baroque
新手上路
积分 3
发帖 3
注册 2007-7-27
|
#241 支持楼主
支持楼主,支持对微点有意见的朋友,这样才能让微点更好更快的发展,同样,也支持微点,祝愿微点越走越好
| |
※ ※ ※ 本文纯属【baroque】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-7-27 12:17 |
|
做微点的微尘
新手上路
积分 8
发帖 8
注册 2007-7-27
来自 地球
|
#242
做微点的微尘
| |
※ ※ ※ 本文纯属【做微点的微尘】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-7-27 17:11 |
|
做微点的微尘
新手上路
积分 8
发帖 8
注册 2007-7-27
来自 地球
|
#243
做微点的微尘
| |
※ ※ ※ 本文纯属【做微点的微尘】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-7-27 17:12 |
|
easecloud
新手上路
积分 6
发帖 6
注册 2007-7-29
|
#244
都是高手。。。
| |
※ ※ ※ 本文纯属【easecloud】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-7-29 09:19 |
|
qq2008444
银牌会员
职业潜水艇
积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
|
#245
呵呵
相见恨晚啊
看到这个帖子都已经有好几百贴了。。
太后悔没早点来看看
呵呵
进入主题拉。。。
| Quote: | Originally posted by nasdaq :
我一直是支持技术融合的,并且我原来也一直在说微点是一款多种技术综合性信息安全软件。我一直也不认为微点现在就已经很完善了,无敌了。不过针对于年初的版本来说,微点有了很明显的进步,这一点我是很高兴的。其实,某种程度上说,您和我都是更看好微点未来的发展,假以时日,在结构上完善,在技术上融合,2-3年后的微点必然会大放光彩。 |
|
我们大家都希望微点是会发展起来的,我们在这里的讨论也都是为了这个,不是么?
| Quote: | Originally posted by nasdaq :
您从技术角度谈这种技术的局限性;我从辩证法来看,我认为不存在有万能的东西,每种事物都有其适用范围。其实我们殊途而同归,观点是一致的。行为引擎虽不是万能,但是其是有一定意义并且有一定价值的,这点您也是认同的。 |
|
用特征码扫描再加上行为判断引擎的确能够比单独使用特征码扫描防范效果好,但是前提是特征码是数量一致,那么现在这个好象不满足。。。。
| Quote: | Originally posted by nasdaq at :
而我这个无业游民天天有的是时间打字 |
|
呵呵那我可是十分的羡慕你了。。我可是没时间天天一贴一贴看,只好打印下来慢慢琢磨了。。。
| Quote: | Originally posted by bingyan at :
个人认为,微点应该变为行为特征码扫描加上行为监控才会行成突破。扫描是必须的,仅靠监控是不够的 |
|
经过我的调查,我周围大部分的人并不重视扫描,也就是说,有大半的人并不愿意花大量时间去进行扫描而是依靠监控,这说明监控必须强大
| Quote: | Originally posted by crosen at :
特征码虽然反应滞后,但是在病毒库里的东西基本可以保证查杀.至于那些新病毒,新变种,我会这么倒霉第一个就感染上? 短时间内病毒库就更新了. |
|
很可惜的是,事情并不是就像你所想象的如此简单。。如果一个病毒只是小范围传播,小到杀软公司并不重视,那么你就只能够吃哑巴亏了,如果只靠特征码,那么你就只能够挨宰了。。我以前写的一个小病毒,到现在,江民还是查不出毒来。。
或者这个病毒刚刚出来就开始大范围传播,这个时候杀软厂商的病毒库还没有这个病毒,那么,你就有很大可能挨宰。。别以为这不可能。。就是这样。。。
| Quote: | Originally posted by 青豆 at :
特征值不可完成的任务:病毒库的滞后
虚拟机不可完成的任务:简化(残缺)的模拟环境
主动防御不可完成的任务:行为分析带来的误报 |
|
| Quote: | Originally posted by stone_strong at :
