微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点茶室 » 微点自定义规则畅想  

作者:
标题: 微点自定义规则畅想
rockyu
注册用户




积分 193
发帖 185
注册 2008-12-31
#1  微点自定义规则畅想

微点是不开放自定义规则的,我想如果微点出自定义规则的功能,应该比HIPS强很多吧
举个列子,现在的微点已经加入了防网马的功能,如果能自定义规则只需要关闭IE的下载功能,禁止一切程序在临时文件夹里运行,关闭IE时自动清空临时文件夹,堵住网马进入的渠道,大部分是可以防住的,官方似乎就没有必要加入这个功能了  至于流氓软件如QQ,迅雷等通过自定义规则的限制
HIPS弹窗是无比让人心烦,加入自定义规则是否也会这样?我说,其实可以实现完全无弹窗。 很简单,一个优先级的问题,微点的内置规则优先级高于自定义。
一个程序运行,首先是内置规则检验,无问题则参考自定义规则,如果自定义规则=0,则运行:OR内置规则未通过,杀掉:OR自定义规则限制,则禁止运行。   所以可以是根本就没有弹窗,不必象HIPS那样有询问,允许,禁止等选项,因为自定义规则是依托于强大的主防之下
我在用HIPS那会,安全的原则是禁止一切,放行列外。说实话,那并不是行为防御,而是对象防御,自定义规则其实也是一样,有几个人能完全看懂那些提示,而依托于主防的自定义规则可以实现行为防御和对象防御的结合,而且无弹窗,让用户自己打造一个壁垒。毕竟,行为防御也不是万能的
要是微点也有类似HIPS那样的3D的自定义规则,或者比单纯的HIPS要强上很多。不会用的可以不用,会用的能更安全!可惜没有 然后再借助微点的进程查看,生成子程序查看,注册表的定位。。。无敌了!!!呵呵
今天心血来潮,乱说一起,大家不要见怪

※ ※ ※ 本文纯属【rockyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-3-15 10:04
查看资料  发送邮件  发短消息   编辑帖子
jackybaby
中级用户





积分 330
发帖 321
注册 2006-12-31
来自 sz
#2  

想法不错,如果可以自定义规则,大批规则狂人会蜂拥而来,微点想不火都不行。这些高人的嘴厉害啊,说个好字就带动一大批fans。

※ ※ ※ 本文纯属【jackybaby】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

微点+组策略,不知毒滋味。
2010-3-15 13:55
查看资料  发送邮件  发短消息   编辑帖子
caiauto
注册用户




积分 54
发帖 54
注册 2008-4-19
#3  

我早就建议微点分一个基础版和高级版了
基础版就是现在的版本
高级版就是加入普通HIPS功能

※ ※ ※ 本文纯属【caiauto】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

不能挂头像……
2010-3-15 16:05
查看资料  发送邮件  发短消息   编辑帖子
tustin
版主




积分 5092
发帖 5067
注册 2007-3-10
来自 重庆
#4  

一直都希望能有这样一个功能,1.0应该是没戏了,期待2.0

※ ※ ※ 本文纯属【tustin】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

Micropoint微點——克服滯后殺毒缺陷 開創主動防御時代
2010-3-15 16:36
查看资料  发送邮件  发短消息   编辑帖子
力挽狂澜
禁止发言





积分 118
发帖 118
注册 2010-2-13
#5  

又拿微点和HIPS相比,如果微点原理真的这么简单,

那些编写HIPS规则的作者们,恐怕早就超越微点了吧?

他们可以做到易用性 拦截率共存吗?可以做到适合普通大众使用吗?

难道微点和HIPS有相似就是一样的原理?你在大街上看见一个女的长得像你女朋友,他就是你女朋友?相似不一定就是。

HIPS是系统程序单一动作监控器,微点是多步分析,这句话说说简单,但是技术上去实现就困难的多了。

不然照别人说什么HIPS的,那人人都可以开发出微点这样的软件了

但为什么现在还是微点继续领跑主防领域呢?



HIPS基本不更新。

不想频繁更新就使用HIPS吧

前提是你有耐心接受他的提示......

他意思就是说微点和HIPS原理不一样。即便这个程序不在微点白名单里

没威胁微点不提示,但瑞星 卡巴所谓的主动防御和HIPS就会提示的。

HIPS是系统ARI单一动作监控器

你随便安装几个程序比如带驱动的以及其他的看看他是否提示, 但是这个程序不在微点的白名单里(即便是驱动)

微点也不会提示这就是和HIPS原理不一样的地方了。


HIPS完全依靠规则,是有瑕疵和问题的。

微点面对的是更多的普通用户

微点更新有以下几个方面

1 完善程序(是软件既有BUG就有瑕疵)

2 病毒名字提示(微点提示的很多是未知病毒,升级给病毒起名字)

3 微点规则更新完善

4 解决误报更新白名单

这是微点公司团队的优势,更是对用户负责。发现问题及时修正解决完善。

不是一般网友软件以及其他可以相比的。

卡巴 瑞星 江民那些所谓的主动防御就是HIPS,单纯的系统监控器

缺点提示多,病毒提示不明确。(具体分析看下面)

他们的原理就是HIPS+白名单+病毒库

而微点这个驱动不在微点白名单里,安装微点并不会提示(微点觉得没有威胁)

但卡巴 瑞星他们敢不提示吗?

