» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 续：关于降低微点对下载工具的误报率的设想。   作者: 标题: 续：关于降低微点对下载工具的误报率的设想。 Alpha_Boy 中级用户 积分 235 发帖 225 注册 2008-5-17 #1  续：关于降低微点对下载工具的误报率的设想。 1、这也是我碰到的一种误报体验，就是当我表外甥女用电驴续传下载劲舞团时，微点也报“发现可疑程序（eMule.exe），试图修改可执行程序（劲舞团新传贺岁版安装包.exe）”…… 后来我点选了放行，装好之后升了两次级，那个劲舞团可以正常使用，没有任何问题（尽管我不爱玩这种东西）。 我猜测这也是由于电驴在下载时，不断地修改那个自解压安装程序的可执行文件，结果触发了微点的可执行文件防篡改规则而造成了“误报”。 2、对于解决这种误报，我的一种设想和前一篇帖子一样，也是通过用服务器端的SHA1哈希校验，来确认电驴是官方版的，这样大概就没问题了，详情请见（假若你没看过的话）： http://bbs.micropoint.com.cn/showthread.asp?tid=41221&fpage=1 3、但是，电驴不像WinRaR，有好几个版本，比如VeryCD和那个叫“Xtrame Mule”什么的就是不一样的MOD修改版，要储存一堆哈希校验值似乎不太符合成本效益——维护起来也很麻烦。 4、可否这样，根据电驴的工作模式，设计一套行为模式判定规则，一旦某个可执行程序的行为方式接近于电驴，微点就把它“自动”识别为类似“电驴”的下载工具， 然后，在本机自动将该（电驴）程序定义为“中等“权限的可执行程序——所谓“中等”权限，就意味着若这个“电驴”只修改“Incoming”、“Temp”和它自身所在的安装目录这三个目录中的可执行程序（自我升级）， 那么就假定它是个对系统无害的下载工具——因而对它的既有行为不予报警。 5、一旦某一天，这个“电驴”对可执行文件的修改范围超出了这三个目录，那么就像用户报警“您正在使用的下载工具试图修改非默认的下载目录中的可执行文件，您确认您获得这个版本的下载工具的渠道是否安全？”…… 6、然后就是根据用户的选择来进行相应的“阻止”、“隔离”、“上传样本”等等操作。 7、呵呵，总之这还是一个多吃系统资源，加大程序结构复杂性，加大开发成本，以降低误报率的设想——能不能成功，我也不知道。 ------ 四、对了，顺便提一下，微点内置的防火墙的报警提示信息需要进一步的改进。 1、比如，我表姐厂子里有个会计（中专学历），有一天点击了一个桌面上的“宁波市地方税务局网上报税”的快捷方式（应该是一个“.lnk”文件吧）， 然后微点的防火墙就加以拦截了，说“XXXXXX.exe（当然是英文字幕的那一类文件名）程序试图连接网络，是否阻止”什么的， 她根本就看不懂那一串用字母写成的，类似英文的文件名是什么东西，就慌里慌张地点了阻止（她以为是中了什么木马呢）。 结果，网上报税程序就无法使用了，其提示“网络连接失败”什么的。 可见，微点宣传的“智能”防火墙其实也就是个带误报库的防火墙罢了，怎么可能真的“智能”判定什么是该拦的，什么是不需要拦截的呢？ 当我在的时候，这个问题我一看就能解决——但是当我不在的时候，那个会计居然在看到3次“网络连接失败后”就愤怒地把微点给关了？！ 2、那么，怎么解决这个问题呢？长期把防火墙关掉——那不是因噎费食吗？ 我觉得，第一个解决办法是，让微点在安装时能自动“搜索并确认”一遍用户桌面上的图标都指向什么可执行文件， 然后，当某个可执行文件试图创建网络连接的操作被拦截时——微点的提示信息不是“XXXXXX.exe程序试图连接网络，是否阻止？”， 而是“宁波市地方税务局网上报税程序试图连接网络，是否阻止？”， 这样，那些对文件名、路径等电脑常识一无所知的用户不就能做出正确的判断了吗？ 3、还有一个偷懒的办法是，在微点防火墙的内置规则中增加一条，对于一个试图连接网络的程序，一旦被用户连续运行三次的话，则立刻自动放行！ 可能有人会说，你老姐的厂子里雇俑的会计怎么素质这么低啊？连这点而电脑知识都不懂。 如果一个程序只自动连接网络三次，就马上自动放行，那不就不安全，容易造成泄密了吗？ 我想说的是——微点默认在安装结束后，不开启防火墙，那不是更不安全吗！这样至少比不开防火墙好。 而且在微软主动防御系统的类HIPS模块的监控下，真正的木马，大多“应该”在运行时就被杀掉了才对。 ------ 另外，半家族式的乡镇小企业其实就是这个样子的，厂子里的会计，往往不是厂长的七大姑、八大姨， 就是经理的同学、死党，很难要求那些年纪比较大的上一辈的人去了解她们不熟悉的计算机系统——喜欢琢磨电脑软件的女生又是少之又少。 别看我老姐的这家破乡镇企业不起眼，因为最近欧盟通过了一条法案，要求所有人都要购买一种低技术产品（她们厂也有生产）， 所以她们那个厂目前正处于上升期，每年的产值都能达到1000万“美金”（我刚知道的时候吓了一跳，估计她们还能风光个2、3年，等市场饱和后就得转产了吧？而且这些产值的大部分都被外贸局和外国代理商拿走了－.－）…… 言归正传，为了让这种“小”（？！）企业里的，对电脑安全技术不太感冒的女性员工都能用好微点， 只能请微点的程序员们多多费心了…… ※ ※ ※ 本文纯属【Alpha_Boy】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-9-15 16:32 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #2   楼主辛苦 支持下 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-9-15 17:52 Alpha_Boy 中级用户 积分 235 发帖 225 注册 2008-5-17 #3  一个补充：我把电驴的默认下载路径修改过一次。 改成了F:\!000\incoming和F:\!000\temp， 也许这也是我碰到微点误报电驴的一个原因。 ※ ※ ※ 本文纯属【Alpha_Boy】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-9-15 19:38 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号