» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点软件使用交流 » 微点、微点、注目焦点   作者: 标题: 微点、微点、注目焦点 zhaojpn 注册用户 积分 89 发帖 85 注册 2007-8-18 #1  微点、微点、注目焦点 主动防御这个词，再次成为了安全界的新宠。一时间诸多宣传使用了主动防御的软件出现在人们的眼前。尽管这其中良莠不齐，甚至不乏混水摸鱼之辈。 　　HIPS发展至今，因为其入门条件较高，需要使用者具备一定的电脑使用基础甚至一些病毒知识，从而限制了其广泛的推广，也使得不懂电脑的普通大众对HIPS其望而却步。 　　于是，对HIPS操作的简单化，或者说智能化便成为了各个论坛HIPS区一个讨论的主题。 　　于是，东方微点主动防御软件便站在了这场讨论的风口浪尖上。 　　微点使用了传统杀软的特征值扫描功能，对程序扫描并与病毒特征库中的特征值进行比对，如果符合，则可报为病毒。不过由于传统的特征值扫描需要对病毒事先提取病毒特征值构成病毒特征库，所以对于还未收录到病毒库里的病毒，查杀效率十分低下。 　　但是微点主打的亮点并非是传统的特征值扫描，而是新兴的主动防御功能。 　　通过拦截并记录程序一系列API动作，并自动将记录结果与微点的行为知识库进行对比，进行逻辑判断和综合分析，如果程序的这些连续的API动作在行为知识库中已有记录，那么微点即可将此程序报为已知的病毒。如果程序的这些连续的API动作在行为知识库中仅部分记录符合，那么微点即可将此程序报为未知病毒或者可疑程序。 　　这样做的优点很明显，那就是根据病毒的行为特征来杀毒，可以对病毒的免杀技术免疫，从而提高查杀率。因为目前流行的病毒免杀技术都是针对传统的特征值扫描来做的，就算你免杀做的再厉害，病毒的行为仍然不变，所以微点能够对免杀及变种病毒进行十分有效的查杀，哪怕该病毒并未被收录。 　　然而这样做的缺点也很突出，那就是对于应用了新手段的病毒，或者说使用了行为知识库所还未收集到的行为来进行破坏的话，微点不会对此程序的动作进行任何的报警。因为行为知识库是建立在对已知病毒行为的大量分析之上的。 　　因此，对于这种微点不能监控到的病毒，微点用户所能做的，就是将该病毒上报给微点官方，由反病毒工程师分析该病毒所使用的行为动作，然后添加到微点的行为知识库中，用以让微点用户尽快升级。 　　而这也让微点陷入了与杀毒软件同样的境地：为了能够查杀破坏行为未在行为知识库里的病毒，微点用户需要像使用传统杀软的用户一样，经常对微点进行升级，以便能够查杀使用了新破坏行为的病毒。 　　这样的情况，目前也不止出现过1次，幸好微点官方更新迅速，才避免了这些微点不能够查杀的病毒大范围传播。 　　尽管微点也采用了对程序API动作进行拦截的技术，但是与传统的HIPS软件所不同的是。微点是对程序前后联贯的一系列API动作进行分析，而传统HIPS软件则是对单一的API动作进行规则设定的拦截。也就是说，微点拦截的是程序的联贯动作，而HIPS拦截的是程序的单一行为。 　　所以，微点不能拦截的病毒，HIPS不一定也不能拦截。这一点在以往的几个微点不能拦截的病毒的测试情况来看，已经得以证明。 　　于是有人会说，微点是否应该开放一些自定义设置规则的接口，以让用户自己进行规则设置？这样，不就可以避免上面所说的尴尬场面了吗？ 　　但是，如果微点这样做的话，新的问题又随之而来。 　　假如开放用户自定义设置规则的接口，那么由于一些API动作的特殊性，不会单一的设置为阻止或者运行操作，而是设置为询问操作。 　　这时，问题就来了。 　　一个询问操作，即会将程序的连续性API动作分割为单一的动作，并交由用户处置。这样一来，微点的行为分析便派不上用场，因为连续的动作已经被分割。 　　于是一个新的想法被提出来，就算询问了用户，并由用户操作，但微点仍然将分割的动作组合起来进行分析——既然到最后都要由微点来进行分析，那么还交由用户处理干甚么呢？不是多此一举么？ 　　最近听说微点将增加扫描模块，这一举动将微点越来越向杀软靠拢。也许，微点本身就是一个组合了HIPS功能的杀毒软件而已。