ii88
新手上路
积分 28
发帖 26
注册 2008-6-4
|
#411
微点的行为分析的确很新颖,但也有其局限性,加上扫描引擎可能会更好!
更何况瑞*金*标榜的主动防御其实是虚设
| |
※ ※ ※ 本文纯属【ii88】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2008-6-4 12:26 |
|
duliu
新手上路
积分 1
发帖 1
注册 2008-6-10
|
#412 我晕啊
| Quote: | Originally posted by 微点专家 at 2006-8-31 17:02:
微点主动防御软件属于防病毒软件,但完全区别于目前市场上的防病毒软件。
当前杀毒软件多采用特征值扫描技术,即由专业反病毒人员在反病毒公司对已可疑的程序进行人工分析研究,人工判断该程序是否是病毒; ... |
|
强烈鄙视这个微点反病毒专家;
| |
※ ※ ※ 本文纯属【duliu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-6-10 04:55 |
|
roedesign
新手上路
积分 2
发帖 2
注册 2008-6-9
|
#413 菜鸟
菜鸟一个,只能顶一下了,微点努力!
| |
※ ※ ※ 本文纯属【roedesign】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-6-12 16:39 |
|
ohmygod
注册用户
积分 53
发帖 53
注册 2006-11-24
|
#414
#12
11楼的朋友说得很对,所以很多一流杀毒软件厂商都在产品里使用了 启发式扫描来弥补特征码扫描的不足啥,这样两者结合就能起到对已知和未知的病毒的查杀防御。不过,国产软件中的启发式技术比国外差得比较远,随便提一句,由于江民和 卡巴的关系(地球人都知道)它的杀毒引擎的启发式扫描还做的不错,可是江民老师爱上了炒房地产,结果江民的病毒库比瑞星的又差很多。
LZ。。。你认为那个好就那个好??你太傻B了吧。。。VB100。。卡巴和江民过了几次???????还谈他们好。。你个人傻也想别人跟你一样啥
| |
※ ※ ※ 本文纯属【ohmygod】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-6-15 18:22 |
|
leiqishi
新手上路
积分 2
发帖 2
注册 2008-6-13
|
#415 楼主的文章概念混乱
楼主的文章提出主动防御概念不清,可我怎么看也觉得楼主自己概念混乱,把安全警告提示说成是不能区分病毒和正常程序更让人觉得有点胡搅蛮缠 :-)
| |
※ ※ ※ 本文纯属【leiqishi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-6-16 16:10 |
|
leiqishi
新手上路
积分 2
发帖 2
注册 2008-6-13
|
#416
楼主在 “#4 主动防御不可完成的任务(二)” 中说:“……但是,如果一个病毒或者恶意程序同样使用与正常程序同样的流程只是WriteFile的时候写入的数据是恶意的、有破坏性的那么微点能防住嘛?……”
楼主完全搞错了概念,离题太远了吧。难道楼主希望微点连“格式化”软件都要报警吗?
微点是防病毒的,而病毒首先是要传染和隐藏,附带偷窃、捣乱和破坏等内容,只要能阻止病毒传染和隐藏并消灭掉,自然就不会产生发作时的问题。楼主不要把本末搞颠倒了。
| |
※ ※ ※ 本文纯属【leiqishi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-6-16 18:18 |
|
披坚执锐
注册用户
积分 103
发帖 103
注册 2008-6-17
|
#417
如果形成了具体的行业标准,那样是可以避免误杀,
但是你的定义越详细,那么“有心之人也就越容易绕过你的定义
这对主动防御的发展来说是个两难问题
[ Last edited by 披坚执锐 on 2008-6-17 at 21:54 ]
| |
※ ※ ※ 本文纯属【披坚执锐】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-6-17 21:49 |
|
渗入危机
新手上路
积分 11
发帖 11
注册 2008-6-19
|
#418
不罗嗦,回下lz第一帖,括号内是揭露语
首先我先说明一下我自己的立场,我认为主动防御是一项不可完成的任务。单独使用主动防御无法真正达到“主动防御”概念所描述的那样的一个状态。(一开始就模糊、偷换概念)
为什么呢?简单说是因为其主动防御标准含糊不清楚(标准模糊,是标准模糊还是一些软件的手法无耻而被咔嚓?)
