微点交流论坛 - 主动防御 - 【转载】卡巴VS微点:立体防御的体系比较

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 【转载】卡巴VS微点:立体防御的体系比较

1/2

huicuan
注册用户

积分 123
发帖 123
注册 2009-9-22

#1 【转载】卡巴VS微点:立体防御的体系比较

微点：智能HIPS（没有看到官方白皮书无法判断）+行为分析+白名单+病毒库+自我保护+防火墙（感谢指正）
PS：关于有网友质疑微点的云安全，经过核实软件本身和隐私声明微点没有云安全。
拥有云安全的厂商：
MCAFEE PANDA 趋势 SYMANTEC 金山卡巴
KIS2009：智能HIPS（4D）+交互HIPS（4D）+PDM+病毒库+启发+沙盘+云安全+防火墙+隐私保护+反广告+家长控制+DNA基因扫描+扫描行为分析+运行行为分析+自我保护等
注意：此贴内容不涉及谁好谁坏，仅是带领大家走入卡巴、微点的防御体系！
微点的智能HIPS与卡巴的智能HIPS是完全不一样的两个概念，虽然都是智能，但是其运作却大不一样。
我们来看一下微点智能HIPS的判断机理：
1，进行白名单核对，相同不拦截，不同则进行2。
2，与病毒库特征进行对比---失败则进行3。
3，行为分析，查杀本体与衍生物，并给予提示，被过的要不没有提示，要不拦截不完全）
这也是为什么微点的防御非常出色的原因（部分关键步骤已经省略）
再来看一下卡巴的立体防御体系：
1，进行病毒库、DNA库、不正常的混合壳和可疑程序核对，没有则进行2
2，扫描启发分析，虚拟机在这里进行启发分析，具体可以见到的报法为Heur.Downloader等，没有则进行3
3，扫描启发+扫描DNA启发分析，具体报法为Heur.Trojan.Generic、 Heur.Virus.Generic等，没有则进行4（1），4（2）
注：以下步骤按照自动模式下的智能HIPS（4d）分析
4（1）、核对白名单和数字签名，没有则进行5（1）
5（1）、自动分组（沙盘运行），并根据初步判断的danger index进行分析，使本体获得相应组别的权限。
6（1）、有些病毒会释放衍生物，此时，每生成一个衍生物并激发运行，都会重复前几个步骤。这里有可能会随着衍生物的行为，使本体病毒的组别发生变化，例如从低受限---->高受限
7（1）、生成的衍生物有些是可以通过1、2、3进行拦截的或者嵌入驱动等等。而有些则被过，此时进入动态行为启发分析，即与行为库中的某些病毒行为进行核对，详见的报法Behavior Similar Trojan xxxx
8（1）、如果没有则会进行整体的最后核对以及评估，包括云安全机理都会在这里进行分析。
这也就是为什么卡巴的立体防御比较难过得原因（注意，有些关键步骤已经省略！）
以上只是形象化描述，具体的比这个要复杂的多例如提升权限等等等等。
注：以下步骤按照交互模式下的智能HIPS（4d）分析
4（2）基本类似于自动模式，但是有些步骤需要人工干预，包括提升权限，联网提示等多方面提示。
经过7月份的测试结果我们可以看出（大家可以去置顶帖去看7月每天详细的数据）
卡巴立体防御成绩基本在97%-100%之间（7月抛去一天HIPS未测试）
微点防御成绩基本在90%-100%之间（不包括个别跳水，基本很稳定）
这个数据完全可以表明，两种防御体系都可以应对最新的病毒，都是主动防御的领头羊。同样是出色的软件！
PS：纠正几个观点
1、微点的HIPS比卡巴HIPS好
防御体系不一样，根本无法对比，而且与版规不符！
2、卡巴的立体防御比微点好
防御体系不一样，根本无法对比，而且与版规不符！
3、KIS=KAV+半个微点
严重错误，KIS从整体水平肯定是超过微点（按照7月成绩说话），但是微点同样优秀！主动防御这块几乎是伯仲之间！
4、卡巴交互模式天下无敌
严重错误,天下没有密不透风的墙，关键在于自己的习惯！
最后给各个fans的话：
卡巴、微点的fans不管怎样，请大家互相帮助双方的软件，不要因为个别人而引发口水，发现对方的BUG可以通过官方的信箱进行上报，口水的讨论是无法解决问题的。不管最后谁获胜，高兴的人总是那些 XX 杀毒软件公司。俗话说得好，螳螂捕蝉黄雀在后。这恐怕就是杀毒界的潜规则！
如有纰漏欢迎指正

※ ※ ※ 本文纯属【huicuan】个人意见，与【微点交流论坛】立场无关※ ※ ※

东方微点→【走自己的路用实力说话】看帖回帖是微点会员的美德。

2009-10-16 15:48

qqwangtao
中级用户

积分 456
发帖 454
注册 2009-6-17
来自革命圣地——延安

#2

微点不是HIPS更不是所谓的智能HIPS】【转帖】████

【从车的角度反驳微点是智能HIPS】

前两天看见来个骂人的帖子，是个什么天堂什么的发的，满口脏话，还引言某版主的帖子（07年的老帖了，不知道挖出来干嘛），把微点官方和非官方的点饭说的一无是处，然后贬低微点这没有，那没有，这不行那不行的，不知其所以然。这里只是从侧面再次说明一下，微点并不是智能HIPS，两者区别很大。

