微点交流论坛 - 主动防御 - 对《我也来说说微点主动防御的局限性吧》的一些讨论交流

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 对《我也来说说微点主动防御的局限性吧》的一些讨论交流

1/2

心随风落
高级用户

积分 518
发帖 500
注册 2007-1-24

#1 对《我也来说说微点主动防御的局限性吧》的一些讨论交流

现在各大厂商都在提很多看似技术性的技术，但从推出到目前差不多一年甚至更长时间，却没有看到其实际给用户带来的安全效果，而我自己以及我周围推荐使用微点的朋友来看，他们对微点的评价都超过了以前他们自己使用的安全软件，我想他们不可能是因为在使用微点后上网习惯发生了天翻地覆的改变，功劳还是应该归功于微点的高效性和有效性。虽然微点目前的效果还不错，但是作为一个热爱微点喜爱微点的用户来看微点还需要发展很多，产品的许多功能也是需要不断开发出来给用户一个最优的安全保证。

关于whitehat朋友前几天发的帖子确实不错，只可惜帖子被某某人给毁了，不提他了。

下面跟whitehat交流下

1、微点不带扫描不证明微点会把带毒文件传给其他用户。

微点我自己使用了3年了，当时在学校的时候U盘是每周必用的，但是我有个好习惯就是每次U盘在外面用完我必须在我机器上双击运行，如果有病毒微点会报警删除的，再我用U盘给其他朋友传软件，而这些软件都是在微点的监控下使用过的，所以也没有一位朋友说我传带毒文件给他。我想各位朋友下个软件到电脑上至少会使用一次，不然就没有下载软件的意义了。那么这一次的使用，如果带毒微点报警是理所当然的，所以在微点没有报警的情况下将文件发给其他朋友，而让其他朋友中毒的情况少之甚少。当然微点也有失误的时候，但是一次的失误却能让微点提高一个层次，这也是我喜欢微点的原因之一。

2、
而特征检测的不管你是不是病毒，只要报警那么就可以阻止其危害，而没有报警的文件，不管你是不是病毒，都可以正常运行而不去管理，特别是在目前黑客工具的普及化，针对特征变种的简单化，这种情况也越来越多，而且每天都不计其数。这也是特征的先天缺陷，所以我比较欣赏主动防御技术。

3、微点主防在我的使用当中还没有发现清除，而对感染型文件的清除这个也只能是扫描引擎来解决，而现在使用的微点杀毒软件来看其清除感染型病毒的能力很不错，值得赞赏，所以微点扫描的强劲表现也让我更加期待微点组合套装产品的面世，或许会带来更大的安全地震。

4、各项评测无论是在什么样的条件下进行，都能一定的反映出软件的能力，无论其正确与否，我们都应该从里面发现不足来帮助微点不断进步，提高微点也是对我们的安全的保证。

你发的第五点我忽略。

6、阻止病毒大规模的爆发而不应该是从客户端来讲，应该以法律，执行力、黑客产业链等各方面来进行综合遏制，客户端毕竟是客户端，也不能对它有过大过多的要求。但从某一面来说微点却激发了各大安全厂商的技术竞技，从而提高了安全保证性。或许我想得有点天真。这个就当娱乐吧！

whitehat的思维我很欣赏，希望大家一起来探讨主动防御，我也对微点很喜爱，也想不断的学习微点，了解微点。

欢迎大家一起交流学习，本帖欢迎除御剑极其MJ外的朋友讨论学习。

※ ※ ※ 本文纯属【心随风落】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-8-19 09:56

pk8502209
注册用户

积分 115
发帖 115
注册 2009-8-17

#2

沙发沙发，这么好的贴都没人顶。

※ ※ ※ 本文纯属【pk8502209】个人意见，与【微点交流论坛】立场无关※ ※ ※

在很久很久以前，有一只丑陋的企鹅！他长的很丑，他丑的把所有人都丑死了!

2009-8-19 10:13

jackybaby
中级用户

积分 330
发帖 321
注册 2006-12-31
来自 sz

#3

LZ的理性方式我很欣赏。比如A电脑装的是微点，在A电脑没发作的病毒到B电脑就发作了，我认为受指责的应该是B电脑的防毒软件，而不是微点。当然对微点的高标准严要求是没错的。

