八闽汀江子
高级用户
积分 537
发帖 525
注册 2006-12-31
来自 深圳
|
#141
微软公司也和流行杀软公司一样“中毒了”!!!
不升级就没有”钱途“了,所以要不断地升升升!!!
还有国人没有知识产权的高端配置就要不断涨价了吧!
[ Last edited by 八闽汀江子 on 2007-1-2 at 10:52 ]
| |
※ ※ ※ 本文纯属【八闽汀江子】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
如果我们的脑袋都长在别国人的头上,那我们就真的“亡国”了... |
|
|
2007-1-2 10:49 |
|
八闽汀江子
高级用户
积分 537
发帖 525
注册 2006-12-31
来自 深圳
|
#142
微点向内核的内核,底层的底层发展应该是正点之一,
但是对新型病毒行为的收集也会是需要的。123
| |
※ ※ ※ 本文纯属【八闽汀江子】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
如果我们的脑袋都长在别国人的头上,那我们就真的“亡国”了... |
|
|
|
2007-1-2 13:34 |
|
bingyan
注册用户
积分 61
发帖 61
注册 2006-12-28
|
#143
一口气看了15页帖子,真是牛人啊!我才用微点几天,也是个菜鸟,不懂什么技术,说说我的看法,各位别骂我啊。
首先,微点提出的是对未知病毒的查杀能力:我们可以认为特征码扫描在这里起到的作用是0.而微点却可以查杀(这里我们首先抛开无法杀的问题,现在的技术手段没法解决,但至少理论上还是有可能解决的,说不定哪天操作系统就改了,用in,out无法直接写入了呢),当然不可能做到全部查杀,但至少应该有一部分。这是行为判断的先进之处。是不可否认的
其次,关于对现有病毒的查杀,行为判断肯定是不如特征码的。这应该大家都认可,微点自身也加入了特征码。我不懂技术,不知道一个特定的行为是否会表现出相应的特征码呢,我想应该有吧(现在有些启发式查毒好象就是这样判断的,如一些常规程序一般不会出现长程跳转指令等,启发式查毒就根据这些指令特征来报告可疑文件,这是网上看的,不知对否),那么我们称这些为行为特征码(区别于病毒特征码),如果能找到这些的话就可以进行静态扫描了。而且很显然,多个病毒可能会有同一个行为特征码,而不会有同一个病毒特征码,这样的话,行为特征码的数量要远远低于病毒特征码的数量,效率会大大提高!从这点来看,也是大有前途的。找到这些静态行为特征码的话就可以克服目前微点面临的最大问题。
关于虚拟机的问题,无论从哪个方面来说,微点应该加入虚拟机。现在特征码扫描的杀毒软件用虚拟机并非是用来判断一个程序运行后果的,如果真是那样,扫描一次磁盘就相当于把机器中所有的程序全部运行一次了(即使是万分之一都是不可想像的)。我以前在网上看来的,说目前虚拟机主要是用来脱壳的。
微点加入虚拟机的话,当发现一些可能造成危险的指令可以引入到虚拟机中执行,从最终结果来判断程序是否正常,从而可以避免产生损失。这正是现在的微点的一大缺陷:有一些判断不及时而发生了损失。当然判断后可以进行恢复,但并不能保证所有的损害都能恢复!如:程序往磁盘中写数据,你记录的只是他在写而已,并不会记录被他覆盖的数据吧?而且即使能恢复,那也要能监控到该程序的所有操作才行,这对于恢复程序而言也是一个沉重的负担。
总之,个人认为,微点应该变为行为特征码扫描加上行为监控才会行成突破。扫描是必须的,仅靠监控是不够的
祝微点能拙壮成长,我会一直关注和支持的
| |
※ ※ ※ 本文纯属【bingyan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-1-2 13:54 |
|
午夜游民
新手上路
积分 8
发帖 8
注册 2007-1-2
|
#144
很高兴我的第一贴留在了这里,看到前几页的讨论确实很令人激动
想说点什么,还是算了,毕竟太幼稚,没有什么作用
还是希望中国的软件越做越好
| |
※ ※ ※ 本文纯属【午夜游民】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-1-2 15:52 |
|
八闽汀江子
高级用户
积分 537
发帖 525
注册 2006-12-31
来自 深圳
|
#145
| Quote: | Originally posted by llcracker at 2006-8-31 17:21:
其实,我所要讨论的是关于主动防御性的标准缺陷、技术局限性及有网友一直在说其微点主动防御优越与其它杀毒软件或者安全工具所含有主动防御。我在前面两贴中已经非常详细的把我观点说得非常明了,认为主动防御的重 ... |
|
如果从商业信息来考虑,没有人会象您在开头几贴中那样详尽地阐述自己产品的详尽工作机制的!除非想把自己的技术拱手送人!
