微点交流论坛 - 主动防御 - 杀毒软件、HIPS与微点---分析三者区别（知识普及帖）

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 杀毒软件、HIPS与微点---分析三者区别（知识普及帖）

xiaotuzi
中级用户

积分 347
发帖 345
注册 2007-9-1

#1 杀毒软件、HIPS与微点---分析三者区别（知识普及帖）

杀毒软件、HIPS与微点---分析三者区别（知识普及帖）

一、总论
1、杀毒软件
纯个人理解，杀软需具备三大要素：
病毒特征库、杀毒引擎、监控
通过扫描，将系统中文件的特征码与其病毒特征库的特征码进行比对，如果特征码相符，则被判定为病毒，并通过杀毒引擎清除或删除。监控也是同样道理。
总之，杀软是基于病毒特征库的。

2、HIPS
HIPS也需要具备三大要素：（为了便于说明，后面对HIPS的规则处理假定为询问）
规则、监控、拦截
若某个程序在运行过程中，触发了HIPS设定的某个规则，则HIPS会予以询问，并提示用户操作，而不论这个程序是否有害。即使正常的程序，也有可能被询问。

3、微点
微点的特征非常明显：
行为库、监控、拦截，外加一个包过滤墙
所谓行为库，是由程序的连串行为构成，病毒通常具有类似的连串行为，比如释放驱动、改写注册表、释放系统文件、自启动等等，微点便是以这样的方式来判断病毒和木马的，所以某些单一的行为或者未知的行为，不论有害还是无害，只要不触发微点的行为库，便会被放行。

二、举例说明
仅仅说理论，可能大家听不懂也很枯燥，这里就举个例子说明
假设一个潜逃的杀人犯，我们的三大警察是如何抓住他的

1、杀软
通过识别犯人的相貌、身高、体重等特征，以判断他不是要找的犯人。如果犯人乔装打扮，且易容手法高超，完全改变了原来的外在特征，则杀软很有可能抓不住他（这就是所谓的加壳、免杀）。如果犯人继续作案，那么杀软会重新搜集犯人的特征，重新辨认（也就是更新病毒库）。垃圾杀软会将其当做一个新犯人，优秀杀软却可以识别犯人的基因特征，除非犯人改变基因（这就是所谓的脱壳，真正脱壳能力强的没几个，蜘蛛可是算是最优秀的，脱壳依赖的是引擎）。

2、HIPS
如果犯人就此改过自新，不再犯案，那么HIPS将会就此放过它。如果某一天，犯人继续有了作案的动机，假设他是拿枪去杀人，首先，犯人伸手去衣兜里（不管是不是去掏枪），HIPS会提示，是否阻止它？如果你放行，犯人会进行下一个动作，把枪拿出来，HIPS继续报警，是否阻止。如果放行，犯人接下来会瞄准目标，HIPS继续询问。再放行，犯人开枪杀死目标，系统崩溃，HIPS就此下课。

（还有一类特殊的HIPS，就是沙盘，比较有名的就是defensewall，就是它会虚拟一个环境，让犯人在虚拟的环境中杀人，事实上，犯人并没有真正杀死目标，一切都是南柯一梦。犯人的所有行为在虚拟环境中完成，不对真是系统构成威胁）

3、微点
如果犯人就此改过自新，不再犯案，那么微点也会就此放过它，这和HIPS相同。但接下来的就不同了。犯人进行第一个动作，伸手去衣兜里，微点不予理会，因为这一动作本身无害，也许犯人不是掏枪，只是掏钱而已。如果接下来，犯人掏出的不是凶器，微点无视，如果犯人掏出的是枪，微点会在此时报警，这两个动作加在一起才形成了威胁，只有在这种情况下，微点才会询问。如果犯人掏出的是一种微点从未见过，且不知道否会构成威胁的东西，微点仍然放行，然后目标人物被干掉

三、优劣比较
1、杀软
他的优缺点很明显，事前防御和事后补救俱全。事前防御是依靠病毒特征码，一切他所不知道的病毒或者因为加壳改变了代码的病毒，均不会被识别。但一旦收集到新的特征码，杀软仍可依靠强大的扫描能力进行查杀。

2、HIPS
事前防御滴水不漏，但事事要求用户决定是否放行，如果用户基础只是不足，错误放行，那么病毒将会侵入系统，HIPS没有查杀能力，也许可以继续拦截病毒的行为，但不能杀灭病毒本身，更不能修复被感染的文件

3、微点
事前防御根据病毒行为库判定，并不会对所有单一行为报警，只有当连串行为构成危险并触发其行为库事，微点才会报警。但如果某程序的连串行为不在微点的行为库之内，即微点无法识别这种行为是否有害事，系统被会病毒侵入，微点同样不具备查杀的能力，最多只能拦截病毒的部分行为，而无法杀灭。