我的车：某品牌的自行车，我朋友的车：BMW 523Li，也可以用别的车来举例说明，我只是用我比较熟悉的东西来说明下问题，希望大家不要XXX。

微点功能：不多说了，大家都清楚。HIPS功能：大家也清楚，不废话了。
车的区别：我的车没有2.5升直列六缸的引擎、没有定速巡航、没有安全气囊、没有氙气大灯、没有ABS、DBC，还有很多BMW有的而我的车没有的。
微点和HIPS的区别：HIPS没有杀毒模块、没有病毒库、没有分析判断模块、没有防溢出功能、没有防火墙、没有网络防御功能，反正很多微点有的HIPS都没有。
车的相同点：我的车可以代步，BMW也是用来代步的。
软件的相同点：微点有实时监控模块，HIPS也有实时监控模块，可以监控系统运行状态，也可以报警。

但是，你能说宝马是智能自行车吗？
同理，你能说微点是智能HIPS吗？

这是一个由来已久的话题，不过我从来不认为微点就是智能HIPS，很多重要的东西HIPS都没有。很多人都说微点很挫，只是将规则库人工集成在一起，是智能的HIPS，那我想问一句，微点出来好几年了，人们既然那么肯定的说微点只是靠库，那为什么这些年过去了，依然没有一个堪与微点比肩的东东出现呢？超越微点有些困难不好实现，那民间那么多手工HIPS的爱好者，让他们归纳一些规则做成一个智能HIPS很困难吗？呵呵，不要忘记微点有自己自主研发的核心技术，而不仅仅是靠现有的规则堆积起来的，真金不怕火炼，时间已经很好的证明了微点的强悍了。如果只像人们说的只是个智能HIPS，而没有自己的核心技术，那谈何入选国家863计划？那可不是纸糊的东东就能入选的，大家都是明白人，这个道理我想大家都明白。

PS:看见有人说以为微点没有病毒库，我都不知道想说他什么了，只想举个很简单的例子：北京西站人多吗？进站的时候经常有警察在查人们的身份证，看是不是通缉犯啊或者什么的，这里人们的身份证就好比病毒特征码，都是唯一性的，不排除某些人伪造身份证，就好比修改特征码进行免杀。如果人们没有带着身份证，警察也会通过其他手段进行检查，其他手段多多，这里就不多说了，大家自由发挥想象。为什么要对比身份证（特征码），就是因为这样处理速度非常快，而不是每个人（病毒）都要进行特殊排查（行为判断），为的是大大缩短处理时间，提高工作效率。如果有警察愿意一个一个的经过N多步骤来确定很多证件齐全的良好市民，故意拖延时间，我想没用几个市民愿意浪费时间去配合。

【详解：微点和HIPS的区别】

一、先看表象：

　　1.定义

　　HIPS：程序动作**，作用就是对HIPS所监控的API拦截报警，安装用户的要求阻止或放行。作用相当于一个动态的系统分析器，告诉使用者系统当前有哪些变化。

　　微点：主动防御软件，主要依据程序行为判定新病毒，辅以特征码、状态检测防火墙等技术的综合性安全软件。作用相当于杀毒软件+防火墙。

　　2.软件结构

　　HIPS：监控

　　微点：监控+分析+清除

　　我没有要贬低HIPS的意思，但是从结构来看，微点的软件规模要远大于HIPS，复杂度要远大于HIPS，开发难度、工作量、代码数量都要远大于HIPS。

　　延伸一个问题，不知道朋友们是否想过单就微点和HIPS重合的这一个点——“监控”来说，谁的监控更灵敏呢？换句话说也就是谁的API监控得更多呢？

　　答案可能出乎很多人预料，实际上微点监控的API要远多于HIPS的。

　　道理很简单，Windows API的数量太多了，HIPS为了提高其易用性，监控的API越少越好，所以只监控与安全相关的一些API，其余的一律放任不理。

　　而微点的监控则要BT很多，除了HIPS监控的那些众所周知的安全性API，微点还监控了很多和安全有可能有关的API。有谁会想到微点竟然会监控程序被改名！根据网友提供的资料，我测试了一下，微点确实监控程序被改名，在程序生成日志中也有体现。原因也很好解释，如果不监控程序改名，那么微点根据程序生成日志向上追杀木马源的时候就有可能会被误导造成杀毒不彻底。微点究竟还有哪些BT的监控项，我是没能力分析，欢迎大牛们逆向一下，列个清单出来大家一同分析总结。

　　PS：

　　《揭秘行为杀毒》里有较详细的介绍，遗憾的是贴图没能找到。

　　http://www.ixpub.net/thread-678163-1-1.html L

　　二、分析内因

　　谈谈我的看法，微点和HIPS究竟有什么区别呢？我的意见是实在没有必要非分出个谁强谁弱，两个软件的设计目的完全不一样，最终表现出来的软件形态也是天壤之别。如果非要定性的话，只能说微点和HIPS是两类软件，不能简单做比较。