微点面对的是更多的普通用户,既要做到易用性,又要做到实用以及高的查杀率

做到病毒(包括未知)准确提示

看这里

http://bbs.micropoint.com.cn/forumdisplay.asp?fid=1008

而HIPS只是一些规则,完全依靠规则(提示多)并不适合一般用户使用

如果病毒过了这些规则,那就是致命的(他没有其他防护措施了)

比如您是否同意全局挂钩?您是否同意DLL加载? 您是否同意这个程序驱动加载运行?您能全不都认识并且准确无误的选择放行或拦截吗?

你安装安全软件就是让他们帮你保护电脑的,到头来他一切还要询问你是否同意

你觉得还有意义吗?

其实不光病毒会有那些操作,正常的程序也会有那些操作的。

如果是病毒你放行吧 怕中毒。 拦截吧,怕正常程序无法运行




HIPS就是提示多,提示不明确。。。比不上微点,微点更适合大众使用。

HIPS动不动挂全局钩子、加载XX驱动、改写XXX/XXX/XXXX注册表,

写自启动、安装XX服务,dll注入

病毒会需要这些,但有的正常软件也会啊

你放行吧? 怕是病毒。拦截吧 正常软件无法运行

反病毒是所有电脑使用者面临的问题,而不是研究病毒行为的人的问题,这之

中,究竟有多少一般人懂得用交互模式?挂全局钩子、加载XX驱动、

改写XXX/XXX/XXXX注册表,写自启动、安装XX服务,dll注入,这些东西有谁懂啊,

我认识人的没一个懂!如果这些都懂,用HIPS好啦!

建一条HIPS规则:防病毒最大保护,禁止在硬盘上写入任何文件禁止创建进程

啥病毒也进不来但是还有意义吗?用户还使用电脑吗?



【微点不是HIPS更不是所谓的智能HIPS】

http://bbs.micropoint.com.cn/showthread.asp?tid=60082&fpage=2

[ Last edited by 力挽狂澜 on 2010-3-15 at 16:54 ]

※ ※ ※ 本文纯属【力挽狂澜】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-3-15 16:52
查看资料  发送邮件  发短消息   编辑帖子
rockyu
注册用户




积分 193
发帖 185
注册 2008-12-31
#6  

LS,HIPS的缺点是显而易见的,如果微点引入自定义规则是抛弃他的缺点,把握他的优点,把是否是病毒的工作交给主防来完成,用户设定的规则是在系统中加入一道防护,现在的微点不是不防流氓吗!批处理的效果也不好!而这些完全可以用户用自定义来解决,依托主防,就不会有弹窗,更安全,更人性,难道不好

※ ※ ※ 本文纯属【rockyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-3-15 17:40
查看资料  发送邮件  发短消息   编辑帖子
popo225
禁止发言





积分 103
发帖 103
注册 2009-4-26
#7  



  Quote:
Originally posted by rockyu at 2010-3-15 17:40:
LS,HIPS的缺点是显而易见的,如果微点引入自定义规则是抛弃他的缺点,把握他的优点,把是否是病毒的工作交给主防来完成,用户设定的规则是在系统中加入一道防护,现在的微点不是不防流氓吗!批处理的效果也不好! ...

批处理也算病毒?有几个大规模流行的病毒是批处理的?


你的鼠标点击行为都可以用批处理形式展现出来

比如你关机是不是要拦截? 你卸载微点是不是要拦截? 这些都可以做出批处理的,甚至批处理可以重装系统,格式化硬盘。

而且批处理和病毒有这着本职区别。

真正大规模爆发流行的病毒有几个是批处理??

你给我几个过微点的批处理木马好不好?或者发送给微点官方 或者点饭们具体测试。



具体请看这个

http://bbs.micropoint.com.cn/sho ... ge=1&highlight=


其实想完全防御批处理方法太简单了。


@echo off
set pp=HKCU\Software\Policies\Microsoft\Windows\System
reg add %pp% /v DisableCmd /t REG_DWORD /d 1 /f
exit

建一个这样的批处理运行之后,之后就不能运行批处理和cmd了。


要解除,请在 运行 中输入:
reg add HKCU\Software\Policies\Microsoft\Windows\System /v DisableCmd /t REG_DWORD /d 0 /f


一般的人也不会去编写批处理,而且很多人使用不到这些东西

会编写能看懂的是不是恶意批处理他肯定看的出来。


流氓软件又不是病毒微点为什么去查杀?而且目前法律也没有定义什么叫流氓软件,你查杀人家搞不好人家起诉你破坏人家产品完整性。

这就是为什么很多杀毒软件不去查杀所谓的流氓软件


【计算机病毒_百度百科】

http://baike.baidu.com/view/5339.htm?fr=ala0_1


【流氓软件_百度百科】


http://baike.baidu.com/view/20778.htm?fr=ala0_1_1


三百六十行行行出状元。 每个行业都有自己的佼佼者。

还是一心一意做技术吧,切莫三心二意。想一个软件全部通吃 你开玩笑呢?

查杀木马病毒有害信息的有微点主动防御。

流氓软件清理的有 windows清理助手

防挂马 钓鱼 有害信息网站拦截的有 金山网盾

[ Last edited by popo225 on 2010-3-15 at 20:30 ]

※ ※ ※ 本文纯属【popo225】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-3-15 20:27
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号