» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 电脑&数码 » 瑞星2008主动防御技术详解(从瑞星那翻来的)    15   1/2   1   2   >  作者: 标题: 瑞星2008主动防御技术详解(从瑞星那翻来的) qq2008444 银牌会员 职业潜水艇 积分 5373 发帖 5291 注册 2007-7-7 来自 兰·基亚斯 兰古拉王国 #1  瑞星2008主动防御技术详解(从瑞星那翻来的) 一、主动防御简介 　　主动防御是一种阻止恶意程序执行的技术。它比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点，可以在病毒发作时进行主动而有效的全面防范，从技术   层面上有效应对未知病毒的肆虐。 　　从技术角度讲，完整主动防御技术包含三个层次：资源访问规则控制；资源访问扫描；程序活动行为分析引擎，其中尤其以行为分析引擎技术最为关键。此前，由于行为分析引擎技术不成熟，集成了主动防御的杀毒软件需要过多的用户参与，要求用户选择是“放过”还是“拒绝”某个程序的动作，这样反而给用户带来了困扰。 　　二、主动防御技术的层次划分 主动防御的层次化结构示意图 　　2.1、主动防御第一层：资源访问规则控制（HIPS） 　　资源访问规则是主动防御的第一层，也是其最为基础的部分，主动防御的基本功能，就依赖于此层来展开。它通过对系统资源（注册表、文件、特定系统API的调用、进程启动）等进行规则化控制，阻止木马、病毒等恶意程序对这些资源的使用，从而达到抵御未知病毒攻击的目的。 　　事实上这个技术从2004年起就在瑞星杀毒软件中得到了成功的运用，文件监控、注册表监控、内存监控等都属于这个层次。现在的一些所谓“主动防御”杀毒软件，国际上比较热的HIPS软件，事实上采用的都是这个层次下的技术。 　　瑞星专家结合大量中毒用户的案例分析，把大量规则预先设置到瑞星2008版的主动防御模块中，使得大量普通用户不必去面对高深的主动防御技术，就能享受到主动防御HIPS的效果。 　2.2、主动防御第二层（监控扫描层）：资源访问扫描 　　资源访问扫描是主动防御的第二个层次，通过监控对一些资源，如文件、引导区、邮件、脚本的访问,并使用拦截的上下文内容（文件内存、引导区   内容等）进行威胁扫描识别的方式，来处理已经经过分析的恶意代码。 　　很多主流杀毒软件，包括瑞星软件中的邮件监控（反病毒、反垃圾）、网页监控、文件监控都属于这一层，这一层主要解决邮件病毒、网页挂马等等问题。 　　在瑞星2008版中，特别加强了第二层中的“病毒强杀”和“智能监控”等功能模块。以往有很多病采用种种手段对自身进行保护，使得杀毒软件只有在重启系统后才能清除，有了“病毒强杀”之后，瑞星杀毒软件可以将此类顽固病毒干净彻底的杀掉。 　　传统的杀毒软件需要对多种系统资源、行为动作进行监控，可能造成系统资源的占用。瑞星专家通过对多个监控扫描模块的优化，使用了“智能监控技术”，使得08新品的资源占用大大减少，用户可以在安全的环境下正常工作，不会遇到机器变慢等传统问题。 　　2.3、主动防御第三层（智能分析层）：进程行为分析引擎+DNA识别 　　这一层是主动防御技术核心中的核心，具有很高的技术门槛，有些类似反病毒行业的“歌德巴赫猜想”。按照理论来讲，病毒可以根据代码数据特征码判定，也可以根据它的程序行为表现（即行为特征）判定，前者就是“特征码查杀”，是应用广泛的传统技术；后者在理论上可以做到，实际操作中很难用程序来准确判定，往往需要用户进行参与，对用户的技术水平要求很高，所以一直停留在实验室阶段，不能投入大规模的实际应用。 　　瑞星专家经过对数十万病毒的危险行为进行分析，提炼，设计出全新的主动防御智能恶意行为判定引擎。从而让用户能更简单轻松的应对未知病毒的侵袭。单纯的行为分析技术往往造成较多的误报情况。针对该弱点，瑞星专门加入了病毒家族的DNA识别技术，当出现可能的恶意行为时，会使用DNA扫描确认威协。这样“进程行为分析引擎+DNA识别”的方式，即可以通过恶意行为分析发现未知病毒，又很好的防范了误报的发生。 　　三、瑞星主动防御的优势 　　1、易用。普通主动防御软件、HIPS软件基于规则进行相应的技术处理，凡是触犯规则的程序动作都会要求用户确认，因此会频繁弹出对话框，要求用户进行选择（比如Windows Vista的UAC功能）。这给普通用户带来极大的困扰——不知道该怎么选，或者不知道选了之后会出现什么问题，这样的主动防御其实是没用的。 　　瑞星专家在深入研究的基础上，经过对十余年反病毒经验的总结，把很多选项、动作、规则进行了预置，用成熟的预置经验和规则来代替普通用户进行选择，这样可以大大提高主动防御的易用性和有效性。 　2、专业、灵活，可定制规则。普通主动防御软件、HIPS软件、带有主动防御饿杀毒软件等，都会提供一定的用户交互功能，但是由于技术上不能达到、或者怕用户进行误操作，这些软件提供的交互选项很少，经验   丰富的用户无法手动调整某些功能。 　　针对经验丰富的用户，瑞星开放了非常丰富的接口和选项，熟练用户可以完全操纵自己的系统做任何想做的事情，比如：用户可以观察可疑程序的每一个动作（注入、创建文件、修改注册表等），可以控制任何程序的操作范围，这样，用户自己就可以手工处理并清除未知病毒、流氓软件等。 　　3、专门针对中国用户设计。根据中国地区流行病毒的特点，瑞星的主动防御设计了针对这些病毒的防御功能，针对行为、规则等等进行了更多的优化和定制，使其更加符合国内用户的实际状况，运行更加稳定。 　　