微点交流论坛 - 主动防御 - 测试江民和微点主动防御的一点肤浅认识(逐步深入核心技术)

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 测试江民和微点主动防御的一点肤浅认识(逐步深入核心技术)

1/3

tcjgdw@163.com
中级用户

积分 223
发帖 216
注册 2007-12-26

#1 测试江民和微点主动防御的一点肤浅认识(逐步深入核心技术)

我是一名电脑业余爱好者,经常在一些论坛下载病毒样本搞测试，本次主要测试对象是江民2009和微点的主动防御。测试过程中是关闭江民2009和微点的病毒特征库，在实机环境下一个一个运行病毒样本，通过测试，个人对江民2009和微点有一些肤浅认识，仅供大家参考。
2月11日测试感受：
   1、江民的主动防御提示要比微点的主动防御提示要超前，我认为是它们防御技术所决定的，江民是HIPS类的主动防御，微点是行为主动防御。江民的主动防御有它的优点，微点的行为主动防御也有其不易克服的缺点。在安装一些应用程序，江民在安装过程中就能及时阻止，微点是行为防御，往往要迟后一步，一些垃圾文件就有可能进入电脑；
   2、微点的智能化程度确实不一般，江民称为主动防御，核心就是HIPS，微点在HIPS基础之上有了发展和提高，我认为微点也利用了HIPS功能；
   3、江民在提示中有允许、禁止、阻止运行，而微点是删除和不删除，智能化程度高低就在于此；
   4、微点自身的防火墙看似不强，其实一点也不弱，能很好地拦截下载者病毒。
   通过测试，认为江民的主防和微点的主防一点也不冲突。相反，相互之间还能弥补不足，只是江民在运行时没有微点流畅，对电脑的性能要求较高。如果只开启江民主动防御，关闭其它监控，配合微点也不失为一种好办法。有机会大家可以测试一下，看看什么病毒能同时绕过江民和微点的主动防御。
2月12日测试感受：
   1、微点对自杀类病毒的防护相比江民2009来说还是有一定差距。
   2、微点对病毒的提示速度与江民2009相比来说也要慢一些。其中原因后面有详细说明。
   3、微点对于修改系统时间病毒的防御要比江民2009要好。
   4、对系统有危害的衍生物微点能删除，对系统没有危害的衍生物确实不能删除，江民能很好做到对所有衍生物的拦截。感觉江民就是过程防御，江民可以从病毒发作的第一个动作开始拦截，有效防止病毒后续动作的执行。微点是结果防御，微点是综合病毒的行为判断是否对电脑有危害，从而做出相应的动作，并不能从病毒第一个动作开始及时阻止其运行。
5、个人认为江民是有一定电脑知识的人才能完全发挥其优势的杀毒软件，微点是大众用品。江民2009主动防御设置有较大的选择余地，这是一把双刃剑，留给用户有选择余地的同时，也留给病毒可乘之机。微点并不需要用户掌握电脑知识，只要认识删除和确定就行。江民相对来说需要用户一定的参与。这也许就是所谓智能化具体体现。
2月13测试感受：
      1、江民的自我防护确实不错，微点也并不差。
      2、任何杀毒软件都不是万能的，杀毒技术和病毒制造技术不断改进，矛与盾，永无止境。
      3、上网想保证安全，还是从良好的习惯入手，良好的习惯才是病毒的终结者，杀毒软件只是一个辅助工具，人不能成为工具的奴隶，应成为工具的主人。
2月16日设想:
   如何打造一个安全、稳定的系统是许多电脑爱好者孜孜不倦的追求，我追求的目标是系统防护有微点的智能主动防御,也有江民的超前主动防御，并对电脑系统性能要求不高，吾将上下而求索。
   暂时停止测试工作，思考如何加强系统防护，要求是对电脑性能要求不高。
2月17日发现:
      木马病毒是用CALL调用一个批处理文件来删除木马自身的，微点是否可以像禁止病毒修改系统时间一样禁止运行批处理。
2 月18测试感受:
      1、江民和微点动作真快，对广大用户来说是福音，江民和微点在短短几天之内针对主动防御作了改进，江民对修改系统时间病毒作了技术上的改进，基本能拦截修改系统时间病毒（还是有个别能避开江民主动防御），说明江民是有实力的厂家。微点针对提示延后的现象进行改进，部分病毒在运行时与江民2009提示同时出现，提示速度有了明显提高，针对少数病毒的提示速度比江民2009还快，不知道微点是如何改进的，做到这一点在技术上来说不容易，更何况是行为判断，看来微点又进步了。
　　２、今天测试报销一个优盘，应是病毒损伤驱动引起的，下次测试确实要注意这个问题。
　　３、江民对出现这样的对话框“windows无法访问指定设备、路径和文件，你可能没有合适的权限访问这个项目”的病毒无法防御，微点能很好防御，我想出现那样的对话框只是个幌子，病毒行为应动作了，要不微点是不会拦截的，看来江民应加强研究改进。
　　４、从拦截数量来说，微点略微强些，江民2009没有拦截的主要是上面提到的弹出对话框一类的病毒，只要江民及时解决问题，在拦截数量上会有明显提升，出现提示框病毒江民2009通过扫描都能查杀，我想要是病毒加壳后就不一定。微点有二个病毒无法拦截，一个是图片，一个是脚本病毒，这两个病毒对系统危害不小，微点应加强研究病毒样本。
　　５、两次上报江民，不见回信（本人邮箱tcjgdw@163.com），不知道江民是收到没有回复，还是网络问题。每次上报微点都得到回复。看来在服务质量上江民还得加强（个人看法），微点客服人员充分利用网络优势，可以通过QQ直接与微点客服人员交流和上报病毒样本，江民可以借鉴。
