微点交流论坛 - 主动防御 - 小论深度论坛“微点与HIPS的区别”

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 小论深度论坛“微点与HIPS的区别”

1/2

downtoearth
新手上路

积分 35
发帖 33
注册 2007-11-8

#1 小论深度论坛“微点与HIPS的区别”

看nasdaq 高手到了微点论坛做版主了，先恭喜下，以前在中天、绅博拜nasdaq大作多篇，今天献个丑，做为小小礼物。
【微点与HIPS区别】深度原帖http://bbs.deepin.org/read.php?tid=421680
引用一下：“HIPS作用相当于一个动态的系统分析器”，从软件结构定义：“HIPS：监控，微点：监控+分析+清除 ”，从软件结构定义来看，监控是二者都有的，区别在于微点有分析和清除，hips没有。
      我们先看看“分析”这个词汇，现代汉语词典中对“分析”的定义是【把一件事物、一种现象、一个概念分成简单的组成部分，找出这些部分的本质属性和彼此之间的关系】。通常我们讲，分析者应该具有思维能力的，比如人。计算机自身是不具备分析能力的，计算机仅仅是一些电子元器件而已，计算机程序具有分析能力吗，应该计算机程序是具有分析能力的，因为程序是人编写的，因此，可以按照人的某种思维模式实现一定的逻辑分析能力。所以说，我认为，hips不能理解为动态的系统分析器，因为hips不具备分析能力，只是动作的报警器，比如瑞星的注册表监控，那也仅仅是注册表修改报警器。而hips仅仅是由程序员在分析了 windows系统的涉及重大安全API调用的基础上，通过程序对这些API进行了监视，由于监控的这些API是很多病毒常常调用的API，所以，大家觉得HIPS具有反病毒的能力。但这些API是任何程序都可以调用的，所以，HIPS对正常应用软件调用被监视的API也会报警，因此，HIPS程序自身是没有分析能力的，只能说是按照程序员的要求实现了API监控报警器的功能而已。
      微点也具有监控能力，但并不是说微点就是在HIPS，重要的是微点具有分析能力，这才是本质的不同。那这种分析能力体现在哪里呢，对程序是病毒还是非病毒的分析能力上，用过微点的人或做个深层测试的人都有体会，微点并不是把所有写注册表启动项、遍历磁盘或者执行网络连接的动作就报警的，通过微点的程序生成日志和注册表修改日志可以看到，程序已经生成、注册表项已经修改，从创建时间和修改时间，以及微点拦截报警发现未知病毒木马时间上看，是有差异的。因此说，微点不是乱报警，而正是象官方说的那样，一旦程序表现出病毒木马行为即拦截并报警提示。另一个重要的特点是微点在发现病毒木马后能够有效清除，这是 hips所不具备的，为什么不提供这种功能呢，因为hips不具备分析能力，所以无法分析出这个API调用的动作是正常程序完成的还是病毒完成的，更谈不上清除的功能了。微点高深之处在于，让程序具备了人分析病毒调用API的行为和正常程序调用API的行为，具备了发现病毒清除病毒的能力。

----------好文章 +2
      david1126103

[ Last edited by david1126103 on 2007-11-13 at 08:25 ]

※ ※ ※ 本文纯属【downtoearth】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-11-8 16:21

bigpoint
注册用户

积分 181
发帖 181
注册 2007-11-2

Quote:

Originally posted by downtoearth at 2007-11-8 16:21:
看nasdaq 高手到了微点论坛做版主了，先恭喜下，以前在中天、绅博拜nasdaq大作多篇，今天献个丑，做为小小礼物。
【微点与HIPS区别】深度原帖http://bbs.deepin.org/read.php?tid=421680
引用一下： ...

