微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点软件使用交流 » 杀毒软件、HIPS与微点 分析三者区别  

作者:
标题: 杀毒软件、HIPS与微点 分析三者区别
langzi2009
中级用户




积分 311
发帖 299
注册 2009-8-2
#1  杀毒软件、HIPS与微点 分析三者区别

[分享] 杀毒软件、HIPS与微点 分析三者区别
这里首先说一下,之所以把微点单独拿出来比较,是因为它既不同于传统杀软,又不同于通常意义的HIPS,从我个人的理解,微点不具备杀毒引擎,所以是绝对不能归类为杀软的,它更倾向与HIPS,不过更为智能化。今天作这个比较,是想让大家清晰认识三者的区别和各自的优劣

一、总论
1、杀毒软件

  

下载 (26.38 KB)

2009-10-30 10:27
纯个人理解,杀软需具备三大要素:
病毒特征库、杀毒引擎、监控
通过扫描,将系统中文件的特征码与其病毒特征库的特征码进行比对,如果特征码相符,则被判定为病毒,并通过杀毒引擎清除或删除。监控也是同样道理。
总之,杀软是基于病毒特征库的。

2、HIPS

  

下载 (14.91 KB)

2009-10-30 10:27
HIPS也需要具备三大要素:(为了便于说明,后面对HIPS的规则处理假定为询问)
规则、监控、拦截
若某个程序在运行过程中,触发了HIPS设定的某个规则,则HIPS会予以询问,并提示用户操作,而不论这个程序是否有害。即使正常的程序,也有可能被询问。

3、微点

  

下载 (11.05 KB)

2009-10-30 10:27
微点的特征非常明显:
行为库、监控、拦截,外加一个包过滤墙
所谓行为库,是由程序的连串行为构成,病毒通常具有类似的连串行为,比如释放驱动、改写注册表、释放系统文件、自启动等等,微点便是以这样的方式来判断病毒和木马的,所以某些单一的行为或者未知的行为,不论有害还是无害,只要不触发微点的行为库,便会被放行。


二、举例说明
仅仅说理论,可能大家听不懂也很枯燥,这里就举个例子说明
假设一个潜逃的杀人犯,我们的三大警察是如何抓住他的

1、杀软
通过识别犯人的相貌、身高、体重等特征,以判断他不是要找的犯人。如果犯人乔装打扮,且易容手法高超,完全改变了原来的外在特征,则杀软很有可能抓不住他(这就是所谓的加壳、免杀)。如果犯人继续作案,那么杀软会重新搜集犯人的特征,重新辨认(也就是更新病毒库)。垃圾杀软会将其当做一个新犯人,优秀杀软却可以识别犯人的基因特征,除非犯人改变基因(这就是所谓的脱壳,真正脱壳能力强的没几个,蜘蛛可是算是最优秀的,脱壳依赖的是引擎)。

2、HIPS
如果犯人就此改过自新,不再犯案,那么HIPS将会就此放过它。如果某一天,犯人继续有了作案的动机,假设他是拿枪去杀人,首先,犯人伸手去衣兜里(不管是不是去掏枪),HIPS会提示,是否阻止它?如果你放行,犯人会进行下一个动作,把枪拿出来,HIPS继续报警,是否阻止。如果放行,犯人接下来会瞄准目标,HIPS继续询问。再放行,犯人开枪杀死目标,系统崩溃,HIPS就此下课。

(还有一类特殊的HIPS,就是沙盘,比较有名的就是defensewall,就是它会虚拟一个环境,让犯人在虚拟的环境中杀人,事实上,犯人并没有真正杀死目标,一切都是南柯一梦。犯人的所有行为在虚拟环境中完成,不对真是系统构成威胁)

3、微点
如果犯人就此改过自新,不再犯案,那么微点也会就此放过它,这和HIPS相同。但接下来的就不同了。犯人进行第一个动作,伸手去衣兜里,微点不予理会,因为这一动作本身无害,也许犯人不是掏枪,只是掏钱而已。如果接下来,犯人掏出的不是凶器,微点无视,如果犯人掏出的是枪,微点会在此时报警,这两个动作加在一起才形成了威胁,只有在这种情况下,微点才会询问。如果犯人掏出的是一种微点从未见过,且不知道否会构成威胁的东西,微点仍然放行,然后目标人物被干掉