| |
※ ※ ※ 本文纯属【八闽汀江子】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
如果我们的脑袋都长在别国人的头上,那我们就真的“亡国”了... |
|
|
|
2007-1-2 16:29 |
|
八闽汀江子
高级用户
积分 537
发帖 525
注册 2006-12-31
来自 深圳
|
#146
累死了,才跑到45楼!
| |
※ ※ ※ 本文纯属【八闽汀江子】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
如果我们的脑袋都长在别国人的头上,那我们就真的“亡国”了... |
|
|
|
2007-1-2 17:01 |
|
op
新手上路
积分 4
发帖 4
注册 2007-1-2
|
#147
不知道效果怎么样啊!
| |
※ ※ ※ 本文纯属【op】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-1-2 18:19 |
|
胖胖牛
新手上路
积分 18
发帖 18
注册 2007-1-5
|
#148
引用97楼:
就像我在前面贴子中提到过的,目前的这些恶意程序为了得到更高的控制权会使用Driver这种方式,的确这是我无意中测试出的案例。并且通过测试发现微点对这种情况似乎无法处理。并且有点吓人的是,居然无法杀掉其木马进程及文件。这也应证了calm_cs老兄所提到的一些观点。即主动防御即使能发现某个病毒,但是由于病毒的行为已经实施。就像上面我所说的样,虽然能发现iexplorer.com这个木马进程但是无法删除它及杀掉它的进程,并且它的动作已经实施那就是加载aood.sys。的确加载成功了,最后是蓝屏了。我估计可能和微点有冲突,因为我将微点uninstall后再运行iexplorer.com加载aood.sys就没有问题。这点也可以通过DevView来确定,的确是加载成功了。因此,假设iexplorer.com就算没有其它的破坏动作,但是它让aood.sys成功加载已经是很可怕的行为。一旦aood.sys加载成功,在Driver级别所做的恶意行为那就是更可怕,可以这么说,微点如果无法即时阻止iexplorer.com,让aood.sys被成功加载,那么就是病毒与杀软共存的系统。微点也拿这个Driver没有任何办法。这个观点我在前面也已经提到过,也有网友反驳过只是少数,但是我想就这种少数已经让人头痛了,并且病毒使用Driver使得微点的捕捉范围大大受到考验,如果无法捕捉到系统中的每一个行为,那么至少来说还存在着问题。
对于driver级的病毒,微点是否可以采用下列方法清除?如上例所说:
微点根据iexplorer.com释放aood.sys的行为及其后续行为,判断出该程序为病毒后,不急着杀掉该病毒(以免死机),先将该程序加入自身病毒特征库(黑名单),并预备在重启后iexplorer.com运行前即予以拦截,然后再尝试实时清除该病毒,如成功则意味杀毒成功,如失败则在重启后根据更新后的黑名单在病毒加载前予以拦截。
只要微点能做到重启后拦截成功,是否就意味着“主动防御”有效呢?
[ Last edited by 胖胖牛 on 2007-1-5 at 12:00 ]
| |
※ ※ ※ 本文纯属【胖胖牛】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-1-5 11:35 |
|
lgxro
新手上路
积分 5
发帖 5
注册 2007-1-5
|
#149
我中过的一次病毒是用驱动器这个方式加载的,当时装了nod32和mcafee防火墙,提示有毒但是无法查杀.是网页恶意代码,上该网站会无限提示病毒,即使我拒绝执行还是中毒,因为该病毒显示的路径不是真实路径,该病毒会在windows下的system32下建立假的文件,普通删除提示无法操作,用cmd命令删除了,重启还是会出现,最后不得不放弃,一直没重装,反正我把电脑的c盘乱七八糟的折腾一番,后来不记得怎么会事,那个毒就没了.
要是微点出现报毒但是查杀不了的情况下,应该有个适当的处理方法吧,就像楼上说的,把该病毒的特征记录下来,下次重启前在加载前把有该特征的拒绝加载,若是失败,再更新记录失败特征,拒绝加载.可行否?
| |
※ ※ ※ 本文纯属【lgxro】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-1-7 18:36 |
|
ykxht
新手上路
积分 6
发帖 6
注册 2007-1-7
|
#150
顶一下
| |
※ ※ ※ 本文纯属【ykxht】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-1-7 20:46 |
|