2月１９日测试感受：
　　１、微点表现不错，今天暂时没有发现过微点主动防御病毒样本，昨天晚上一直在思考微点行为防御是如何实现的，有了自己的一点认识，不一定正确，有空再写一篇认识微点智能行为防御。
　　２、在七八十个病毒样本中，江民２００９主动防御有二个没有拦截，江民2009相比2008相当不错了。在病毒技术上要实现过江民主防比过微点主防要容易一些，毕竟微点有自己的核心技术，这个核心技术在微点官方网站说得很抽象。微点对未知病毒进行了详细分类，比如未知木马、未知病毒、可疑程序等，并定义了它们各自的行为判断规则,当病毒运行时，微点通过HIPS(个人看法)收集病毒的行为（行为其实就是应用程序创建、访问磁盘文件、修改注册表等一系列动作），把这些行为与微点行为判断规则库（微点的核心技术）相比较，当符合未知木马规则时就出现提示，发现未知木马，并进行相应处理。其它未知病毒的判断、分类也同样如此。其实其它厂商也可以对病毒行为加以总结，形成自己的病毒行为判断规则库，在此基础上实现行为判断、智能主动防御。病毒要实现过微点主动防御，关键一点是病毒的行为不在微点行为判断规则库，就需要病毒在技术上革新。只要新病毒出现，微点在分析病毒行为并在行为判断规则库加入判断标准就能准确查杀一大批，行为判断与特征值判断优势就在于此。
　　３、以上是个人理解，不一定正确，尽请批评指正。
2月20日测试感受：
      1、以前微点有点鼠标右键会出现暂时停顿现象，微点改进了，目前没有此种现象，运行很流畅。
      2、江民2009主动防御+微点智能主动防御确实强大，病毒样本无一绕过两个主动防御，不是江民2009拦截就是微点拦截，真放心使用电脑。
      3、今天在研究江民2009特征值病毒库时，发现江民2009病毒库与微点的病毒库存贮和引用方式差别很大，由此推想它们在利用病毒库的技术差别也很大，到底哪一个好，无法下结论。个人认为微点的实时监控应有再优化空间，主要是在病毒库的调用上，尽量减少病毒库中特征值的对照个数，提高监控效率，应还有提升空间。
2月23日测试感受:
1、微点对未知病毒（现在病毒程序越来越少，木马、间谍程序越来越多）防御很到位，江民2009对于未知病毒的防御相比微点而言还有很大差距，今天测试样本中共有三个未知病毒，江民2009主防一个都没有拦截，微点全部拦截，江民主防还需要改进。
2、今天的测试中发现一个怪现象，在解压一个样本时，微点报未知木马，要知道我是关闭了微点的病毒库，并且这个样本是不可执行的程序，程序后缀名是修改为.ex2e,程序在不可执行条件下微点报毒，是不是微点加入了启发式实时监控？微点官方网站上没有说明有此功能。
3、微点对病毒衍生物拦截不完全，还是有漏网之鱼（微点官方称是不危害系统的垃圾文件），不像江民2009那样拦截到位。微点能不能增加一项功能，对于没有提示删除的垃圾文件再提示一下删除和不删除，让用户增加一下安全感。
4、今天测试的样本比较多，对微点的主动防御技术有了更深的感受。微点主动防御主要分为两个层次；一是程序行为捕获。每个程序运行时都需要进行各种动作，如收发网络数据、响应某个触发事件、文件读写操作等，这些动作都被称为“行为”，这个过程被微点跟踪记录，至于跟踪记录方式可能有HIPS方式，很大可能性有微点自己特有的HIPS方式（核心技术之一）。二是自创的一套病毒行为判断规范（核心技术之二）。要入驻内存的程序首先是通过实时监控与病毒库对照，然后通过行为捕获，对捕获的行为与自创的一套病毒行为判断规范在一个给定的范围和置信度下，判断相关操作是否为合法。
以上对于微点核心技术的解说纯属个人猜测，如果要是让我等小辈完全理解微点核心技术的话，其它杀毒软件公司早就开发出了更好的智能主动防御软件。我的本意一是研究、促进微点智能主动防御技术；二是对于国内其它厂商建言献策，推动国内智能主动防御技术向前发展。
2月24日测试感受：
   1、今天江民2009和微点的主动防御表现中规中距。
   2、网上一直反映江民2009的主动防御没有微点智能化，今天下载一炒股软件大智慧新一代，微点没有提示，江民主动防御居然提示了，看来群众的眼睛是雪亮的一点不假。江民2009的拦截水平相当不错了，关键是在智能化程度还需要有所突破。
   3、江民2009近来在病毒库上下足了功夫，每天升级的病毒库数量不小，弥补了主动防御上的不足（相对微点而言）。
2月26日测试感受:
   1、今天改进了测试的方式，江民2009和微点先同时测试，然后分开进行测试，结果发现江民总的拦截数量比微点还多，主要是以前测试时江民2009和微点没有分开测试，微点对少数病毒比江民2009提前拦截，病毒就无法继续运行。
   2、江民主动防御真的不错，至少在拦截数量上有了量的飞跃，智能化程度如果能达到微点水平，江民就会成为杀毒界的毒霸。你对电脑进程比较熟悉，强烈建议安装江民2009，新手就安装微点比较放心、省心。
   3、前面提到的怪现象，其实一点也不怪，并不是微点具有启发式实时监控，而是微点具有病毒行为记忆功能，这个记忆功能应是通过自动提取特征码，下次打开同样特征码病毒样本时就不用行为判断了，如果真是这样，说明微点的技术不一般。
3月1日测试发现:
   江民2009主动防御对于rootkit病毒能很好地拦截并阻止，微点虽然能拦截，但要清除病毒却要重新启动电脑，说明江民在对于rootkit病毒的拦截还是技高一筹。