没得具体的行业标准(所谓行业也是一个即时产物,没有永恒主题),可以说是理论上可行而技术上不可行的东西(你所谓的技术是指一些软件专门找茬,就要钻空子,搞歪门邪道)。看了众多贴子,有人支持微点,有人质疑微点(质疑的可以说基本是枪手,因为抢打出头鸟,微点的出色和卓越有目共睹)
众说分云,因此我们需要从主动防御这个概念来说是否真的可行!首先,根据微点所称有众多的逻辑分析来确定是否为不合法的程序或者病毒等。我们搞技术的都知道,所谓复杂的逻辑分析如果用程序表达出来就是很多的if条件。但是这些if条件只是微点的标准,而不是主动防御标准
那这样的标准怎样能让用户信服(主动防御的标准你认为呢?是满足无限个if?也就是说,XX程序挂马是很正确的,微点不要杀;XX软件监控是很善良的微点不要咔嚓?那不成了要求微点为恶意软件服务了吗?我可以告诉你,恶意行为不需要太多if条件,恶意,就是不正当,不光明的下作行为)?
因此,就常常会出现误报(白痴之见)。
也许有人会说,其它安全工具或者杀毒软件也会出现这样的状况。因此,这就恰恰说明了为什么其它工具把主动防防御作为辅助手段(似乎照单杀毒的杀软才是误杀的罪魁吧,从面孔判断人和从行为判断人你说哪个更害人?)
也说明了微点根本没有质的飞跃(枪手,你肯定反驳自己不是枪手)。
这也许不是微点的错(再使用怀柔语言为自己留空位),这是因为的确主动防御这个概念很吸引人,但是没有非常清晰的界定(搞笑的言论)。
即通过行为特征认定病毒的标准(我上面已经说明,这个白痴看法很可笑)。
同样,微点自身产品也会做很多挂接动作,为什么就不被认定是恶意程序或者病毒(是不是杀日本鬼子的杀人行为就是罪恶的?)。
因为开发者知道自己做的微点是来保护系统的。这我也知道。但是,为什么偏偏就要认为我开发的游戏外挂之类(单机游戏外挂)的东东是病毒(你可以去问问法律),我游戏外挂第一不访问网络,只是挂接一些API或者修改游戏主程序的一些变量即内存指令。为什么我的程序就是病毒(看到这才知道你的确是一个枪手)。
也许又有人会说了,你不是可以将这些你认为信任的程序加入到微点中嘛?那如果是这样,对于用户来说,他能知道哪些是可信任和不可信任,干嘛还要来用这些东东(最愚蠢的狗屁言论,关键是你这外挂商太把自己当个人了吧!你就是一坨破坏游戏平衡的屎,遇之杀之,还设白名单,设你妈啊)?
因此,我认为由于主动防御由于没有既定的标准,也就大大限制微点自身的成长(冲其量也无非是有更多的if语句而已),这样根本不是质的创新,也谈不上优越于其它的杀毒软件(后面的狗屁结论不攻自破)。
| |
※ ※ ※ 本文纯属【渗入危机】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-6-19 01:41 |
|
渗入危机
新手上路
积分 11
发帖 11
注册 2008-6-19
|
#419
412l注册个名还含沙射影,典型网络痞子的作风
| |
※ ※ ※ 本文纯属【渗入危机】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-6-19 01:42 |
|
渗入危机
新手上路
积分 11
发帖 11
注册 2008-6-19
|
#420
从技术角度来讲,如果单独使用主动防御是否真的能冲当主力(别忘了,主动防御只是微点的地一个概念,而不是终极的概念)?