过去,都是由人工来发现病毒,然后找到特征值,然后升级病毒库,才能查杀病毒,现在,微点把这个人工过程自动化了,完全由软件来实现了,这样的好处是相当于给每个装微点的机器配备了一个反病毒专家,他不停的在发现病毒、解决病毒,完全在本地机器上解决了,不用你象原来那样上报病毒到杀毒软件公司,然后由人工找特征值,升级杀毒软件了,微点的行为判断方法是一套综合的方法,或者说是人工发现病毒方法的程序抽象实现。也就是说和人工发现、判断病毒的方法相同!通俗一点说,换成人也是这个判读方法,明白了吗? |
|
你的理解错误了。。。微点是靠判断程序行为来确定未知病毒。。在查杀完病毒时将特征码传送更新。。
| Quote: | Originally posted by han at :
如果作者针对的是“主动防御”而不是“微点”,则似乎成不了对立,如果是指微点的主动防御或微点本身,因为微点其实已经采用了特征码(由微点软件而不是反病毒人员或公司在防御过程中收集和提取形成),那么要得出“(微点)从技术层面来说是不可真正的实现动态监视”就站不住脚。 |
|
请理解我们的意思好么?我们是在讨论行为判断引擎的可实施性。。。
对于行为判断能不能在病毒进行病毒行为前将病毒截杀。。。我认为不太可能。。就像是LLCRACKER说的IEXPLORER.COM释放AOOD.SYS,这个过程是正常的,但是这个时候病毒已经完成了它的病毒行为...
所以我认为,行为判断引擎最好是和虚拟机技术配合使用...
最后,不知道大家知不知道以前一个可以过毒霸启发式扫描的病毒:广外女生..
我是半桶水,有不同意见的欢迎大家指正。。
| |
※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟…… |
|
|
|
2007-7-29 22:12 |
|
qq2008444
银牌会员
职业潜水艇
积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
|
#246
正在再再次观看。。。
llcracker calm_cs 和NASDAQ 的辩论每次看都受益非浅啊。。。
我的理解还十分片面
让各位见笑了。。。
| |
※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟…… |
|
|
|
2007-7-30 15:48 |
|
cukow
新手上路
积分 11
发帖 11
注册 2007-8-1
|
#247
看完纳斯达克和楼主洋洋洒洒万字小说,有点感触.纳斯达克与楼主在标准的完备性与用户体验上,技术的成熟性与商业利益方面均有针锋相对的理论,有次深刻而不失和气的讨论氛围,实为微点之福,刘总如果知道微点背后的用户有此心思,定当不负众望.
按我对两位发言的理解,双方虽有争执,但也是有共通点的,首先双方都承认了传统静态特征码的不足与行为判断的优点,均肯定了微点在预杀未知病毒上的成绩,楼主认为,微点在行为杀毒没有统一工业标准的情况下很难做到对每个程序行为100%的正确判断,楼主所说的不可能完成的任务也就是指行为判断不能在没有人工干预的情况下做到完全令人信服,所以,楼主的观点是在目前行为判断不成熟的局面下,微点的发展应当以特征码杀毒为主,行为判断为辅.而纳斯达克则认为,尽管行为判断有其不成熟的地方,但是,它有优于特征码杀毒的用户体验,并且,它比特征码杀毒更有qian景,所以,应当以发展行为判断为主,辅以特征码杀毒
两位的焦点,应该是在于行为杀毒与特征码杀毒,谁主谁次.鄙人不才,并非计算机从业人员,操作系统原理也不太精通,但是,看完两位的舌辨竟也有相当的斩获.总结两位的观点,我也有了自己的观点,微点未来的着眼点在于虚拟机+行为杀毒.现长话短说
首先我想解释一下为什么不是特征码杀毒.很明显,基于特征码杀毒需要高效的引擎和庞大的毒库,设计出好的引擎需要时间的积累,收集庞大的毒库更需要时间的积累.微点作为成长型的企业,未必有这样充裕的时间和财力.有人说,做虚拟机也需要时间的积累,我是这样想的,引擎+毒库毕竟是老的滞后的技术,启发虽是传统杀毒未来必经的趋势之一,但是,启发式需要通过分析对象文件与毒库中的病毒原码进行比较,当二者匹配率大于某一值时,杀毒软件就会将其列为可疑文件以进行下一步的处理,它同样依赖于毒库,并且这个匹配率的量的轻重上,没人能估摸的准,也不可能估摸的准.另外,微点做传统杀软,对他而言反到是个新的领域,而做虚拟机,是有技术根基的.虚拟机其实也可以做成行为判断,关于这个两位在之前的帖子也有提到过,不同的在于虚拟机只是在模拟环境下的行为判断,微点所谓的行为判断是在真机下的行为判断,虽然环境上的区别造成判断上的区别,但是,我想,至少这两种技术的思路和评判的标准是一致的.随着cpu核心数量和内存容量的不断升级,我同样认为,虚拟机的效率不再是问题,而且我也相信,一旦微点能够做得出无须人工干预的行为逻辑标准和高效成熟的虚拟机,那么他的主动防御完全可以放到虚拟机里面来做,这样也可以杜绝由于真机环境下运行病毒造成的隐形忧患.
