微点交流论坛 - 主动防御 - 关于微点“行为拦截”的问题

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 关于微点“行为拦截”的问题

1/2

mamsds
银牌会员

积分 1373
发帖 1360
注册 2008-3-15
来自乌克兰

#1 关于微点“行为拦截”的问题

微点不是通过“监视病毒行为”来检测病毒么？
我前两天看到一本书，是很老的防病毒书，介绍了防病毒卡，并说了防病毒卡的一个缺点，就是防病毒卡的原理是先让电脑带毒运行，再通过病毒行为来判断是不是病毒，我觉得这跟微点的原理有点像，但是让电脑带毒运行，并等病毒有了一定行为后，在拦截病毒，会不会对电脑造成危险？
如果有，为什么我用电脑装微点实机测试了20多种著名病毒也没发生什么问题？
若果没有，微点是怎么避免的？（我曾提问过，确认不是用虚拟机）

※ ※ ※ 本文纯属【mamsds】个人意见，与【微点交流论坛】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.

2008-11-15 10:58

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#2

微点描述的程序行为是指程序一系列动作组成的有意义的行为，而不是指单一的动作。微点主动防御软件监控程序运行过程中的一系列动作（包括病毒的动作），综合应用病毒识别规则进行判断。也就是说程序运行必然要完成有意义的行为，微点主动防御软件依据病毒识别规则对程序的行为进行判断，从而准确判定是正常程序还是病毒。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2008-11-15 11:05

独孤不平
注册用户

积分 128
发帖 122
注册 2008-10-3

#3

防毒卡是不是DOS年代搞int13的东西

※ ※ ※ 本文纯属【独孤不平】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-11-15 16:42

snhao
银牌会员

积分 1791
发帖 1782
注册 2007-6-12

Quote:

Originally posted by Legend at 2008-11-15 11:05:
微点描述的程序行为是指程序一系列动作组成的有意义的行为，而不是指单一的动作。微点主动防御软件监控程序运行过程中的一系列动作（包括病毒的动作），综合应用病毒识别规则进行判断。也就是说程序运行必然要完成 ...

按你这种说法，微点是监控程序运行过程中的一系列动作，它并不对程序单一动作进行监控。如果病毒将一系列动作打散成单一动作，那微点岂不是失去防御效果了吗？粗浅理解，望斑竹解惑。

※ ※ ※ 本文纯属【snhao】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-11-15 22:29

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#5

微点可以记录该程序所做的所有行为，不管它是何时触发某个行为，只要所记录的一系列行为，对系统构成危害，微点依然可以防御，并拦截处理。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2008-11-17 15:58

thinkzero
新手上路

积分 36
发帖 34
注册 2008-11-9

#6

你用没用过呀！！
如果没用过就不要说。

我在没安微点前，下了个MS08-067漏洞攻击程序。
安装微点后，微点马上提示我删除它，但我没有运行这个程序！

※ ※ ※ 本文纯属【thinkzero】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-11-18 14:34

snhao
银牌会员

积分 1791
发帖 1782
注册 2007-6-12

#7

如果这一系列行为并不是由单一程序执行的呢？而是由不同的程序执行不同的部分呢？比如某个可执行文件被执行后释放出若干个不同的程序，这若干个程序在不同的时间不同的条件下执行各自不同的任务。那么这若干个不同程序的行为是否算作同一个程序的行为呢?

※ ※ ※ 本文纯属【snhao】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-11-18 14:53

节约用水
中级用户

积分 284
发帖 274
注册 2008-5-23

#8

你说的这种假设现实吗？若干个程序，这么多病毒从哪里来，从有出处吧，总不可能无中生有吧，若干个程序得多大？病毒都是很小的，目前出现的比较厉害的病毒是磁碟机，也就两个进程在运行。你说的这种现象病毒实现起来就很大的问题。所以别总是假设，要站在实际的角度去讨论。

※ ※ ※ 本文纯属【节约用水】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-11-18 15:00

yurong7777777
高级用户

积分 536
发帖 534
注册 2008-9-12

#9

微点与还原卡是不同的

※ ※ ※ 本文纯属【yurong7777777】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-11-19 08:14

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#10

Quote:

Originally posted by snhao at 2008-11-18 14:53:
如果这一系列行为并不是由单一程序执行的呢？而是由不同的程序执行不同的部分呢？比如某个可执行文件被执行后释放出若干个不同的程序，这若干个程序在不同的时间不同的条件下执行各自不同的任务。那么这若干个不同 ...

我们相当欢迎您提出此类问题引以讨论。
针对您提到的几点迷惑做一下解释：
1.微点主动防御软件是根据程序行为分析判断病毒。
病毒在计算机运行之后将根据自身的目的呈现出一系列的动作，包括写注册表项，生成文件，远程线程注入等等，微点根据这一系列的动作所组成的行为进行智能的逻辑判断（这种逻辑判断方式是模拟反病毒工程师分析和判断病毒的逻辑），准确的判断该程序是不是病毒。

2.关于snhao提到的将动作打乱，我们可以理解以下2点

1.动作顺序不同，病毒刻意的打乱动作顺序。企图躲避主动防御软件，这种方法对于微点主动防御是无效的，（当然对于其他单靠单一动作判断的主动防御产品来说可能有效）因为微点主动防御是根据病毒一系列动作来逻辑判断该程序是不是病毒，不管你先执行那个动作，对于微点主动防御来说都是一样的！这个例子在早期已经有很多黑客尝试过，始终没有成功，也验证了微点主动防御软件通过程序行为逻辑判断的智能性和有效性。

2.程序分出子程序，每个子程序实现一到两动作，组合一起形成破坏。这种方法对微点主动防御软件同样无效，微点的行为判断是模拟反病毒工程师的逻辑思维，我们一直强调的是逻辑性，也就是说微点的行为判断不是单一的是或者否，0或者1，而是整个复杂的逻辑判断过程，通过不同程序的生成关系以及依托关系之间各自的行为进行逻辑判断，准确的判断该程序是不是病毒。这个我们可以在微点的很多报警图中看到，微点报一个程序是木马或者病毒，后面都会跟着一大批生成文件或者族群文件，很清楚的反应出，微点对各个病毒子程序之间的父子关系和兄弟关系的判断。

我们可以举一个简单的例子：
一个小偷团伙，他们分工明确，有人做偷的动作，有人做将偷到的东西发出去的动作，但是不管这个动作分得多散，他们始终来自一个团伙（父子关系），他们之间也必须交流（兄弟关系），小偷A要把偷的东西发出去，总得把偷到的东西交到小偷B的手里，这就是我们说的程序同步。根据这一系列的逻辑分析判断，我们准确的判断他们，将他们消灭。

[ Last edited by Legend on 2008-11-25 at 14:12 ]

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2008-11-25 14:11

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号