微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 我不看好微点扫描  

 52  3/6  <  1  2  3  4  5  6  > 
作者:
标题: 我不看好微点扫描
天涯海客
注册用户




积分 161
发帖 161
注册 2007-1-15
#21  

这个扫描引擎肯定有存在的价值的

※ ※ ※ 本文纯属【天涯海客】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-6 09:56
查看资料  发送邮件  发短消息  QQ   编辑帖子
bodhize
新手上路





积分 5
发帖 5
注册 2007-3-4
#22  说的好!

个人认为还是有扫描的好,毕竟符合大众的使用习惯,但我敢肯定真的很少有人会彻底的扫描完所有硬盘分区,其实在做好了防护后,扫描功能真的可有可无,试想如果能使进入超级市场的人中没有小偷,那超市还用得着装什么监控设备来扫描每个人吗?但是技术和市场有时候会和我们开玩笑,盖茨还曾经认为微机的内存不会超过640KB呢,有了扫描引擎,用户可以不用,但没有时想用的话,是不是还得找其他的?想想微软为什么在windows中捆绑IE和很多类似的例子吧

※ ※ ※ 本文纯属【bodhize】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-6 11:28
查看资料  发送邮件  发短消息   编辑帖子
hanly
注册用户




积分 91
发帖 91
注册 2007-2-6
#23  

大致浏览了一下,感觉到是一篇好文章,赶紧收藏,回去慢慢领会。

※ ※ ※ 本文纯属【hanly】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-6 15:32
查看资料  发送邮件  发短消息   编辑帖子
ck^er
注册用户





积分 74
发帖 74
注册 2007-2-26
#24  

如果加入了扫描,个人认为微点就毫无新意了

※ ※ ※ 本文纯属【ck^er】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-6 19:29
查看资料  发短消息   编辑帖子
471795251
银牌会员

九三学社


积分 3818
发帖 3882
注册 2007-2-4
来自 山西省阳泉市晋东化工厂
#25  

大家不要太过于认真了对微点,我自己曾经亲自测试过,有的时候微点的还不如卡巴,但有的时候……我专门挑选了几个病毒,微点竟然一个都弄不出来,而卡巴却相反。但有的时候卡巴一个也查不出来,微点却完全胜利……

※ ※ ※ 本文纯属【471795251】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-6 21:09
查看资料  发短消息  QQ   编辑帖子
100000
版主

灌水区华南水务使


积分 3285
发帖 3250
注册 2007-2-26
来自 深圳
#26  



  Quote:
Originally posted by 471795251 at 2007-3-6 21:09:
大家不要太过于认真了对微点,我自己曾经亲自测试过,有的时候微点的还不如卡巴,但有的时候……我专门挑选了几个病毒,微点竟然一个都弄不出来,而卡巴却相反。但有的时候卡巴一个也查不出来,微点却完全胜利……

微点虽然不能查杀所有的病毒,但是两者作用机制不同,卡巴的特性是只要特征码对上号,不管有毒无毒活的死的都报毒,微点的特征当然基本上是只报活动着的,而这些活动着的,也因为网络状况的不同,可能不会马上报毒......

用来测试微点主动防御的病毒需要
1.可以运行的
2.运行后能在本机做出危害的

很多人都有认真仔细地测试比较过微点的杀毒能力的
您那些微点“弄不出来的”样品可否拿出来共享下?

[ Last edited by 100000 on 2007-3-7 at 08:52 ]

※ ※ ※ 本文纯属【100000】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

日出东方 微点先行 主动防御 快人一步
2007-3-7 08:50
查看资料  发送邮件  发短消息   编辑帖子
y111u
新手上路





积分 37
发帖 37
注册 2006-12-9
#27  

不支持微点的扫描功能,做好现在的就好

※ ※ ※ 本文纯属【y111u】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-7 16:42
查看资料  发送邮件  发短消息   编辑帖子
黑之翼
注册用户





积分 142
发帖 142
注册 2006-9-30
#28  

我个人认为,扫描功能这一项要做就做好的,不燃不要做,免的成话柄!但是就现在微点来看,真的不抱太大希望,如果真的加上去了,这个对微点就象是块鸡肋~```

※ ※ ※ 本文纯属【黑之翼】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-7 21:22
查看资料  发送邮件  发短消息   编辑帖子
反黑先锋
版主