三、优劣比较
1、杀软
他的优缺点很明显,事前防御和事后补救俱全。事前防御是依靠病毒特征码,一切他所不知道的病毒或者因为加壳改变了代码的病毒,均不会被识别。但一旦收集到新的特征码,杀软仍可依靠强大的扫描能力进行查杀。

2、HIPS
事前防御滴水不漏,但事事要求用户决定是否放行,如果用户基础只是不足,错误放行,那么病毒将会侵入系统,HIPS没有查杀能力,也许可以继续拦截病毒的行为,但不能杀灭病毒本身,更不能修复被感染的文件

3、微点
事前防御根据病毒行为库判定,并不会对所有单一行为报警,只有当连串行为构成危险并触发其行为库事,微点才会报警。但如果某程序的连串行为不在微点的行为库之内,即微点无法识别这种行为是否有害事,系统被会病毒侵入,微点同样不具备查杀的能力,最多只能拦截病毒的部分行为,而无法杀灭。


四、继续举例
假设手动更改 .TXT的文件关联,使其关联到写字板程序
微点不会报警,因为这一单一行为不会对系统造成威胁

而EQ、中网S3等典型的HIPS,如果对这一文件关联设定了规则,则他们会提示这一修改,询问你是否放行。如果设定的规则是禁止的,则他们会直接禁止,使你无法改动文件关联。相对而言,EQ、中网的防御更为严密,但对使用者的要求更高,你需要自行判断某一程序的行为是否有害。

微点同样有规则,它的规则是以行为库(由程序的连串行为构成,病毒通常具有类似的连串行为,比如释放驱动、改写注册表、释放系统文件、自启动等等,微点便是以这样的方式来判断病毒和木马的)的形式体现,某个行为,无论是单一还是连串,无论有害还是无害,如果不在微点行为库的范围内,则不会被拦截。


五、总结
微点对某些广告和流氓的拦截不是很好,对IE插件的加载也很少报警,因为这些广告程序和插件,并不具备明显的病毒连串行为,这些程序通常只是改写一下注册表劫持浏览器,甚至不会自启动。
微点仍是建立在对已知行为的判断的基础上,对未知的病毒行为仍然毫无办法。只不过病毒行为通常是类似的,通过很少的行为库就能起到很好的防御作用。从这个意义上说,微点仍是被动而不是主动。

而中网和EQ,如果你对系统注册表关键位置进行了一些规则设定(EQ和中网内置的注册表防护规则非常全面),这些广告和流氓想劫持浏览器就成了不可能的事

杀软则不是通过程序的行为来判断,而是通过程序的特征码

最后一句话:
杀软通过程序本身的代码特征来判定是否有害
HIPS通过程序的单一行为来判定是否有害
微点通过程序的连串行为来判定是否有害
另外一个特殊的沙盘,基本不作判定,任由程序在虚拟环境中运行,使其无法破坏系统

※ ※ ※ 本文纯属【langzi2009】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-10-30 14:47
查看资料  发送邮件  发短消息   编辑帖子
HomeSGerMine
银牌会员

■■微点护卫队队长■■


积分 4888
发帖 4785
注册 2009-3-8
来自 哪里有微点,哪里就有我
#2  

所有事物都是相对的,微点的防御方式相对于传统杀软是主动的,因为攻击永远先于防御,所以微点是相对于其他杀软的更加被动的方式的主动,不存在是不是被动的问题,因为哲学上的主动在这里是不存在的,仅从这一点,楼主你的总结就是错误的!

[ Last edited by HomeSGerMine on 2009-10-30 at 19:28 ]

※ ※ ※ 本文纯属【HomeSGerMine】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方之荣耀,  中华之微点!---Micropint
2009-10-30 19:08
查看资料  发送邮件  发短消息  QQ   编辑帖子
HomeSGerMine
银牌会员

■■微点护卫队队长■■


积分 4888
发帖 4785
注册 2009-3-8
来自 哪里有微点,哪里就有我
#3  

还有,楼主提到的EQ等的注册表防御问题,引用楼主的“如果犯人就此改过自新,不再犯案,那么微点也会就此放过它,这和HIPS相同。但接下来的就不同了。犯人进行第一个动作,伸手去衣兜里,微点不予理会,因为这一动作本身无害,也许犯人不是掏枪,只是掏钱而已。如果接下来,犯人掏出的不是凶器,微点无视,如果犯人掏出的是枪,微点会在此时报警,这两个动作加在一起才形成了威胁,只有在这种情况下,微点才会询问。如果犯人掏出的是一种微点从未见过,且不知道否会构成威胁的东西,微点仍然放行,然后目标人物被干掉”这一句,换成是EQ等类型的杀软,也是一样的,如果敌人用的是EQ等没有见过的或者是无法防御的新的攻击方式的时候,依然是无济于事,所以又再次验证了我的观点:相对主动防御!