四、继续举例
假设手动更改 .TXT的文件关联，使其关联到写字板程序
微点不会报警，因为这一单一行为不会对系统造成威胁

而EQ、中网S3等典型的HIPS，如果对这一文件关联设定了规则，则他们会提示这一修改，询问你是否放行。如果设定的规则是禁止的，则他们会直接禁止，使你无法改动文件关联。相对而言，EQ、中网的防御更为严密，但对使用者的要求更高，你需要自行判断某一程序的行为是否有害。

微点同样有规则，它的规则是以行为库（由程序的连串行为构成，病毒通常具有类似的连串行为，比如释放驱动、改写注册表、释放系统文件、自启动等等，微点便是以这样的方式来判断病毒和木马的）的形式体现，某个行为，无论是单一还是连串，无论有害还是无害，如果不在微点行为库的范围内，则不会被拦截。

五、总结
微点对某些广告和流氓的拦截不是很好，对IE插件的加载也很少报警，因为这些广告程序和插件，并不具备明显的病毒连串行为，这些程序通常只是改写一下注册表劫持浏览器，甚至不会自启动。
微点仍是建立在对已知行为的判断的基础上，对未知的病毒行为仍然毫无办法。只不过病毒行为通常是类似的，通过很少的行为库就能起到很好的防御作用。从这个意义上说，微点仍是被动而不是主动。

而中网和EQ，如果你对系统注册表关键位置进行了一些规则设定（EQ和中网内置的注册表防护规则非常全面），这些广告和流氓想劫持浏览器就成了不可能的事

杀软则不是通过程序的行为来判断，而是通过程序的特征码

最后一句话：
杀软通过程序本身的代码特征来判定是否有害
HIPS通过程序的单一行为来判定是否有害
微点通过程序的连串行为来判定是否有害
另外一个特殊的沙盘，基本不作判定，任由程序在虚拟环境中运行，使其无法破坏系统
Sample Text

※ ※ ※ 本文纯属【xiaotuzi】个人意见，与【微点交流论坛】立场无关※ ※ ※

微点应该向主动防御智能化进军
金奖银奖不如网民的夸奖
金杯银杯不如网民的口碑
西方有微软东方有微点

2007-9-20 23:07

wantcm
版主

使用与技巧区消防员

积分 2351
发帖 2247
注册 2007-4-7

#2

楼主收集的资料中对微点的描述有一点错误.
1.微点主动防御软件属于主动防御类安全软件，同时具有杀毒软件和防火墙的功能。
2.微点有病毒查杀能力,
3.制造"微点行为规则库"不包含的病毒,其技术难度很大.世界上这样的天才人物是亿挑一,如果真出现这样的病毒,微点无法查杀,那么常见的扫描式杀毒软件也同样无法查杀，需要升级,而且升级后对病毒变种仍然无能为力,需要重新进行分析.而如果微点针对此病毒进行软件更新后其一系列变种都会被微点"识别".

[ Last edited by wantcm on 2007-9-21 at 03:34 ]

※ ※ ※ 本文纯属【wantcm】个人意见，与【微点交流论坛】立场无关※ ※ ※

做为斑竹，一定要消灭0回复

2007-9-20 23:54

congrong
注册用户

积分 93
发帖 99
注册 2007-8-15

#3

没有看出来楼主想说明些什么，杀软对我来说只是工具，不关是微点还是瑞星能杀毒就成，目前我用RX2008

※ ※ ※ 本文纯属【congrong】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-9-21 00:11

sidineyqiao
版主

体育娱乐休闲版主

积分 1697
发帖 1584
注册 2007-8-2
来自庆祝微点上市一周年624-630

#4

错。。错。。。错。。。。。

※ ※ ※ 本文纯属【sidineyqiao】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-10-8 16:33

lm5247
注册用户

积分 81
发帖 81
注册 2007-10-25

#5

学习

※ ※ ※ 本文纯属【lm5247】个人意见，与【微点交流论坛】立场无关※ ※ ※

用Ｖista+firefox+微点，放心

2007-10-28 01:55

微点专家
版主

Weizi

积分 11554
发帖 11458
注册 2006-8-27
来自贵阳

Quote:

Originally posted by lm5247 at 2007-10-28 01:55:
学习

我要撞墙了

※ ※ ※ 本文纯属【微点专家】个人意见，与【微点交流论坛】立场无关※ ※ ※

做个性的自己

2007-10-28 02:45

海之魂
中级用户

积分 208
发帖 204
注册 2007-9-19
来自消失的大陆

#7

又看到了这篇文章。
其他的杀软也已经开始兼带主动防御了，看来主动防御是对付病毒、木马的走势。

※ ※ ※ 本文纯属【海之魂】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-10-29 17:25

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号