根据一些贴子描述得知微点使用了Driver,这是很明智的选择!先支持一下^_^!但是微点Driver似乎只对ntoskrnl中的一些内核例程还有AP层的一些API有所挂接,我是想问这样就能挡得住病毒嘛?假设一个程序使用NtOpenFile或者CreateFile打开一个磁盘盘符,然后使用WriteFile或者NtWriteFile来进行直接写扇区,如果是一个正常程序写入合法的数据OK,如果微点没有认为是病毒那么我觉得是正确的。但是,如果一个病毒或者恶意程序同样使用与正常程序同样的流程只是WriteFile的时候写入的数据是恶意的、有破坏性的那么微点能防住嘛(你个白痴啊,微点做的就是监控未知软件的违规则行为,你还在这里为病毒铺路,你吗生你时得脑瘤了吗?再者说,你也知道正规软件的此种行为是必要的,因为他的正规众人皆知,而你所谓的其他软件或未知程序做此种行为又是为了干啥子呢?只能是不正当的手段了。)
因为根据其微点的行为特征来判定,由于默认了正常程序的行为流程那么也意味着其病毒或者恶意程序的流程也在微点中视为合法,这带来的后果我不想多说了(更白痴开来,阻断未知程序相同动作就是对用户的最大负责,除非你这台机器就是为了搞病毒的。况且,退一步,你要真有能耐,你赶明请个二百五做一个所谓未知软件正规途径访问动作,你试试,看看微点杀不杀得了你,看看是不是一帆风顺,你光放屁没用)。
另外,像NtWriteFile或者ZwWriteFile等一些内核例程,其实是把命令打成IRP丢到文件系统层,如果病毒不经由NtWriteFile或者ZwWriteFile这些内核例程直接像文件系统发送命令,那么微点有办法拦到嘛(你的初衷是基于病毒的放行性,也就是说,你把基本位置摆在了任何可行性上,而他吗不注重实际的技术可行性,你是一个唯心的小丑罢了)?
另外,随着操作系统内核技术公开化,有些病毒也许还会自带Driver,而这些Driver并不是由病毒动态加载。而是由系统每次启动时加载,也许比微点的Driver还要先启动起来。此时我就展开联想说一下,假设病毒Driver一旦加载,他要感染某个程序非常简单。最简单的方法是直接调用内核例程,像上面提到的,其次自动构造IRP扔到文件系统中,除非微点在文件系统Driver层进行拦截。OK,病毒Driver它干脆不扔文件系统层了,而走更低层的Disk磁盘层。有办法主动防御嘛?如果这都有办法主动防御,那么病毒根本不在使用操作系统提供的Driver层次结构,而直接使用IN、OUT指令来对硬盘进行读写。有办法主动防御嘛,可以说到了这里可以说从实践中基本上是无法拦截住了,就算在Disk层就很困难。当然不是没有办法,使用DR调试寄存器来拦截下来。当然不提其它什么更深层的RootKit技术。就说得更简单一点,如果病毒Driver一旦被加载是没有办法让其Unload,除非重启。主动防御不仅从理论上有缺陷,从技术层面来说是不可真正的实现动态监视,基于这两方面主动防御目前只能成为安全工具的辅助手段,也是不可完成的任务。(靠啊,看到这里才发现一个问题,首先,你的假设基础是一种超意淫的无敌病毒已经存在,并永远克服微点概念的逻辑设想。其次,你的所谓技术只是一些空谈的应付,比如说我们可以利用量子加速来驱动飞船在一个月内抵达冥王星,这可行乎?可实现乎?即便可行可实现这些空谈逻辑概念,是不是对立方就终止了?你是说,微点不进步,就停留在这个阶段,然后让病毒大肆升级,这不典型的唯心二元论吗?拜托你先去学学哲学概念再来意淫这些病毒技术和可行性可实现性!)
| |
※ ※ ※ 本文纯属【渗入危机】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-6-19 01:58 |
|
