微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 请教:微点的动态仿真技术究竟是指什么?  

作者:
标题: 请教:微点的动态仿真技术究竟是指什么?
LjhEARTH
新手上路




积分 45
发帖 45
注册 2006-8-25
#1  请教:微点的动态仿真技术究竟是指什么?

自己对微点的技术还不了解,以前一直认为微点的动态仿真技术是指“虚拟一个反病毒专家”,即为一个纯粹的智能技术(见微点主动防御软件重大技术创新中的“创立动态反病毒专家系统”)。但是Lengend代表官方的说法“微点是以“程序行为自主分析判定法”为理论基础,其关键是从反病毒领域普遍遵循的计算机病毒的定义出发,采用动态仿真技术,依据专家分析程序行为、判定程序性质的逻辑,模拟专家判定病毒的机理,实现对新病毒提前防御。”,这个说法让我不知道我之前的理解是否正确。
微点的行为监控引擎的第一步是对程序的API调用进行监视,对于无论是正常程序还是有害程序来说,“单一的动作”或“简单的几步动作”都有可能是正常行为,此时微点是否真的让该动作PASS了?看上去应该是,这就会出现对于驱动级病毒加载后即使发现了也只能通过重启清除的情况。如果不是,那么就提前对接口进行了封锁,但是这样就会造成即使是正常程序也无法执行下一步动作了,所以,微点是不是采用创新的技术“欺骗”了程序认为自己成功调用了接口进而执行下一步动作?而这个技术就是微点的“动态仿真技术”。如果真是这样,那么微点实际上也是使用了更简洁更高效的类虚拟机技术了。
所以,微点的动态仿真技术究竟是指“仿真一个反病毒专家的智能”还是“动态仿真程序执行的需要条件”?

※ ※ ※ 本文纯属【LjhEARTH】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 12:28
查看资料  发送邮件  发短消息   编辑帖子
曙光
版主

版主



积分 1421
发帖 1420
注册 2005-11-1
#2  

超版已经说的很清楚了微点是“采用动态仿真技术,依据专家分析程序行为、判定程序性质的逻辑,模拟专家判定病毒的机理,实现对新病毒提前防御”,如果你要知道微点对病毒的处理过程,那是微点的专利,估计只有刘老大知道!

※ ※ ※ 本文纯属【曙光】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

技服电话:0591-87569401、87516430、87539717
东方微点“反病毒技术交流”群:
       ·QQ群:630086 或 1471553 或 16998902
   
2006-10-4 12:32
查看资料  发短消息   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#3  

说说我的理解吧。我对于官方宣传向来不感兴趣,国内的技术公司宣传从来是让人云里雾里,不知道在说什么...虽然说是专利,但是总得大概让人明白是个什么东西吧。
微点的行为监控和几乎所有的主动防御软件的行为监控,都是基于涂改SSDT的。关于SSDT(System Service Dispatcher Table)请参看Undocumented Windows 2000 Secrets(虽然和XP稍有不同,但大体还是一样的)。所谓关于API的拦截都是在SSDT这个Ring3到Ring0的当口上拦截下的。这也就是为什么微点至少要求系统是Win2000。
微点目前会对启动程序、写文件、进程注入、网络(网络用的应该是TDI)进行拦截。所以当一个程序启动后,微点会把它写的所有程序的行为都归到这个母程序名下。然后分析相关注册表项,看看是否有程序和一些重点注册表项有联系。当然这里还有一些其它的分析,这也不是我们关心的重点。然后如果符合某些特定的规则或可疑行为超过一定量微点就报警,如果用户要求清除,那么微点就把前面可疑程序所有做过的事情统统逆过来(你创建进程我结束、你写文件我删掉、你写注册表我改回来)。
也就是因为这个原因,所以我才暂时不指望微点完美对付驱动级的东西,毕竟是拦截在Ring3下的。(微点目前对付驱动级的东西还是基于特征码的)
从一定层面上讲,微点这种防御体系,只能防御已知行为的木马、蠕虫、简单恶意程序。对于文件型病毒和采用新的行为的木马(微点未知的行为)等不能很好的防御、清除。

[ Last edited by flo on 2006-10-4 at 19:17 ]

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 13:53
查看资料  发短消息   编辑帖子
rushmore
新手上路





积分 5
发帖 5
注册 2006-9-25
#4  

三楼说到点子上了,“采用动态仿真技术,依据专家分析程序行为、判定程序性质的逻辑,模拟专家判定病毒的机理,实现对新病毒提前防御”这个不是技术分析的语言,是广告

※ ※ ※ 本文纯属【rushmore】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 16:46
查看资料  发短消息   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#5  



