微点交流论坛 - 微点软件使用交流 - 主防拦截了一个未知病毒能否连未知病毒行为特征也一并提取？

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点软件使用交流 » 主防拦截了一个未知病毒能否连未知病毒行为特征也一并提取？

howl_home
高级用户

积分 504
发帖 500
注册 2010-10-9

#1 主防拦截了一个未知病毒能否连未知病毒行为特征也一并提取？

我知道主防会提取特征值，但是有些黑客会把病毒加密加强壳，这些病毒专业的工程师逆向起来也很麻烦的，作为软件当然和人脑不能比，依靠终端软件提取加密加强壳的特征值不现实。
解决方法1要么提取哈希，这个太弱了，只要改下就能过。
2要么追踪病毒的行为把这些行为提取出来，能较好的杀掉同类病毒，不过有误报的时候。
3通过“云”等快速上报，不过微点没有“云”

而且黑客生产的同一家族的病毒很多，如果每个都上报攻城师的负担太重了。

个人认为的比较合理的解决方法是：拦截到了病毒或者可疑程序（部分行为达到了病毒的标准）

做出标记【编号 — 方便区分

和病毒有关的信息 — 哪来的？网上下的话带上url，时间，地点

那些生成/更改 — 经常都有病毒生成删除\文件注册表导致系统异常的！

行为 — 所有行为包括一些正常行为】

把标记和病毒文件上报，病毒文件用来给攻城师分析的，标记通过微点的服务器给个个终端分发，及时跟新。终端检测到符合标记的程序迅速拦截，病毒分析有结果后把特征值通过服务器分发，替换之前的标记

※ ※ ※ 本文纯属【howl_home】个人意见，与【微点交流论坛】立场无关※ ※ ※

中国南海舰队核潜艇大队大队长

2012-9-12 13:50

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#2

感谢您对微点的关心和支持，您的建议已经转交相关部门，我们会认真详细讨论，欢迎您继续关注和使用微点主动防御软件。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2012-9-12 14:28

真小读者
中级用户

积分 307
发帖 308
注册 2011-11-23

#3

好建议，支持。

※ ※ ※ 本文纯属【真小读者】个人意见，与【微点交流论坛】立场无关※ ※ ※

2012-9-12 14:51

坚守梦想
中级用户

积分 205
发帖 205
注册 2010-1-1

#4

许多问题都搞不明白，看看身边的人也没在用微点的。

※ ※ ※ 本文纯属【坚守梦想】个人意见，与【微点交流论坛】立场无关※ ※ ※

2012-9-12 21:45

932356023
中级用户

积分 309
发帖 307
注册 2010-8-28
来自福建省福州市

#5

标记如果是微点本地程序生成的。

那么在上报微点服务器分发后唯一的作用就是让其它用户的微点本地程序直接获取本来运行后也能获取的标记。

那请问，有标记就要拦截么？如果要，这样就是让每个用户的微点本地软件帮其他用户的微点本地软件工作。通过微点服务器加快微点用户的拦截速度。

但是，标记相当于误报，未确认前就让其它微点软件提前拦截可行么？而且靠服务器分发还兴师动众！不经济！

再者因为标记是模糊的东西，而且所有微点本地程序的行为分析一样。
如果一个标记程序运行过程中被微点判定为恶意程序并且进行拦截，那就拦截了。
如果微点觉得有点可疑但是达不到拦截的标准。那么这个人电脑上不拦截，生成标记给其它用户拦截么？

除非楼主说的是怕微点想拦截某个标记，但是运行后拦截不住了，无法回滚了？
所以生成标记，提醒其它用户的微点提前拦截这个行为咩？

所以我还是不知道楼主在说啥= =

总结：楼主提出的这个概念从实用性来说还不如“云技术”哟

[ Last edited by 932356023 on 2012-9-13 at 19:11 ]

※ ※ ※ 本文纯属【932356023】个人意见，与【微点交流论坛】立场无关※ ※ ※

本人安全体系：微点主防为主，金山卫士为辅，雨过天晴是后悔药。

2012-9-13 19:08

电视看
注册用户

积分 159
发帖 159
注册 2011-3-24

#6

是的现在的微点还有待改进呢，杀毒不给力呢

※ ※ ※ 本文纯属【电视看】个人意见，与【微点交流论坛】立场无关※ ※ ※

2012-9-13 20:37

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号