　　大家想过HIPS为什么要去监控程序API动作？因为HIPS是程序动作**，它的使命就是告诉使用者系统当前有哪些变化(API调用)。然后呢？HIPS监控了API之后会去做什么？答案是然后什么也不干，因为HIPS的使命已经完成了。

　　大家想过微点为什么要去监控程序API动作么？

　　因为微点要对一系列动作进行行为分析，需要监控点提供足够的信息。

　　为什么微点要进行行为分析？

　　因为微点要判断出程序是否有害。

　　微点判断程序有害是为了什么？

　　因为微点是一款综合性安全软件，它的使命是保护系统安全，杀毒杀木马杀后门杀蠕虫……

　　微点发现程序有害之后会怎么办？

　　根据日志中的记录，逆向操作中止有害进程、删文件、删注册表……

　　至此，微点的使命得以实现。也就是说微点前面所有工作的努力都是为了彻底清除有害程序这最终的目的。

　　微点虽然比HIPS多了很多东西，但是你绝不能简单地说微点比HIPS NB多少多少，这样是不客观的，因为不同类软件，不能简单地直接做对比。HIPS完成了它的设计使命，所以HIPS是称职的。微点完成了它的设计使命，所以微点也不错。

　　篇外：

　　over，本章到此理应结束。我很欢迎朋友们来积极热烈参与讨论，在深度这种技术性讨论社区，大家应以技术、逻辑、以理服人。嘿嘿，不过从私心来讲，我对某些朋友混淆概念，搞文字游戏的把戏还是很有兴趣的，稍微掺和几句，权当调节气氛了。

　　以微点和HIPS都具有监控模块，而论证出微点是高级HIPS的结论，还是很站不住脚的。莫忘了除了监控和分析模块，微点还有最重要的清除模块呢。对微点来说，监控是手段，分析是方法，清除才是最核心最重要的目的。完全忽略主体，而只谈某一个过程，就有点儿太矫情了……

　　诚然HIPS虽没有清除能力，但使用动作阻拦也可以达到一定的安全防护作用。但如果我以钳子和六轴精密数控车床都可以加工金属部件为由，非说车床==高级钳子，我想问问有人能接受么？呵呵，实际上，钳子归属五金类，而车床归属机械类，完全是两类产品，不能在一块简单作比较的。使钳子（当然不止钳子咯）的高手叫钳工，使床子的高手叫车工，高级钳工和高级车工都是优秀的高级人才，并没有高下之分。。。

※ ※ ※ 本文纯属【qqwangtao】个人意见，与【微点交流论坛】立场无关※ ※ ※

系统Xp+Win7，Xp防御武器：金山卫士+微点2.0+影子卫士Win7：金山套装+科莫多防火墙+Threat Fire+微点杀毒

2009-10-17 15:06

liuxinghua
新手上路

积分 2
发帖 2
注册 2009-3-8

#3

学习了。我感觉软件好不好用要看使用的人，而不是软件本身。呵呵

※ ※ ※ 本文纯属【liuxinghua】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-10-17 21:50

HomeSGerMine
银牌会员

■■微点护卫队队长■■

积分 4888
发帖 4785
注册 2009-3-8
来自哪里有微点，哪里就有我

#4

说了不知道多少遍了，微点不是hips，更不是智能的hips，微点和hips一点关系都没有！

※ ※ ※ 本文纯属【HomeSGerMine】个人意见，与【微点交流论坛】立场无关※ ※ ※

东方之荣耀，中华之微点！---Microp●int

2009-10-17 21:54

ggxxsol
注册用户

积分 69
发帖 67
注册 2007-3-3

#5

科普文章里面有错的话，为还会更大

※ ※ ※ 本文纯属【ggxxsol】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-10-23 13:50

flame
新手上路

积分 3
发帖 3
注册 2009-9-27

#6

楼主在胡扯，卡巴的主防很容易被过，今天我在学校的机房上网，卡巴竟然被病毒给关了！！！

※ ※ ※ 本文纯属【flame】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-10-23 19:16

oisdd
禁止访问

积分 60
发帖 60
注册 2009-9-28

#7

微点和卡巴不是一个意义上的“主动防御”
卡巴是HIPS（半桶水）+白名单+病毒库
微点不是HIPS更不是智能的HIPS~

※ ※ ※ 本文纯属【oisdd】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-10-24 16:49

lzwzy
新手上路

积分 2
发帖 2
注册 2009-10-12

#8

正在测试阶段，还不知结果怎样。

※ ※ ※ 本文纯属【lzwzy】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-10-27 09:46

52594401
新手上路

积分 1
发帖 1
注册 2009-10-27

#9

良好的上网习惯很重要

※ ※ ※ 本文纯属【52594401】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-10-27 22:59

314683466
注册用户

积分 182
发帖 182
注册 2009-7-4

#10

学习了很实用

※ ※ ※ 本文纯属【314683466】个人意见，与【微点交流论坛】立场无关※ ※ ※

[url=http://www.yeamai.com]易买网 [/url]

2009-11-3 11:04

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号