newgnay
注册用户
积分 56
发帖 56
注册 2007-2-6
|
#161
看了前面的许多发言,似乎几位讲技术的兄弟都比较推崇"虚拟机"杀毒,并且讨论了各种杀毒技术的优缺点,我现在来总结一下吧,呵呵.
(1) 特征码静态杀毒.
优点:安全系数100%;
缺点:对未知病毒的防护系数0%.
(2) 基于虚拟机技术的行为杀毒
优点:安全系数在理想状态下可达100%.
缺点 i)但实际情况下安全系数达不到100%,因为虚拟机技术也有"漏洞",就像操作系统肯定有漏洞一样,如果这种虚拟机技术被别人成功调试,则发现漏洞的人可以利用上述漏洞来绕过虚拟机,获取对"真实"系统的控制权;
(ii) 最严重的问题是:不管你的虚拟机技术多好,它总是与真实环境有细微的差别,如果病毒识别出这种差别并因此潜伏起来(比如说一个病毒先判断是否运行在虚拟机环境中,如果是,则停止行动;如果不是,则动态释放加过密的病毒代码,解密后再执行之),则可以轻松躲过虚拟机的查杀.
(3) 真实环境中的行为杀毒:
优点:系统环境完全真实,不存在病毒主动潜伏的可能;
缺点:理论上无法对系统进行"完全"的监视. 除非微点自己做一个Windows内核(这个内核要求所有程序的底层操作都必须经过微点来进行)来代替MS的,呵呵.
顺便补充一句, 只要发现了病毒(即使是驱动级的病毒),理论上是可以清除的. 清除方法很简单:重启后进入微点自己的微型OS并删除病毒文件,并恢复注册表,然后再次重启进入Windows.
以上是我的一点想法,可能不太准确,因为本人毕竟是搞物理而不是软件的,还请各位兄弟指正.
| |
※ ※ ※ 本文纯属【newgnay】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-2-7 22:08 |
|
newgnay
注册用户
积分 56
发帖 56
注册 2007-2-6
|
#162
对了,刚才 baidu了一下,发现原来设备驱动程序(.sys文件)也是能够动态卸载的.因此技术来讲,可以强制卸载这些病毒sys再删除之.
| |
※ ※ ※ 本文纯属【newgnay】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-7 23:12 |
|
nasdaq
版主
版主
积分 1140
发帖 1118
注册 2006-4-6
|
#163
(1) 特征码静态杀毒.
优点:安全系数100%;
缺点:对未知病毒的防护系数0%.
我觉得newgnay朋友对特征码有些误解,说几句我的看法。
特征码只能说误报较低,但是误报是必然存在的所以谈不上100%。特征码的误报和MD5的冲突大概是一个远离,都是理论上无法避免的,只能是尽可能的降低其误报的概率。
特征码的误报率和它的拾取点设计方案有关,每家的技术都不大一样,所以误报率也是不一样的。不过因为特征码的误报率整体水平是比较低的,所以不同拾取点方案之间的差别,容易被人忽视。
特征码的各种改进衍生方案并不是完全无法检测未知病毒,只不过是能力不够理想,实用度不够高罢了。检测能力差,误报又高的方案是无法投入市场的。
| |
※ ※ ※ 本文纯属【nasdaq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-7 23:17 |
|
反黑先锋
版主
RUNWAY
积分 2901
发帖 2857
注册 2006-6-17
|
|
|
2007-2-7 23:30 |
|
八闽汀江子
高级用户
积分 537
发帖 525
注册 2006-12-31
来自 深圳
|
#165
70年代的时候好些专家教授提议要废除汉字,改用拼音!天哪!如果得逞,该有多糟糕啊!
那时专家的理由是:汉字没法录入电脑,严重影响伟大祖国的现代化......
同志们!今天大家看到了吗?世界上最易于、最快速输入电脑的就是汉字啦!!!
| |
※ ※ ※ 本文纯属【八闽汀江子】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
如果我们的脑袋都长在别国人的头上,那我们就真的“亡国”了... |
|
|
|
2007-2-8 00:13 |
|
newgnay
注册用户
积分 56
发帖 56
注册 2007-2-6
|
#166
同意167楼的,也很佩服微点不断的努力.
166楼的:我说特征码杀毒的"安全系数"100%,意思是说查毒的过程中不需要运行病毒程序,所以安全系数100%.同意你后面的结论,即静态码对未知病毒也有一定的查杀能力,毕竟存在瞎猫碰到死耗子这种情况,嘿嘿.
| |
※ ※ ※ 本文纯属【newgnay】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-8 09:24 |
|
285166790
新手上路
积分 14
发帖 14
注册 2006-8-26
|
#167
我认为,主动防御之所以不能完全实现对未知病毒的查杀,主要是因为电脑智能化程度还不够高,一些所谓的“智能”,只不过是把人类已有的知识加以总结、归纳,变成一些规则让计算机照章办事罢了,完全达不到想人一样去思考的水平。因此,如果新病毒的破坏方式是在已知的规则之中,杀毒软件就可以判断其为未知新病毒,但是病毒也是在不断发展中的,如果它采用了现在的行为判定规则之外的,还不为现在所知的方法,那现有的行为判定规则肯定是无能为力的,这也正是微点仍然需要不断升级的原因,据我分析,它一方面是升级行为规则,另一方面是升级特征码。
那有人可能会说,等电脑真正发展到智能的水平时,是不是就可以完全判断出未知病毒了呢?答案是否定的,因为杀毒软件若智能了,病毒也应智能了,至于谁比谁强只能看它们的编写者的水平了。但有一点可以肯定的是,杀软出现在前,未知病毒出现在后,后来居上的显然要容易的多。
最后,虽然各种各样的主动防御不可能完全查杀所有的未知病毒,但它的存在还是有积极意义的。
一,可以在一定程度上抵御未知病毒是可以肯定的。
二,给病毒的编写者制造了编写新病毒的困难,使编写有破坏力的新病毒的时间增加。
三,对已知病毒的简单变种有很强的杀伤作用,因为病毒变种很多只是改变外部特征,而破坏方式一般变化不大,所以仍然难以逃脱行为检测。
| |
※ ※ ※ 本文纯属【285166790】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-12 19:10 |
|
gggwly
新手上路
积分 19
发帖 19
注册 2007-2-9
|
#168
| Quote: | Originally posted by 八闽汀江子 at 2007-1-1 14:56:
还可以嘛!
下载了个2005年的病毒包15M,测试了一下,都通杀了!只是每个病毒的清除都要按确认,有点麻烦,有待改进?! |
|
2005年的病毒包!!!哈哈!好主意!为安全起见,我影子系统,微点单机一起测............
| |
※ ※ ※ 本文纯属【gggwly】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-12 22:31 |
|
ling911ao
禁止发言
积分 299
发帖 299
注册 2007-2-4
|
#169
好长的帖子,看得我眼都花了
不过有这么多人支持和关心微点的发展,我们大家都开心啊
| |
※ ※ ※ 本文纯属【ling911ao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-13 13:54 |
|
外野孤鸿
注册用户
积分 106
发帖 106
注册 2007-2-13
|
#170
各位说的都是很专业的语言,小子不是很理解,我个人认为所有的杀软都要看其是否稳定,是否能够尽最大的程度来保护使用者的安全,是否能够做到兼顾大多人群(人性化)。就我个人而言,我更看重的是稳定性。如果因为装了杀软而造成其他软件不能使用,我只能说很遗憾了
| |
※ ※ ※ 本文纯属【外野孤鸿】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-13 16:01 |
|
