» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 对微点产品的一些疑问！    31   1/4   1   2   3   4   >  作者: 标题: 对微点产品的一些疑问！ calm_cs 新手上路 积分 44 发帖 44 注册 2006-8-26 #1  对微点产品的一些疑问！ 我没有用过这个产品，但是从对他的介绍来说，我觉得它用的是APIHook技术，而不是虚拟机技术。两者的优劣暂不讨论，我知道国外的一家著名的光盘保护企业starforce也才退出了一款概念相同的产品，叫 safe‘n’sec,由于我供职一家虚拟光驱研发公司，和starforce打了多年交道，它们最厉害的就是系统挂接。我觉得他们的产品采用的还是这个技术。但是他们在它的产品主页上向用户明确指出，这个产品可以加强传统杀毒软家对计算机的保护缺不能代替传统的杀毒软件，它应该是与传统的杀毒软件配合使用，而且它的兼容性很好。再这里我只是想了解一下，微点的这款产品到底采用的是什么技术，能够完全替代传统的杀毒软件吗。我对微点的遭遇也很同情，不过我觉得任何厂商都应该把完全的信息向消费者披露，好让消费者去选择。 ※ ※ ※ 本文纯属【calm_cs】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-8-26 11:13 flo 注册用户 积分 168 发帖 168 注册 2006-8-17 #2   说些我的粗浅见解吧。 微点这个软件出了基本的APIHook外还是有一点自动化成分的。 我以EXE木马为例，它应该是假定一个EXE木马至少要访问网络或者创建远程线程。 所以它监控了网络和CreateRemoteThread。那么当一个进程有这种行为的时候，它大概就开始看这个进程有没有在一些启动项中出现。如果有的话，就极有可能是一个EXE木马。 从Safe'n'Sec的介绍来说，它应该和System Safety Monitor类似。 从我个人来说微点还是只能辅助传统杀软，而且我也觉得微点这种把自己的技术信息遮遮掩掩的做法很不爽。从它官方披露的信息基本上不能够知道它到底是什么软件。 ※ ※ ※ 本文纯属【flo】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-8-26 12:19 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #3   微点同时具有杀毒软件和防火墙的功能； 微点主动防御软件通过建立动态仿真反病毒专家系统，依据程序行为自主分析判断技术实时监控系统进程，微点是一套复杂的逻辑判断； 欢迎大家做深入的测试，并提出很中肯的意见 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2006-8-26 13:39 calm_cs 新手上路 积分 44 发帖 44 注册 2006-8-26 #4   我看了一下，感觉和我提到的那款starforce的工具功能相似。我们都是做程序的，说点实际的东西吧。我们不管里的概念如何，如果光是一款这样的软件，你如何避免许多的误判和虚警了。其实启发式扫描技术也有这个问题。我不否认主动防御类软件的诸多好处（因为我们公司也有这方面的意向，我正在做一些技术评估工作），但是概念有很多模糊之处，作为我们具体的实现者来看，不确定性会给杀毒的效果带来很多的副作用。所以启发式扫描和主动防御一样尽管他们在查杀未知病毒上面有优势，但是它们的精确性与特征码还是有很大的差距。所以现在市场上的杀毒软件，没有谁会只采用启发式扫描。同样，主动防御技术也只能做为传统杀毒软件的一种补充。因为，它永远达不到它的理想状态。我自己还是更看重虚拟机技术。 ※ ※ ※ 本文纯属【calm_cs】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-8-26 14:02 flo 注册用户 积分 168 发帖 168 注册 2006-8-17 #5     Quote: Originally posted by calm_cs at 2006-8-26 14:02: 我看了一下，感觉和我提到的那款starforce的工具功能相似。我们都是做程序的，说点实际的东西吧。我们不管里的概念如何，如果光是一款这样的软件，你如何避免许多的误判和虚警了。其实启发式扫描技术也有这个问题 ... 嘿嘿，赞成。 纯粹的“主动防御”软件要减轻虚警只能对可信程序建立特征库予以排除。 Windows一个如此庞大的系统。行为何其多。我替换一个自启动程序算不算危险？我改一下桌面某个快捷方式的路径算不算危险？我启动一个浏览器算不算危险？我替换一个COM算不算危险？很难说吧。那么，我加载驱动、添加新硬件呢？ ※ ※ ※ 本文纯属【flo】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-8-26 14:38 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #6   微点是一套复杂的逻辑判断，不是依据单一的动作； 微点主动防御软件依赖于动态仿真反病毒专家系统的病毒识别规则知识库来自动准确判定新病毒，当前流行杀毒软件依赖于专业反病毒人员手工判断提取的病毒特征码。在防范新出现病毒的时间上，微点主动防御软件是实时发现新病毒，当前流行杀毒软件需要等待防病毒公司更新病毒特征码后才能发现病毒。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2006-8-26 15:54 calm_cs 新手上路 积分 44 发帖 44 注册 2006-8-26 #7   不是吧，启发式扫描技术在查杀未知病毒上的效果也不错哟。而且所谓的专家系统说白了，就是根据大量的病毒的规律和它们的表现的一种经验的总结。这些经验可以说能够查杀大量的病毒，可是大家都知道这些经验都要进行一定的平衡，怎么说吧，它必须能够有利于查杀更多的病毒，有不至于造成太多“狼来了”的后果。所以，这样它势必会影响病毒的查杀。根基权威的公开病毒测试结果，启发式技术在不依赖任何病毒库的情况下，查杀的准确率是85％，我不是不相信贵公司的技术，但是我觉得你的评测结果在不依赖任何病毒库的充分测试中，未必能比它做的好很多。这也是为什么病毒特征码不能被取代的原因。所以，我还是要说，即使贵公司现在这款软件在查杀防范未知病毒方面有优势，也是不能取代传统的杀毒软件的。 ※ ※ ※ 本文纯属【calm_cs】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-8-26 16:06 aidi 中级用户 新手上路 积分 256 发帖 221 注册 2006-3-6 #8   微点好像没有说过要取代传统的杀毒软件的，楼主自己以为的吧？ 启发式扫描应该是传统的特征值扫描的一次更新，它不仅是扫描那些已知的病毒特征值，而其加入了对特定指令的组合情况的扫描，并按照那些病毒常用指令出现的情况及组合，来判断是否为未知的病毒；相对于传统的特征值扫描，它可以发现那些病毒的变种程序，但也避免不了误报； ※ ※ ※ 本文纯属【aidi】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-8-26 16:24 一个人的旅行 中级用户 新手上路 积分 379 发帖 365 注册 2005-11-2 #9   人家微点从来没有说要去取代传统的杀毒软件技术，在现在病毒日益猖獗，新病毒增加的无论是数量还是传播的速度是传统的提取特征所能解决的吗？ ※ ※ ※ 本文纯属【一个人的旅行】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-8-26 16:25 aidi 中级用户 新手上路 积分 256 发帖 221 注册 2006-3-6 #10   在几年前，病毒数量不多的时候，特征码扫描这个模式还可以应付自如。但现在的病毒数量剧增，传播的速度越来越快，亡羊补牢的模式已经显露出很大的弊端，不能满足用户的安全需求，用户需要的是未雨绸缪，提前防御。   传统的征码扫描模式造成用户因为病毒造成的损失越大，反病毒市场的商业价值越大，反病毒厂商的利益越大，这是不正常的； 正常合理的逻辑应该是：反病毒厂商的价值应该体现在减少病毒的损害； 也就是说，反病毒市场的商业价值应该和病毒带来的损失成反比。 ※ ※ ※ 本文纯属【aidi】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-8-26 16:35  31   1/4   1   2   3   4   >  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号