微点交流论坛 - 主动防御 - 主动防御不可完成的任务(-)

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 主动防御不可完成的任务(-)

551

46/56

cnhakkas
新手上路

积分 16
发帖 16
注册 2007-1-11

#451

Quote:

Originally posted by calm_cs at 2006-9-1 13:51:
不然，我就有点质疑，微点该不是以特征码查杀为基础，以主动防御这个噱头为卖点吧，要是这样就太对不起广大朋友对微点的支持了。我觉得微点应该给出这方面的测试数据，或对这个情况进行说明，来打消我们这些技术爱好者的疑虑。

这一点，也是大家的疑问......

还是像第3页两位版主所说，知道就成了，毕竟人家也是为了生存，能用、能帮我们省点力气，就这么过吧

※ ※ ※ 本文纯属【cnhakkas】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-9-7 12:23

cnhakkas
新手上路

积分 16
发帖 16
注册 2007-1-11

#452

呵呵，这里我也向nasdaq鼓下掌，开下炮。

Quote:

Originally posted by nasdaq at 2006-9-1 19:28:
哈哈，开工，目标llcracker朋友的 33、38帖，calm_cs朋友的34、37、41帖

首先，我想大家应该理清两个概念：产品和技术。

技术就是一种技术，譬如说行为引擎。

产品是将多种技术融合到一起的一种商品，譬如说微点主动防御软件（以下简称微点）。

基此，我有以下的一个表述：微点是包含有行为引擎技术的一种产品。特别要说明的是，微点并不只有一个行为引擎技术，最起码还包括特征码技术（见置顶帖，官方从未否认过使用特征码），最起码还有包过滤防火墙技术，最起码还有UI设计相关技术。

我今天又粗略地学习了一遍置顶帖们，结合我的体会，谈谈我的学习心得：

1.微点的总体出发点
对于特征码技术的滞后性，前面的讨论中我们大家都已达成了共识。微点的一个总体出发点就是想解决滞后这个致命的缺点。为此，微点提出的一个技术方向就是行为引擎，虽然在目前这个初期阶段，存在有很多这样那样的不足。但是，我们欣喜地看到了一些进步，譬如说国内的“黑小子们”喜欢加工灰鸽子，几乎每天都会有穿新衣服的灰鸽子出现。微点对此表现不俗，很遗憾由于我手中的样本量很有限，我无法提供有说服力的量化指标。

就如nasdaq版主所说，穿着新衣服的huigezi，事实上，这并不能说明你所谓的解决滞后性问题和行为引擎概念，表里表里，衣服下的里，这是特征码完全可以解决的，照您所说，微点的行为引擎，有点类似“微点特色的特征码”味道。

客观的说，目前的微点确实还谈不到彻底解决滞后性的问题，但是微点有力地缓解了这个矛盾，这一点有目共睹。

2.行为引擎与微点
任何一种技术都是有其使用范围的！（呵呵，我不知道在哲学里面怎么讲，但是我说的这个精神应该是对的，可能叫辩证法吧）正如咱们以前讨论的结果，特征码不是万能的、虚拟机不是万能的、行为引擎不是万能的。

在市场经济中，想必每一种产品，都会努力扩展其实际的应用范围，以最大程度地谋求市场的认可。在这种情况下，只使用单一技术，只能处于竞争地劣势。所以很多厂家在把技术转变为产品的时候，都会以某一个或几个技术为核心，多种辅助综合方案共同发展。目的就是为了最大限度的扩展产品的应用范围。

微点也不例外，行为引擎技术本身也会有它的使用范围。另外，llcracker朋友说的那些技术太专业了我不太懂没法评论。但至少我们大家都看到微点目前是处于并将长期处于行为引擎的初级阶段（哈哈当然中等发达程度肯定不至于要到本世纪中叶），初级阶段就意味着各种各样的问题肯定是不少的。从一个侧面，证明出行为引擎特别是初级阶段的行为引擎，必然会有其局限性。虽然论证方法不一样，但对于行为引擎会存在局限性这点，我和llcracker朋友算是殊途而同归吧。

