tcjgdw@163.com
中级用户
积分 223
发帖 216
注册 2007-12-26
|
#1 关于“触发式”扫描引擎的设想
前言:
我是一名电脑业余爱好者,从2005开始使用微点,为了微点的进步,尽其所有,提出自己个人的一些观点和想法.
最近一些网友在论坛中强烈要求微点尽快出扫描引擎,我并不认为这是好事.靠特征值的扫描引擎只能对已知病毒有作用,对于未知病毒一点作用都没有,微点开发出来干什么?依靠特征值的扫描已没有什么发展空间,微点应另辟蹊径,要开发一种新技术超越依靠特征值的扫描引擎.这样才能真正与微点的主动防御能力相适应.
为了适应一些网友的要求,让电脑里没有激活的病毒能被微点扫描,确实是一件难事,一些论坛为了测试微点的威力,手工一个一个样本去运行,确实是件苦差事,回想2006年,为了测试微点的主动防御,每天要花上二三个小时来运行病毒样本,一年多的时间都在干这个苦差事,如果微点出了扫描引擎,但只能查杀已知病毒,对于微点的主动防御功能一点作用都没有发挥,没有激活的未知病毒照样在电脑里睡大觉,心里依旧不清静,心里也不会舒服些。
微点应该是集大成于一身的顶尖高手,有了主动防御的绝招,如果能在扫描引擎上再能开发出一种与主动防御相适应的引擎,就可以在世界杀毒市场上占有一席之地.我设想的这种引擎关键是要与主动防御相匹配,不光能查杀已知病毒,还能查杀未知病毒,那就是"触发式"查杀引擎.微点的主动防御就是一个比依靠特征值的病毒库大得多的病毒库,这个病毒库的最大一个亮点就是利用微点智能分析判定病毒的机制为病毒库,想想,这是多大的一个病毒库.远远超越现在微点开发的病毒库.
基本原理:
我所设想的“触发式”扫描,核心就是让病毒运行起来,再配合微点主动防御,就能查杀。以前杀毒界的想法就是要抑制或杀死病毒,并不想病毒发作,如果在主动防御技术使用前期,一个人想把病毒运行起来再查杀,大家绝对都会认为是个疯子,包括一些所谓的专家。可是主动防御必须让病毒运行起来,与特征值的扫描引擎的宗旨背道而驰,主动防御最大的问题就是病毒不运行,你无法查杀它,只要病毒运行起来了,什么都好说。
病毒知识介绍:
传染性是病毒的基本特征,是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,计算机病毒就会入驻内存运行。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
基本设想:
2006年,我在用病毒样本测试微点的过程中,发现一些现象,比如,我下载的压缩病毒样本包,微点当然不查杀,当我解压后,一些病毒发作,微点拦截,还有一些,当我打开文件夹时病毒才发作,微点拦截。可见,解压,打开文件夹等都成了触发病毒发作的条件,如果能开发出一款让病毒能激活的“触发式”引擎,配合微点的主动防御,相信微点能上一个台阶。
结束语:
现在,趋利性病毒攻击已成网络最大危害,象这类病毒,它们的激活条件很单一,并不复杂,要激活它们是很轻松的事,微点可以以流行广,触发条件简单的病毒群作为研究对象,然后逐步加入更加复杂的、特殊的触发条件的病毒。
以上仅是个人的初步想法,还不成熟,希望批评指正。
| |
※ ※ ※ 本文纯属【tcjgdw@163.com】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2008-10-23 14:58 |
|
jifengguo
新手上路
积分 34
发帖 34
注册 2007-8-10
来自 广州
|
#2
支持楼主,这个想法值得考虑啊,不过有个问题是如果触发了微点不能有效清除的病毒怎么办?岂不是帮助了病毒的发作?这一点还要考虑啊!
| |
※ ※ ※ 本文纯属【jifengguo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-10-23 17:25 |
|
norm
新手上路
积分 19
发帖 19
注册 2008-6-25
|
#3 一个字: 好!~
一个字: 好!~
别的先不说!~
没什么可说的!~
| |
※ ※ ※ 本文纯属【norm】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-10-23 17:43 |
|
tcjgdw@163.com
中级用户
积分 223
发帖 216
注册 2007-12-26
|
#4
我所说的触发是指让病毒运行起来,不论采取什么技术,要实现这样的技术还是有难度,可能与当初设计主动防御一样,万事开头难.文章中我提到解压,运行可以激活一些病毒,只是启发大家思路的作用,不一定要通过这样的形式来激活病毒.病毒运行起来后,要保证百分百查杀,那是后话,目前关键是如何让病毒运行起来,并对系统的运行速度没有多大影响,如果对系统的运行影响太大就不算成功的"触发式引擎"..
| |
※ ※ ※ 本文纯属【tcjgdw@163.com】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-10-29 22:47 |
|
zoxmes
新手上路
积分 14
发帖 14
注册 2008-10-30
|
#5
这应该是叫作启发式.国外很多杀软都采用了相像的技术.
| |
※ ※ ※ 本文纯属【zoxmes】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-10-30 21:35 |
|
408983504
银牌会员
此用户已被禁言
积分 1271
发帖 1238
注册 2007-1-6
来自 广东
|
#6
楼主的猜想不错啊~~!!
| |
※ ※ ※ 本文纯属【408983504】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
三用户版续费真TM的便宜啊! |
|
|
|
2008-11-2 10:21 |
|
|