看完我帖子的人想必也知道我不是干技术活儿的,写这些也算是向两位致敬,再掺和点自己不成熟的想法.我想广开言论对于正在发展中的事物总是好的吧
| |
※ ※ ※ 本文纯属【cukow】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-8-2 16:43 |
|
qq2008444
银牌会员
职业潜水艇
积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
|
#248
| Quote: | Originally posted by cukow at 2007-8-2 16:43:
看完纳斯达克和楼主洋洋洒洒万字小说,有点感触.纳斯达克与楼主在标准的完备性与用户体验上,技术的成熟性与商业利益方面均有针锋相对的理论,有次深刻而不失和气的讨论氛围,实为微点之福,刘总如果知道微点背后的用户 ... |
|
呵呵。。。
拜读你的帖子也是一种享受啊
哎..我要讲的大半你讲了..我就稍微补充一下
虚拟技术作为一项非常有发展前途的技术,它的影响力不只限于业务连续性和灾难恢复领域,实际上它对各种应用程序都带来了极大的冲击。虚拟技术具有封装性、整合性、独立于硬件平台等特性。这种封装性作用于整个计算环境,包括操作系统、BIOS、应用程序、数据和虚拟化的硬件。它的上述特性使灾难恢复解决方案的可管理性和灵活性更强,也更节省开支。所以我认为虚拟机技术和行为判断分析技术联合是很有安全性能的
但是虚拟技术目前虚拟模式和现实本机模式相比依旧有一定差距,如果病毒发现这个差距而推迟运行,大家都明白杀软不会在同一个文件上耗很多时间,如果在一定时间里没有病毒行为,那么就会判断这个病毒并非病毒。。呵呵。。乱了套。。但是我依旧看好虚拟技术。。。虚拟技术的发展十分快速,迟早会克服这等不足
我是半桶水,有不同意见的欢迎大家指正。。
| |
※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟…… |
|
|
|
2007-8-2 17:03 |
|
cukow
新手上路
积分 11
发帖 11
注册 2007-8-1
|
#249
| Quote: | Originally posted by qq2008444 at 2007-8-2 17:03:
如果病毒发现这个差距而推迟运行,大家都明白杀软不会在同一个文件上耗很多时间,如果在一定时间里没有病毒行为,那么就会判断这个病毒并非病毒。。 |
|
的确如qq所言,而且,很多病毒如今也附有anti-虚拟机的代码(比如那个msn照片木马MSN-Photos)所以虚拟机技术在一段时间之内还需要真实环境下的行为杀毒做依靠,但是我相信,随着虚拟机技术的发展,随着我们对病毒潜伏性和触发条件的了解,通过虚拟机模拟这些触发条件来唤醒那些沉睡的潜伏病毒也许不会是很长远的事情
[ Last edited by cukow on 2007-8-2 at 18:47 ]
| |
※ ※ ※ 本文纯属【cukow】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-8-2 18:43 |
|
Mars
新手上路
积分 33
发帖 33
注册 2007-8-2
|
#250
哇 真是高手云集啊 呵呵 闪人
| |
※ ※ ※ 本文纯属【Mars】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-8-3 23:37 |
|
|