[ Last edited by tcjgdw@163.com on 2009-3-2 at 13:41 ]

※ ※ ※ 本文纯属【tcjgdw@163.com】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-11 15:28

凡间幽灵
银牌会员

积分 1329
发帖 1295
注册 2008-11-27

#2

小白飘过，江民貌似还加了个沙盒，呵呵有意思
江民技术还是不错的，有点货，不像某某某只会打口水战^_^

※ ※ ※ 本文纯属【凡间幽灵】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-11 16:33

御剑临风
禁止发言

威武大将军

积分 2135
发帖 2192
注册 2008-8-22

#3

只支持微点最重要的几点

微点防御很牛不是吹的吧

微点智能不是吹的吧

微点占用资源少不是吹的吧

就这几点以后就支持微点了

※ ※ ※ 本文纯属【御剑临风】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-11 23:30

sgsrun
注册用户

积分 82
发帖 84
注册 2008-4-25

#4

同意楼上的观点。同时感谢楼主分享

※ ※ ※ 本文纯属【sgsrun】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-11 23:30

tcjgdw@163.com
中级用户

积分 223
发帖 216
注册 2007-12-26

#5

只是谈谈自己的认识,仅作参考

※ ※ ※ 本文纯属【tcjgdw@163.com】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-12 13:12

sqjhcm
注册用户

积分 68
发帖 66
注册 2009-1-5

#6

微点还是比较强大的！！

※ ※ ※ 本文纯属【sqjhcm】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-12 14:08

qbnnq1000
高级用户

积分 851
发帖 853
注册 2008-7-17

#7

同意楼主，不是只会吹微点就能进步。微点只有不断吸取其它杀软的优点才有更好的未来。

※ ※ ※ 本文纯属【qbnnq1000】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-16 16:09

御剑临风
禁止发言

威武大将军

积分 2135
发帖 2192
注册 2008-8-22

#8

一个占用资源一下就枪毙了江民 2G内存还卡了。晕
系统层层设防无任何章法。

支持微点

※ ※ ※ 本文纯属【御剑临风】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-16 16:42

wrq2588
新手上路

积分 3
发帖 3
注册 2009-2-16

#9

我觉得微点如果能够扫描查杀病毒将更加完美，更锦上添花！！！！！！

※ ※ ※ 本文纯属【wrq2588】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-16 17:04

zhkwer71
新手上路

积分 4
发帖 4
注册 2009-2-18

#10

我本人也是搞技术的，但不是计算机方面的，我开始搞工程项目管理后，发现每种技术都有其局限性，使用范围不同，一定要综合起来，做到系统性最优化。我刚开始微点使用体会不多，但不喜欢打口水战。呵呵。

※ ※ ※ 本文纯属【zhkwer71】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-18 12:52

1/3

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号