※ ※ ※ 本文纯属【jackybaby】个人意见，与【微点交流论坛】立场无关※ ※ ※

微点+组策略，不知毒滋味。

2009-8-19 10:18

HONEY0806
高级用户

积分 587
发帖 578
注册 2009-7-28

#4

不错，楼主说的对，我也很欣赏微点！目前还属于和微点接洽中，希望能和它成为知己，哈哈！路虽长，但微点会伴着我一路走下去

※ ※ ※ 本文纯属【HONEY0806】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-8-19 13:02

ahyanglf
高级用户

积分 715
发帖 713
注册 2008-11-20

#5

主动的方式方法范围都要与时俱进吧！

※ ※ ※ 本文纯属【ahyanglf】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-8-19 13:12

whitehat
注册用户

积分 58
发帖 55
注册 2006-9-3

#6 看你这么给面子，我也就说两句。

1、微点不带扫描不证明微点会把带毒文件传给其他用户。

微点我自己使用了3年了，当时在学校的时候U盘是每周必用的，但是我有个好习惯就是每次U盘在外面用完我必须在我机器上双击运行，如果有病毒微点会报警删除的，再我用U盘给其他朋友传软件，而这些软件都是在微点的监控下使用过的，所以也没有一位朋友说我传带毒文件给他。我想各位朋友下个软件到电脑上至少会使用一次，不然就没有下载软件的意义了。那么这一次的使用，如果带毒微点报警是理所当然的，所以在微点没有报警的情况下将文件发给其他朋友，而让其他朋友中毒的情况少之甚少。当然微点也有失误的时候，但是一次的失误却能让微点提高一个层次，这也是我喜欢微点的原因之一。
=====================================
我在原来的回帖中已经提到了一个最坏的情况（是一个病毒设计思路），就是病毒可以探测到到是微点这样的主动防御软件，他的破坏执行动作不去发生。而是成为进入一个潜伏期的条件。当传播的时候可以再爆发。

2、
而特征检测的不管你是不是病毒，只要报警那么就可以阻止其危害，而没有报警的文件，不管你是不是病毒，都可以正常运行而不去管理，特别是在目前黑客工具的普及化，针对特征变种的简单化，这种情况也越来越多，而且每天都不计其数。这也是特征的先天缺陷，所以我比较欣赏主动防御技术。
=====================================
首先我们的讨论都是再单纯的特征码和主动防御的技术上进行讨论的，不考虑使用其他的技术手段来弥补特征码和主动防御的不足的情况。不错，特征码有局限性，而主动防御亦然，他也需要行为库的升级，也需要专家系统根据不同的操作系统的调整，而且你也看到微点也需要人工分析和用户举报来弥补主动防御的漏报和误报。这个是亦然和特征码没有本质区别的，这个是大框架的，微点没有从根本跳出这个圈。

3、微点主防在我的使用当中还没有发现清除，而对感染型文件的清除这个也只能是扫描引擎来解决，而现在使用的微点杀毒软件来看其清除感染型病毒的能力很不错，值得赞赏，所以微点扫描的强劲表现也让我更加期待微点组合套装产品的面世，或许会带来更大的安全地震。
=======================================
这点我们没有异议，我们现在就渴望微点2代能解决这个问题。

4、各项评测无论是在什么样的条件下进行，都能一定的反映出软件的能力，无论其正确与否，我们都应该从里面发现不足来帮助微点不断进步，提高微点也是对我们的安全的保证。
==============================
你这样的一个说法是一个打太极的说法，怎样说都有道理的。这点没有必要争论，我只是看不惯卡饭上点饭的一些态度才说这条的。就单纯从技术上讲，这点根本没有必要争论的。

6、阻止病毒大规模的爆发而不应该是从客户端来讲，应该以法律，执行力、黑客产业链等各方面来进行综合遏制，客户端毕竟是客户端，也不能对它有过大过多的要求。但从某一面来说微点却激发了各大安全厂商的技术竞技，从而提高了安全保证性。或许我想得有点天真。这个就当娱乐吧！
=====================================
呵呵，法律，执行力，以及黑客产业链都不是“主动防御”，呵呵，也就是说法律的的作用和“特征码”的执行过程是一样的。嗯，很多时候要的就是竞争这样最终我们才能使用上更加进步的安全产品。

※ ※ ※ 本文纯属【whitehat】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-8-19 14:34

whitehat
注册用户

积分 58
发帖 55
注册 2006-9-3

Quote:

Originally posted by jackybaby at 2009-8-19 10:18:
LZ的理性方式我很欣赏。比如A电脑装的是微点，在A电脑没发作的病毒到B电脑就发作了，我认为受指责的应该是B电脑的防毒软件，而不是微点。当然对微点的高标准严要求是没错的。

，你能这样想我很高兴。

※ ※ ※ 本文纯属【whitehat】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-8-19 14:42

我不是一条柴
新手上路

积分 11
发帖 8
注册 2008-12-19

Quote:

我在原来的回帖中已经提到了一个最坏的情况（是一个病毒设计思路），就是病毒可以探测到到是微点这样的主动防御软件，他的破坏执行动作不去发生。而是成为进入一个潜伏期的条件。当传播的时候可以再爆发。

让我就着白冒的思路再展开一下，更具体点：

1.病毒V通过某种方式(如U盘复制或者网络下载)到了电脑A上，A电脑安装有微点。A被运行或者通过某种方式运行了起来，检测到有微点，不做任何操作，而是等……等到微点挂了的那天……这种情况我想任何安全软件也奈何不了它，可以说人家只是路过的，什么都没做，你能拿人家怎么样？就算你是警察，拦下别人查查身份证，人家不是通缉犯，也没有前科，难道你就要扣下打死？

2.病毒V存在于某U盘上，接入A电脑时，随即运行了起来，发现A电脑有微点，没动。第二天，该U盘被接到了某公司电脑B上，而B没微点，动了，笑了。这时领导要找责任人，我们应该责怪A电脑以及A电脑上安装的微点么。但我认为就算你在A电脑上安装了世上具先进具英明的安全软件，我想它也不可能将V扣下打死，道理同上。

当然了，我们是不是应该增强某安全软件的能力，比如看到有往我大院里瞅的陌生人就抓进来打死或者禁锢呢？或者干脆让该安全软件直接来个隐身大法，让谁也看不见呢？我认为在目前的系统架构以及目前的技术理念上来看，这不可能也不现实。

Quote:

特征码有局限性，而主动防御亦然，他也需要行为库的升级，也需要专家系统根据不同的操作系统的调整，而且你也看到微点也需要人工分析和用户举报来弥补主动防御的漏报和误报。这个是亦然和特征码没有本质区别的，这个是大框架的，微点没有从根本跳出这个圈。

不知道微点是不是存在所谓的行为特征库，不过程序的行为规范应该是有的，尤其是木马或病毒的行为规范，将其称为行为特征库也无妨。但是你不认为从病毒特征库到行为特征库是一种质的飞跃么？打个比方，我有一个木马，我也学学白帽将情况引向极端，我可以将这个木马变换出一万个变种，简单的说就是多个鼻子少个眼了，这个时候我想安装扫描软件的用户可能就要倒霉了，而那些相应的杀毒软件厂商也得忙活好一阵了，因为他们至少得做一万次这样的重复操作。假设这个木马很牛，它采用了一种全新的行为，微点没有，但是只要有一个用户反馈了，就算我能变换出一百万个变种，这对微点也将是无效的，不是么？套句马哲的话：量变导致质变，难道这样的量变不足以引起质变么？毕竟就目前的情况来说，让大牛们创造几个可以过微点的具有新行为的病毒并不是见得很轻易。我想如果将来产生了这样的病毒，即可以随便轻易就改变其自身的行为，即具有类似于迷踪步法那样的神奇自动行为变更的能力，那么那时微点的这种主动防御也许也是要过时了。

微点确实需要人反馈才会发现具有新行为的过了微点的病毒，这点应该是不容置疑的，因为没有问题的软件是不存在的，关键还得看“量”。假设微点一点问题都没有，那我们应该将微点奉为神来膜拜了。

哲学上来讲，事物的发展过程是由肯定到否定再到否定之否定。否定微点是对的，但我觉得得先肯定微点所作出的贡献。而且应该更进一步，提出解决办法或者设想，否则讨论单纯的讨论其好与坏优与劣也没有什么意义。

※ ※ ※ 本文纯属【我不是一条柴】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-8-19 15:56

whitehat
注册用户

积分 58
发帖 55
注册 2006-9-3

Quote:

Originally posted by 我不是一条柴 at 2009-8-19 15:56:

让我就着白冒的思路再展开一下，更具体点：

1.病毒V通过某种方式(如U盘复制或者网络下载)到了电脑A上，A电脑安装有微点。A被运行或者通过某种方式运行了起来，检测到有微点，不做任何操作，而是等……等 ...

你说的比我好多了，赞!

[ Last edited by whitehat on 2009-8-19 at 16:25 ]

※ ※ ※ 本文纯属【whitehat】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-8-19 16:22

凡间幽灵
银牌会员

积分 1329
发帖 1295
注册 2008-11-27

#10

我非常赞同8楼柴兄的观点

※ ※ ※ 本文纯属【凡间幽灵】个人意见，与【微点交流论坛】立场无关※ ※ ※

杀毒软件洗洗睡吧，上帝不会为难头脑简单的孩子

2009-8-21 13:09

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号