[ Last edited by HomeSGerMine on 2009-10-30 at 19:27 ]

※ ※ ※ 本文纯属【HomeSGerMine】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方之荣耀,  中华之微点!---Micropint
2009-10-30 19:11
查看资料  发送邮件  发短消息  QQ   编辑帖子
HomeSGerMine
银牌会员

■■微点护卫队队长■■


积分 4888
发帖 4785
注册 2009-3-8
来自 哪里有微点,哪里就有我
#4  

再者,我发现楼主的语言结构和逻辑顺序有严重问题,为什么只假设微点遇到未知的行为的无能?而为什么不把这同样一个情况应用到其他类型杀软上去?讨论软件的好与坏的时候,应该控制变量,你难道不知道吗?其次,把沙盘纳入安全软件的范围不正确!如果使用的是类似于qq等软件呢?虽然不会破坏系统,但你的帐号怎么办?所以说,楼主的逻辑和语言结构有问题

※ ※ ※ 本文纯属【HomeSGerMine】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方之荣耀,  中华之微点!---Micropint
2009-10-30 19:16
查看资料  发送邮件  发短消息  QQ   编辑帖子
zhangr123
注册用户





积分 84
发帖 82
注册 2008-3-12
#5  

不错,受教了。还是微点厉害!

※ ※ ※ 本文纯属【zhangr123】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-10-30 19:17
查看资料  发送邮件  发短消息   编辑帖子
HomeSGerMine
银牌会员

■■微点护卫队队长■■


积分 4888
发帖 4785
注册 2009-3-8
来自 哪里有微点,哪里就有我
#6  

最后,我希望楼主不是怀有偏意的人,应该用理性和客观的去看待任何一款安全软件,并且用合适和正确的方法去讨论任何一款安全软件!

※ ※ ※ 本文纯属【HomeSGerMine】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方之荣耀,  中华之微点!---Micropint
2009-10-30 19:18
查看资料  发送邮件  发短消息  QQ   编辑帖子
qqwangtao
中级用户




积分 456
发帖 454
注册 2009-6-17
来自 革命圣地——延安
#7  

中网S3搞的我系统蓝屏了N次!免费的还是不好!

※ ※ ※ 本文纯属【qqwangtao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

系统Xp+Win7,Xp防御武器:金山卫士+微点2.0+影子卫士Win7:金山套装+科莫多防火墙+Threat Fire+微点杀毒
2009-10-31 10:13
查看资料  发送邮件  发短消息  QQ   编辑帖子
坐照
银牌会员

正式版用户


积分 1426
发帖 1422
注册 2009-3-24
来自 湖北宜都
#8  

结合LZ的发另一篇帖子 行为杀毒不是神话,以及LZ行文的语气
经过微点的行为特征库判定

LZ应该是不用微点的人

※ ※ ※ 本文纯属【坐照】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-10-31 13:41
查看资料  发短消息  QQ   编辑帖子
HomeSGerMine
银牌会员

■■微点护卫队队长■■


积分 4888
发帖 4785
注册 2009-3-8
来自 哪里有微点,哪里就有我
#9  

我不知道楼主有何用意,但是无论如何,你的观点都是错的,因为你没有在同等条件下讲3类型的安全软件进行比较,仅仅是找到微点的客观上不可能完成的情况进行不合理的分析(例如发现坏人掏出从没见过的枪),这样是不能看出3者有什么差别...违背了帖子标题的内容,并且给人看了以后会觉得毫无意义,因为与其说这是比较杀软,不如说是找碴吧,哲学上的主动在现实上在任何领域都是不可能实现的,因为攻击永远比防御先,不可能做到绝对的主动防御,只有相对主动防御

※ ※ ※ 本文纯属【HomeSGerMine】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方之荣耀,  中华之微点!---Micropint
2009-10-31 19:40
查看资料  发送邮件  发短消息  QQ   编辑帖子
品味夜雨
新手上路





积分 19
发帖 19
注册 2009-10-31
#10  

争论比较激烈
八仙过海

※ ※ ※ 本文纯属【品味夜雨】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-10-31 20:26
查看资料  发送邮件  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号