RUNWAY


积分 2901
发帖 2857
注册 2006-6-17
#29  

最近朋友老问我微点几时增加扫描功能 看的出他们对扫描还是很热心的   刚在其他论坛看一投票 赞同扫描的一方人数惊人~   大众有需求 扫描很需要 呵呵对他们来说目前扫描还是必需的功能  印度有个暴风陀螺 他也有扫描功能 祝愿微点成功上市 发展的更完善  造福大家

附件 1: sshot-51.png (2007-3-8 01:37, 12.09 K,下载次数: 30)


※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔
2007-3-8 01:37
查看资料  发短消息   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#30  

先说说那个加壳测试吧,以前那篇文章我也看过。
其实那篇文章还是有些问题或者说认识误区的。
首先一点就是,不能指望杀软把一个加了壳的文件还原到加壳之前的状态,作为杀软最多只能部分地还原。再有,虚拟机脱壳是做不到广谱脱壳的,否则就不会有那么多加壳狂人了。现在的保护壳已经相当成熟了,在考虑性能的情况下可以适当地对原始代码进行变型,有时也会边运行边解码(在内存中永远不会出现完整的源码),甚至有的壳自己也会虚拟个CPU来执行指令。何况,再先进的虚拟机也不可能虚拟出一个Windows,总是有破绽的。
再一点,对于“带壳提特征”。个人观点,如果合适的使用的话还是能达到好的效果的。比方说某个壳名曰“XXX木马帝国专用壳”,作为杀软应当完全有理由相信这个壳加的文件是有问题的...
另外,多重加壳的测试其实是没什么说服力的。众所周知,对于多重加壳是危险的。比方说一个壳在运行的时候会校验文件,然后你在那个文件上又加了个壳,于是运行到里面那个壳的时候就会发现文件被修改,于是拒绝运行。而且多重加壳也会导致一些保护壳的强度降低,正常程序几乎不这么做。在许多启发式引擎中多重加壳(尤其是3层以上)是判断文件是否可疑的重要规则之一。顺便说说那个SVKP,此壳以代码变型著称,但是反调试的强度很低,那么对于加了这个壳的目的可以判断为就是用来躲避特征码的,虽然一个好的杀软不应该直接报这个壳,但是这种做法可以理解。
说说启发式,虽然我也被大量不成熟的启发式引擎所“震撼”,但是那只是不成熟的一些,比如NOD32的启发式还是比较优秀的。另外,在Win32下其实许多启发式引擎不会去静态分析代码。对于加壳的程序,知道怎样解密引入表已经可以做出一定判断。通过它调用API的情况(最好还能辅以相关字符串),一般就能判断出来了。比方说,一个调用CreateRemoteThread并且没有CreateWindow的程序基本可以判断为注入型木马。当然,实际做起来会更复杂,要考虑更多的情况。不过,因为现在电脑性能一般都能承受得起行为分析了,所以启发式的不足变得明显。
还想强调一点的是,各种防御病毒的手段都是带有经验色彩的。用来检验它们的误报率或者合理度只有在实战范围中才能检验,造一些符合杀软经验规律但是不是病毒的东西非常容易。就拿微点来说,如果某个软件一运行就复制到Windows目录,然后注册为启动项,但是随后就什么也不做了。虽然微点肯定会报,因为木马都这么干,但是这个却不是木马。想起了以前托佛冲刺班的事情,那种解题规律是荒诞滑稽到一种程度(比如在阅读题里看到特定单词于是答案一定在这两个中间等)。但是问题是就是有暴多题目可以这么做出来,难道就因为它是荒诞滑稽的于是你就不用吗?

PS:似乎偏题了,完善特征库还是有必要的,毕竟很多人是中毒了才想起来要买杀软的,如果某杀软顺利帮助他解决了问题,很可能一个忠实用户就诞生了。

[ Last edited by flo on 2007-3-10 at 11:00 ]

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-9 20:26
查看资料  发短消息   编辑帖子
 52  3/6  <  1  2  3  4  5  6  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号