四、如何识别杀毒软件中的“主动防御功能” 完整的主动防御功能列表 　　自2006年起，一些厂商开始炒作“主动防御”概念，但是他们所谓的主动防御其实只有很少的几项功能，只有HIPS中的几项、或者只有传统监控的几项。瑞星认为，只有全面实现三个层级的主动防御，才是真正意义上的“主动防御功能”，如果用户使用不完全的主动防御，将给自己带来严重的安全风险。 ※ ※ ※ 本文纯属【qq2008444】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟…… 2007-8-26 08:18 反黑先锋 版主 RUNWAY 积分 2901 发帖 2857 注册 2006-6-17 #2     Quote: Originally posted by qq2008444 at 2007-8-26 08:18: 三、瑞星主动防御的优势 　　1、易用。普通主动防御软件、HIPS软件基于规则进行相应的技术处理，凡是触犯规则的程序动作都会要求用户确认，因此会频繁弹出对话框，要求用户进行选择（比如Windows Vista的UAC功能）。这给普通用户带来极大的困扰——不知道该怎么选，或者不知道选了之后会出现什么问题，这样的主动防御其实是没用的。 　　瑞星专家在深入研究的基础上，经过对十余年反病毒经验的总结，把很多选项、动作、规则进行了预置，用成熟的预置经验和规则来代替普通用户进行选择，这样可以大大提高主动防御的易用性和有效性。 http://bbs.micropoint.com.cn/showthread.asp?tid=16087&fpage=1 ※ ※ ※ 本文纯属【反黑先锋】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 荣先祥藏头诗《赞东方微点》 东风欣传好消息 方策独步世所稀 微妙玄机嵌主动 点睛灭毒堪神笔 2007-8-26 10:14 zayss 高级用户 积分 533 发帖 531 注册 2007-1-22 来自 湖北武汉 #3   最后一段话太狂妄了，如果瑞星是真正的主动防御 MP可以收他专利费了 ※ ※ ※ 本文纯属【zayss】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 微点单机版 微点民间粉丝群29129039 2007-8-28 22:25 jobcreep 银牌会员 我的昵称：小爬 积分 2527 发帖 2527 注册 2007-7-13 来自 陕西西安 #4   感觉很牛的样子 ※ ※ ※ 本文纯属【jobcreep】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 在蓝天下 献给你 我最好的年华！ 我的博客“杂货铺”，普天之下，没有我不关心的！ http://hexun.com/jobcreep1899/default.html    2007-8-29 09:01 驾驭流星 中级用户 新手上路 积分 221 发帖 221 注册 2005-12-30 来自 中国！ #5   垃圾一堆~~~ ※ ※ ※ 本文纯属【驾驭流星】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-31 23:35 McAfeefan 注册用户 积分 106 发帖 106 注册 2007-8-11 #6   好像瑞星斗很喜欢吧自己吹得很牛，结果很烂.... ※ ※ ※ 本文纯属【McAfeefan】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 原来只爱McAfee 现在更甚爱微点 2007-9-1 08:04 lhrsky 新手上路 积分 19 发帖 19 注册 2007-3-8 #7   谁都说自己的孩子好啊。 ※ ※ ※ 本文纯属【lhrsky】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-9-5 11:32 998csc 中级用户 积分 304 发帖 304 注册 2007-2-2 来自 sz #8   恶心. ※ ※ ※ 本文纯属【998csc】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ [原创] 日出东方红胜火 月落微点俏如兰 [又一] 日出东方红胜瑞 月上微点妙摘星 关怀入微，点滴不尽，全心全意全为你！信任你我的微点！ 2007-9-10 22:34 dsl5 高级用户 积分 578 发帖 520 注册 2007-6-16 来自 广州 #9   看它的图就知道它去到什么层次! ※ ※ ※ 本文纯属【dsl5】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 该点饭点了叉烧饭 2007-9-13 10:20 Lupin 新手上路 积分 1 发帖 1 注册 2007-9-14 #10   用三个月的瑞星正版一个毒也没杀到,一换卡巴一扫描就狂叫.瑞星拿别人的狂吹自己的好 ※ ※ ※ 本文纯属【Lupin】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-9-14 08:31  15   1/2   1   2   >  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号