微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 微点的程序行为判断  

 12  1/2  1  2  > 
作者:
标题: 微点的程序行为判断
chinadyj
新手上路




积分 33
发帖 31
注册 2009-8-16
#1  微点的程序行为判断



不知用过微点,研究过微点的朋友有没有发觉,单单装微点的话,有些病毒还是不能够成功拦截。但是在加装个其他的杀毒软件,微点就变得“敏感"了。注意,是微点敏感了。好像我单装微点,运行某个病毒,微点没反应。但是加上个瑞星卡巴之类的,就算不是很棒的杀软,微点就强多了。是微点强多了,因为在杀软起作用之前微点就拦截了。我想这应该是归咎于微点的对程序行为判断的原理吧。

微点的帮助文件写到,微点主动防御的思路是:通过对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼成病毒识别规则知识库,模拟专家发现新病毒的机理,通过分布在操作系统的众多探针,动态监视所运行程序调用各种应用程序编程接口(API)的动作,将程序的一系列动作通过逻辑关系分析组成有意义的行为,再综合应用病毒识别规则知识,实现自动判定病毒。

可知,微点对病毒的判断主要是根据程序的行为,应该是对一系列程序行为加以判断。所以某些病毒要躲过微点,只要它的行为级别低过微点的起作用的级别,就可以了。
我想现在不少微点拦不到的病毒应该就是这类了吧。但是加上个杀毒软件的话,这就不同了。很多病毒针对杀软,都是首先要把杀软破坏掉,好像卡巴之类的已经被人破惯了。当病毒发现杀软的时候,破坏的行为一出现,微点就拦了。但没有杀软的时候,因为没有这一高危的行为,微点就让他过了。所以,装个杀软好像更多是引蛇出洞的作用,引人犯罪,要不微点就被骗了。

我不知我想的对不对,微点的主动防御的确有这种情况,对某些行为的危险性还是低估了。很多病毒却通过这种低风险的行为进入了系统,如果我说得有一点点对的话我就很高兴了。希望微点能够继续改进,毕竟这条路走了不少很长,还有很大潜力。不过对于有些人标榜自己用一个微点就够了,我觉得还是不要那么自大吧。

※ ※ ※ 本文纯属【chinadyj】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[url=http://blog.sina.com.cn/dengwesley[/url]
2009-8-29 09:46
查看资料  发送邮件  发短消息  QQ   编辑帖子
囚中城
版主

微点茶室甜点师


积分 3808
发帖 3688
注册 2006-1-3
来自 拿灵魂换生命的地方
#2  

好像是其它软件扫描文件夹时,那些不动的病毒,微点也会有所提示

※ ※ ※ 本文纯属【囚中城】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

2009-8-29 09:50
查看资料  发短消息  QQ   编辑帖子
lsj301
银牌会员




积分 1388
发帖 1382
注册 2009-3-16
来自 甘肃兰州
#3  

大概其它杀软存在时它扫描病毒时激活了病毒行为,所以微点拦截了,其它杀软不存在时,有些病毒暂时潜伏,不启动病毒行为,所以微点不拦截。

※ ※ ※ 本文纯属【lsj301】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

我们一直在默默支持微点!
2009-8-29 11:42
查看资料  发送邮件  发短消息  QQ   编辑帖子
雄视王者
高级用户




积分 598
发帖 595
注册 2009-5-2
#4  

别的杀毒软件触发了隐藏病毒,所以引起了微点的监控。

※ ※ ※ 本文纯属【雄视王者】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-29 11:55
查看资料  发短消息   编辑帖子
oksoft123
中级用户




积分 455
发帖 451
注册 2009-5-6
#5  

疑似是不是用搜索选“*.*”且包括隐藏文件,把整个电脑的文件搜一遍,就相当于所有文件都触发了一遍,是不是相当于查毒?
我小白。

※ ※ ※ 本文纯属【oksoft123】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

一部电视剧有一段台词,大体说:我们来到这里,不是因为这里很高,可以看见下面没有的风景,而是为了做我们认为正确的事情。
2009-8-29 13:56
查看资料  发送邮件  发短消息   编辑帖子
ai921
新手上路





积分 17
发帖 17
注册 2009-1-29
#6  

楼上的好想法!

※ ※ ※ 本文纯属【ai921】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-29 15:55
查看资料  发送邮件  发短消息   编辑帖子
chinadyj
新手上路




积分 33
发帖 31
注册 2009-8-16
#7  

楼上的应该还没理解,不是杀软触发病毒,微点才拦截. 而是, 病毒有对杀软不利的行为被微点发现了. 这些病毒有些杀软还扫描不出.如果是微点单奔的话,即使即使双击病毒微点也不拦!!!

※ ※ ※ 本文纯属【chinadyj】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[url=http://blog.sina.com.cn/dengwesley[/url]
2009-8-30 09:29
查看资料  发送邮件  发短消息  QQ   编辑帖子
chinadyj
新手上路




积分 33
发帖 31
注册 2009-8-16
#8  

和杀软扫描没有关系. 我测试的两个病毒小红伞也扫不出.

※ ※ ※ 本文纯属【chinadyj】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[url=http://blog.sina.com.cn/dengwesley[/url]
2009-8-30 09:30
查看资料  发送邮件  发短消息  QQ   编辑帖子
chinadyj
新手上路




积分 33
发帖 31
注册 2009-8-16
#9  

病毒先是通过CMD运行感染,但微点不拦. 后来我用HIPS就可以阻止了,病毒就不感染

※ ※ ※ 本文纯属【chinadyj】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[url=http://blog.sina.com.cn/dengwesley[/url]
2009-8-30 09:32
查看资料  发送邮件  发短消息  QQ   编辑帖子
chinadyj
新手上路




积分 33
发帖 31
注册 2009-8-16
#10  

所以,我认为这是微点对程序行为判断的问题, 微点放过了CMD的运行,导致病毒感染.生成了13个木马

※ ※ ※ 本文纯属【chinadyj】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[url=http://blog.sina.com.cn/dengwesley[/url]
2009-8-30 09:38
查看资料  发送邮件  发短消息  QQ   编辑帖子
 12  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号