只不过微点主要靠的不是病毒特征库，而是行为知识库，通过自动对程序连续的API动作与行为库进行对比，并与特征值扫描的结果相结合的杀毒模式。 　　林林总总说了一堆，只是希望微点一路走好。 ※ ※ ※ 本文纯属【zhaojpn】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-9-9 21:08 998csc 中级用户 积分 304 发帖 304 注册 2007-2-2 来自 sz #2   感觉不会这么简单. ※ ※ ※ 本文纯属【998csc】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ [原创] 日出东方红胜火 月落微点俏如兰 [又一] 日出东方红胜瑞 月上微点妙摘星 关怀入微，点滴不尽，全心全意全为你！信任你我的微点！ 2007-9-9 23:07 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #3   微点主动防御软件和HIPS有着本质的不同 HIPS类软件针对各种潜在影响系统安全的API动作进行监控/报警，因此称之为API动作监控/拦截器较为准确。比如监控创建文件、安装全局钩子、创建远程线程、修改其它进程内存、创建/修改注册表项等API动作，不管运行的程序是病毒木马还是正常程序，只要程序执行了被监控的API动作，HIPS就会报警，这就造成了大量无效的报警信息，一般用户很难使用。 为了减少HIPS的报警信息，EQ等HIPS采用类似网络防火墙规则包的设置，每条规则仍然对应一个API动作，且规则间没有逻辑关系，仅对某些系统或程序的使用API的动作处理行为进行预先设置，当这些程序运行时，就按照已经预先设置的规则进行处理，减少了询问用户的频度。但在安装软件和驱动，甚至软件升级时，这种规则包有可能影响程序的正常工作，因此，这类HIPS可能会要求暂时关闭保护功能，待软件安装结束后再重新启用保护功能。我们必须注意到，用户安装新软件时常常会遇到病毒，很多恶意软件多采用捆绑的方法欺骗用户安装，因此即使是暂时关闭保护，也是很危险的。 微点主动防御软件和HIPS则有着本质的不同，微点不是根据简单的单一API动作进行报警，而是根据程序一系列API动作构成更有意义的行为，结合病毒行为知识库进行逻辑判断，综合分析这个程序是否是病毒。微点主动防御软件使用程序行为智能分析，实现对病毒的判断更准确，同时也基本杜绝了频繁报警给用户带来的困惑，因此更适合普通用户使用。例如微点主动防御软件不会因为程序只增加一个注册表run项（单一API动作）就报警。而HIPS因为只依据单一的API动作，因此只能报这个程序执行了某个可疑的API动作，询问用户是否允许程序执行这个动作，特别当一个正常程序被病毒捆绑时，用户可能会做出错误的判断。 微点主动防御软件不是HIPS，HIPS是依据简单的单一API动作进行报警；而微点主动防御软件是依据程序一系列API动作构成的有意义的行为，并结合病毒行为知识库进行的一套复杂的逻辑判断，准确判定程序是否是病毒，或者是正常程序。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2007-9-10 10:39 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #4   同样谢谢楼主的支持，欢迎您继续做深入的测试使用。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2007-9-10 10:39 反黑先锋 版主 RUNWAY 积分 2901 发帖 2857 注册 2006-6-17 #5   原文转自:http://hi.baidu.com/zqinyan/ ※ ※ ※ 本文纯属【反黑先锋】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 荣先祥藏头诗《赞东方微点》 东风欣传好消息 方策独步世所稀 微妙玄机嵌主动 点睛灭毒堪神笔 2007-9-10 10:53 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号