  Quote:
Originally posted by rushmore at 2006-10-4 16:46:
三楼说到点子上了,“采用动态仿真技术,依据专家分析程序行为、判定程序性质的逻辑,模拟专家判定病毒的机理,实现对新病毒提前防御”这个不是技术分析的语言,是广告

是啊,广告语言和技术语言还是有很大区别的...
上次看金山的宣传材料,什么数据流杀毒技术,什么抢先杀毒,我汗啊,不明不白的,什么是“数据流”,怎么对“数据流”“杀毒”, 完全是概念炒作。我记得后来还仔细看过,“抢先杀毒”基本就是一个空架子...
这一点我还是欣赏KV和Kaspersky的作风。至少它的介绍能让我知道他想要干什么。(卡巴到360那里又变味了,卡巴说对未知蠕虫不低于92%,360说对未知病毒查杀接近100%,准确的语言立马就模糊了)

[ Last edited by flo on 2006-10-4 at 19:07 ]

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 18:54
查看资料  发短消息   编辑帖子
反黑先锋
版主

RUNWAY


积分 2901
发帖 2857
注册 2006-6-17
#6  



  Quote:
Originally posted by flo at 2006-10-4 13:53:
说说我的理解吧。我对于官方宣传向来不感兴趣,国内的技术公司宣传从来是让人云里雾里,不知道在说什么...虽然说是专利,但是总得大概让人明白是个什么东西吧。

不管是云还是雾 测试才是硬道理。


所谓病毒这种非法的恶意程序,一定要把自己的主体植入内存。即在受害体的电脑上运行。任何程序在不运行的时候都失去自己存在的意义。电脑病毒必须运行才能产生病毒的危害。

微点是依据行为判断 有危害系统行为发生 微点就会处理

有危险 我就点。

※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔
2006-10-4 19:27
查看资料  发短消息   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#7  



  Quote:
Originally posted by 反黑先锋 at 2006-10-4 19:27:



不管是云还是雾 测试才是硬道理。


所谓病毒这种非法的恶意程序,一定要把自己的主体植入内存。即在受害体的电脑上运行。任何程序在不运行的时候都失去自己存在的意义。电脑病毒必须运行才能产生病毒的 ...

微点对于文件型病毒的方法就是禁止任何程序修改其它程序的Section Table等,虽然是能起到防范大多数文件型病毒感染其它文件的作用,但是并不能清除已有的病毒。
而且说实话,你测试的范围以木马为主,对于一款行为分析软件来说还远远不够。

[ Last edited by flo on 2006-10-4 at 19:36 ]

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 19:29
查看资料  发短消息   编辑帖子
反黑先锋
版主

RUNWAY


积分 2901
发帖 2857
注册 2006-6-17
#8  

感谢大家的建议  相信刘旭和微点工程师们 对自己的产品 要求是非常高的。


如遇到疑为病毒木马的文件,请用压缩工具(如RAR,ZIP)压缩发送至病毒上报邮箱。

病毒上报邮箱:virus@micropoint.com.cn

如需技术支持,请联系技术支持邮箱。

技术支持邮箱:support@micropoint.com.cn

技服电话:0591-87569401、87516430、87539717

微点技术交流QQ群:630086 或 1471553 或 16998902 (默认只开放其中一群,请会员逐个试下)


※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔
2006-10-4 19:37
查看资料  发短消息   编辑帖子
青豆
高级用户

超级发动机


积分 523
发帖 489
注册 2006-9-28
来自 汹涌澎湃浮沉混沌湍流
#9  

如果病毒替换或修改了系统文件,而微点需要重启才能杀掉这个病毒,而重启又需要那个被修改的系统文件,导致启动不了,微点怎么办?!

※ ※ ※ 本文纯属【青豆】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-7 09:58
查看资料  发短消息   编辑帖子
曙光
版主

版主



积分 1421
发帖 1420
注册 2005-11-1
#10  



  Quote:
Originally posted by 青豆 at 2006-10-7 09:58 AM:
如果病毒替换或修改了系统文件,而微点需要重启才能杀掉这个病毒,而重启又需要那个被修改的系统文件,导致启动不了,微点怎么办?!

如果是个修改动作的话,微点在感染前就会阻止了!

※ ※ ※ 本文纯属【曙光】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

技服电话:0591-87569401、87516430、87539717
东方微点“反病毒技术交流”群:
       ·QQ群:630086 或 1471553 或 16998902
   
2006-10-7 10:01
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号