接下来就很必然了，微点软件同时应用多种技术和辅助方案，以求达到一个较好的综合防止效果。譬如说对于有些朋友提到的用户参与问题，我个人就比较倾向用大型白名单库来解决。一个大型白名单库，可以极大地解放最终用户，可以使得大多数乃至绝大多数常用程序，无须用户干预，即可安全运行和网络放行，同时也可缓解行为引擎监控的压力，提高计算机的整体运行速度。余下的一些少常用程序，可以由用户在微点技术服务部门的指导下，进行相应处理。特别要说一些亦正亦邪的程序（譬如网游外挂），出于对网游著作权公司的尊重，也不可以加入白名单轻易放行，还是向用户报警为佳。由用户自行鉴定，在技服的帮助下处理。

这一段照说字面上绝对实在，可是细细一看，nasdaq版主的李代桃僵之计还更实在。不过划线部分，还是要赞一下，微点这个是做得非常不错的。但这里就引申一个问题，没有一点基础的用户，是否是微点的目标客户群？这方面涉及到的分级问题，我觉得微点应该向麦啡看齐。

3.主辅之争

目前的几种杀毒技术都不完美，组合成产品，便引出了llcracker朋友提出的谁主谁辅问题。

咱们先讨论一下关于全盘扫描和实时监控谁主谁辅的问题，这个问题其实不是技术问题，我认为完全是用户用途用法的问题。

我没有做过抽样统计调查，仅以我个人为例，做一下探讨。
我的基本情况是：比较熟悉计算机技术，有一定的信息安全判别能力，数据量较大（常用的在260G左右）
所以我目前的基本信息安全方案，是以实时监控为主，不愿意浪费时间去做全盘扫描杀毒。当然有时用扫描引擎对我收集的样本作分类鉴别用。
在接触微点之前，特征码型实时监控并不能满足我的安全需求，所以我用黑冰的应用程序控制来提高防范水平。
在安装微点之后，我个人感觉微点的行为引擎比我以前用的那些特征码实时监控带来了突破性的进展，防范能力大幅飙升，呵呵，当然我也自信有能力来处理好微点的报警提示。

以我的个人情况来做总结，实时监控的应用远大于全盘扫描。所以我力挺行为引擎。
当然，每个用户的情况都是不一样的，想必有一些用户是以全盘扫描为主要应用，平时不开实时监控。对于他们来说，当然行为引擎的意义就不大了。

呵呵，说句玩笑，如果以累计运行时间来做决断的话，对于全盘扫描的总累计运行时间来说，实时监控的总累计运行时间必然会有压倒性的优势。哈哈，当然这个算法太玩笑化了，无法作为有效论据的。

市场很大的，如果被一种产品垄断，应该说是一种悲哀，因为哪意味着相当数量的人在被迫使用不太适宜的产品。呵呵，说句题外的，譬如说对于咱们健全人来说，加碘盐是很好的东西，这点要感谢政府的大力扶持。但是很遗憾，这个世界上有一种病叫做甲状腺机能亢进，得这个病的患者是不能吃碘的。面对政府的好意——市场上严厉查禁非加碘盐，他们反倒活得很麻烦。

这个严重同意

4.关于主动防御

最后再来说一下主动防御，主动防御这个词的来源我没考证过。有了解的朋友请多多指教。

从微点的产品名称可以看出，主动防御是修饰微点软件的，好像是定语吧。我认为，主动防御是微点的一句商业口号，从商业宣传角度来说，主动防御四个字，显然比啰里啰唆的解释半天什么行为引擎、什么特征码滞后性的宣传效果要好的多。对于，主动防御四个字能否代表微点软件的神韵和特点呢？这是人家微点公司自己的事儿，咱们没有必要指手画脚。对于微点所针对的，完全被动靠升级特征码库和处置方案库的传统特征码引擎，微点确实可以不依赖升级也能识别很多恶意程序（老问题，我没有能力作出有说服力的量化说明，抱歉了）从这个意义来说，微点使用主动防御这四字，是有一定道理和依据的。

目前的现实是，似乎杀软行业都把主动防御这个词当成一个普遍应用地宣传口号了，说明书上有主动防御四个字，也就代表了该软件有一定的查杀未知道特征码的病毒的能力。具体效果我没有测试过，所以不敢妄加断言。

但我想，按照国内市场宣传的不良惯例，此主动防御非彼主动防御（微点）的概率应该是挺高的。李鬼和李逵的矛盾是永远存在的。

我并不是说只有刘旭可以开发出行为引擎，而别人就肯定都写不出来。现实是，创新性开发真是一个挺麻烦的事情呢，没多少人愿意去为风险投资为风险努力。国内论坛上有人写过一篇杀毒引擎的讨论文章，那文说世界上源头只有五大杀毒引擎。我不敢相信作者所说的数据都是真实有效的，但我领会到的一个精神是引擎是很麻烦的，数量很少很少。国内最大的软件公司，不就是买引擎来用么。