你身体不好，干嘛到处乱窜

※ ※ ※ 本文纯属【bigpoint】个人意见，与【微点交流论坛】立场无关※ ※ ※

[align=center][color=blue]big[/color][size=7]p[color=red]O[/color]int[/size][/align]

2007-11-8 18:21

downtoearth
新手上路

积分 35
发帖 33
注册 2007-11-8

#3

身体不好就更应该乱窜啊，锻炼身体

※ ※ ※ 本文纯属【downtoearth】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-11-8 18:55

白银
新手上路

积分 24
发帖 22
注册 2007-11-10

#4

HIPS防病毒不过是它的功能的一方面而已
HIPS是“人在环中”，由用户进行判断，和微点的程序自身进行判断完全不同
所以这两者是没有可比性的
如果是家庭用户，当然是微点更适合
如果没有一定的相关知识，使用HIPS是达不到高效防护的

-------------- 说的正中要害 +2
            david1126103



[ Last edited by david1126103 on 2007-11-13 at 08:27 ]

※ ※ ※ 本文纯属【白银】个人意见，与【微点交流论坛】立场无关※ ※ ※

Have I Posted Scripts?

2007-11-10 17:35

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#5

说的很好建议加分

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-11-12 20:55

追风战士
新手上路

积分 23
发帖 21
注册 2007-11-12

#6

说的真好，又学到了新知识。

※ ※ ※ 本文纯属【追风战士】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-11-13 16:46

zayss
高级用户

积分 533
发帖 531
注册 2007-1-22
来自湖北武汉

#7

我觉得就是黑盒HIPS和百合HIPS的区别

※ ※ ※ 本文纯属【zayss】个人意见，与【微点交流论坛】立场无关※ ※ ※

微点单机版
微点民间粉丝群29129039

2007-11-15 10:14

qq1200282
新手上路

积分 13
发帖 13
注册 2006-12-9

#8

我觉得某些行为微点应该要指明出来 ...
不要就给"未知木马"等这短短几个字 ....
误报情况真的很严重...

※ ※ ※ 本文纯属【qq1200282】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-11-16 18:05

haha
新手上路

积分 26
发帖 26
注册 2006-5-26

Quote:

Originally posted by zayss at 2007-11-15 10:14:
我觉得就是黑盒HIPS和百合HIPS的区别

微点主动防御和HIPS在实现防御的过程中，监控技术当然是必不可少的，但不能说微点就是HIPS，HIPS和微点区别在于微点有分析和清除，hips没有，有了分析和清除的功能，这就使微点与HIPS在本质上有了区分。打个比方步枪和机枪他们在发射子弹时都会用到撞针技术，但他们的构造就不同杀伤力也不一样，机枪实现了连发他的杀伤力就远大于步枪，虽然他们都使用了撞针技术，但步枪就是步枪，不能把步枪说成机枪对吗？它们统称为枪。同样的道理微点的主动防御不是HIPS，我倒是有个说法不知版主是否可以接受？我的说法是：微点的主动防御和HIPS都是基于行为监控的防御工具，微点具有判断和清除能力是智能的，HIPS没有。
举个例子：
有些正常软件也会有疑似病毒的动作，hips没有分析的能力所以就同样会报出来让用户判断，这应该算作不分青红皂白吧，只要符合标准的hips是不会区分正常和非正常的都报给用户的，对于普通用户来说，谁能分辨出是与非呢？但微点不同他具有分析和清除功能，能够替用户去区分正常和非正常并放过正常处理非正常，就是因为微点具有的分析能力所以才会给用户减少了这种判断上的困扰.
结论是微点根本就不是HIPS，所以无论是黑盒HIPS和百合HIPS跟微点不沾边。

※ ※ ※ 本文纯属【haha】个人意见，与【微点交流论坛】立场无关※ ※ ※

主动防御就看微点

2007-11-16 22:33

pypok
新手上路

积分 1
发帖 1
注册 2007-1-28

#10

到这里就来学习的，学习了！！！

※ ※ ※ 本文纯属【pypok】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-11-16 23:55

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号