错，但是在宽带网络时代，滞后性就足以造成很恶劣的影响。

微点在努力解决滞后性这个问题，我个人认为微点的行为引擎方案是一个很好的尝试，而卡巴的疯狂升级方案更有点儿治标不治本的味道

另外，建议flo朋友，自己试用，测试一下微点。出于市场目的，微点的官方只能以目前的这种口径进行宣传和讲解。

flo您是明眼人，自己试验一下就明白了，什么叫融合？什么叫双引擎？什么叫作综合查杀效果？

我个人意见，微点的综合查杀和防治效果可以说是很出色的，一旦公开发售，规模效应一起来，想必效果可以更出色。呵呵，注意我说的是综合效果。

PS：calm_cs 朋友的这两个帖子质量都很高，大家在一起很好的讨论一些技术和理念问题，赞一个

※ ※ ※ 本文纯属【nasdaq】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-28 21:16

flo
注册用户

积分 168
发帖 168
注册 2006-8-17

#28

Quote:

Originally posted by nasdaq at 2006-8-28 21:16:

呵呵，理论上特征码可以侦别出所有的有害程序。但很遗憾，这个推断是建立在一个不可能完成的前提之上——收集到所有的样本。忽略误报问题（其实无法忽略，只是每家公司都不公开而已），特征码技术的可靠性确实 ...

呵呵，我并没有否定微点尤其明显的优势。至少“原木马”可以查的话，加壳了以后也一样没有问题。单就这点上已经是很不错的。
行为分析一直无法深入推广的原因就是对用户门槛的要求，微点的尝试当然是很欢迎的。
只是，我希望微点能够完善自己的技术（包括传统特征码），我确实试用过微点的。它的缺陷和硬伤也确实存在。我担心的也正是如果它规模效应起来后的问题。因为就原理上说，它的“知识库”本身也是滞后的吧，只不过不是像特征码针对一个，是针对一类。如果有和木马多打交道，很容易想出过它的方法。
如果没有特征码，则：若一个新类型的木马出现，微点随即总结了“规则知识库”。我们现在已经可以看到，微点本身误报率就很高。若是添加了一个规则，则误报率又会陡然上升。而每个规则要成熟起来又需要一段时间。因此微点相当需要使用特征码技术作应急事件的缓冲。
因此才希望微点的设计能具有前瞻性，真正地主动起来。
另一方面，我也很希望微点尽快上市（可以先以辅助防御软件上市，等到自己准备好了，再通过XX认证），毕竟一个东西到底好不好，还是市场说了算，不是我们这几张嘴巴可以决定的。

[ Last edited by flo on 2006-8-28 at 22:34 ]

※ ※ ※ 本文纯属【flo】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-28 22:26

nikitaluo
新手上路

积分 8
发帖 8
注册 2006-8-25

#29

Quote:

Originally posted by flo at 2006-8-28 22:26:

呵呵，我并没有否定微点尤其明显的优势。至少“原木马”可以查的话，加壳了以后也一样没有问题。单就这点上已经是很不错的。
行为分析一直无法深入推广的原因就是对用户门槛的要求，微点的尝试当然是很欢迎的 ...

说得好。

※ ※ ※ 本文纯属【nikitaluo】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-29 13:44

微点专家
版主

Weizi

积分 11554
发帖 11458
注册 2006-8-27
来自贵阳

#30

微点不是在尝试。
微点已经成功了。

※ ※ ※ 本文纯属【微点专家】个人意见，与【微点交流论坛】立场无关※ ※ ※

做个性的自己

2006-8-29 13:47

3/3

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号