看到这个，我觉得有关微点的技术与噱头的争辩也该终止了，大家还是走回楼主的标准与定义的讨论吧。

nasdaq版主言辞犀利，赞一个！人也够实在，再赞一个！呵呵

※ ※ ※ 本文纯属【cnhakkas】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-9-7 12:39

cnhakkas
新手上路

积分 16
发帖 16
注册 2007-1-11

#453

看到第10页，看不下去了。llcracker对技术的分析让我五体投地，calm_cs在大方向的把握上，最起码是我目前拍马难及的。综合两位大侠的分析，令我有豁然开朗的感觉。先下线好好体会一下了。

也希望两位大侠能在平时给予指导。hepanweng@gmail.com

※ ※ ※ 本文纯属【cnhakkas】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-9-7 12:53

pwj510
新手上路

积分 1
发帖 1
注册 2008-9-9

#454 不完全赞同。

一句话，因为你的外挂非法。

它的主动防御目前虽不完善，但是效果是显而易见的，至于主动防御技术是否能真正实现还要看以后软件以及编程技术的发展了。

行业标准的制定是为了规范从产品的设计研发，生产，到销售，服务等一系列流程，以更好的满足各种用户的需求，杀毒软件的标准就是保护用户的信息安全，虽然目前杀毒行业内关于主动防御的标准暂未制定，但就目前业内各种反病毒技术防病毒的效果来看，微点确实处于世界前列，这么说是因为反病毒软件的目的无非就是在“不对用户的设备使用造成不适当的影响”前提下防止恶意程序对用户的信息安全造成威胁和损失，微点占内存很少，对机器运行几乎没有影响，杀毒能力那是不用说了，最重要的是不必频繁更新以及出现各种一般用户不太确定的操作提示，在这一点上很多杀毒软件根本做不到！

[ Last edited by pwj510 on 2008-9-9 at 11:54 ]

※ ※ ※ 本文纯属【pwj510】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-9-9 11:29

yurong7777777
高级用户

积分 536
发帖 534
注册 2008-9-12

#455

说得好，要自由言论，这样社会才有进步

※ ※ ※ 本文纯属【yurong7777777】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-9-12 10:15

jeneson
新手上路

积分 11
发帖 11
注册 2008-3-31

#456

哎呀，说了那么多我自己都看得好糊

要不这样，自己去下载点内核级的马儿在自己电脑上测试下不就知道了吗？

※ ※ ※ 本文纯属【jeneson】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-9-14 10:52

zhanxiaohai
新手上路

积分 32
发帖 32
注册 2008-8-29
来自陕西汉中陕西理工学院

#457

微点是个专家系统吗
不一般

※ ※ ※ 本文纯属【zhanxiaohai】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-9-28 21:15

kimmyyuyu
新手上路

积分 6
发帖 6
注册 2008-7-2

#458

用了微点一年,起码还没中过毒
以前用瑞星咔吧 23 个星期就重装,要是杀度软件好,我还会换杀毒软件嘛?
至少再怎么样,微点用了这么久还是没换.
这不是就成了嘛...

※ ※ ※ 本文纯属【kimmyyuyu】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-10-4 21:18

pluto_shen
新手上路

积分 31
发帖 31
注册 2008-10-7

#459

强帖留名，看到现在这楼真不容易。

很早以前安装过微点，出了一些奇怪的问题，只能卸载了。

最近安装了新版本的，感觉很不错。

※ ※ ※ 本文纯属【pluto_shen】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-10-10 14:04

mjhy61
新手上路

积分 20
发帖 20
注册 2008-10-13

#460

这个技术含量太高实在看不懂，不过个人感觉微点是在开创一个杀软的新时代，并且从技术的角度想（自己想的，并非专业人士），这个主动防御确实会是下一代杀软发展的方向，因此我还是毫不犹豫的购买了微点，尽管我的正版卡巴因此而失效（还有大半年的使用时间），马上换装了微点，但我感觉还是值得了。卡巴目前尚未解决的与OFFICE的冲突问题都让我头痛不已。希望微点能做的更好一些，再好一些。

※ ※ ※ 本文纯属【mjhy61】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-10-13 20:54

551

46/56

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号