zayss
高级用户
积分 533
发帖 531
注册 2007-1-22
来自 湖北武汉
|
#1 原创:谈谈我对未来杀软技术的展望
在阅读本文前,本人事先声明此文只代表一家之言,欢迎跟帖交流!
回顾了一下我的杀软使用历史,我总结了一下4大高手的昨天,今天和明天
A:启发
病毒像强盗,为了逃避特征码查杀,不得不频繁整容。宋丹丹曾经对赵大叔说:你以为你换了马甲我就不认你了吗?强盗整个容就轻易骗过了保安混到你的家里,兴风作浪一番然后逃之夭夭,当你发觉有问题时,东西已经不见了。所以为了克服病毒整容的这个问题,很多厂商纷纷加入启发的大军,名字也是千奇百怪。
启发也有他的短处,一般病毒木马制造者为了逃避查杀,专门针对某杀软制作免杀,并且频繁联网更换马甲,导致杀软直接KO,而且病毒在暗,安软在明,病毒永远都跑在杀软前面,很多杀软追的筋疲力尽。
此外由于启发引擎的问题,一些杀软出现了误杀系统文件的状况,特征码明显出现了瓶颈,为了解决未知病毒的威胁并减少误报,云技术就诞生了。
B:云安全
如果说特征码的命名千奇百怪的话,云就比较统一,大家都叫云安全。云就是一个巨大的白名单,对已知的文件放行,对未知的进行上报分析。我如果没搞错最早运用此技术的是熊猫。其实国内的江民在很早也用过类似的技术,对一些未知进程报可疑,然后手工上传进行分析,360早期也依靠文件路径,名字和MD5值来查杀,如果我没记错,卡饭还专门喷360 MD5判断木马的帖子。上述其实都可以说是云的一个雏形吧,跟云沾边了,只可惜我们国家的厂商当时没把这项技术发扬广大。
随着网络的迅猛发展,越来越多的厂商加入到云安全的队伍里。得益于庞大数据库的支持,对用户获得的已知的文件可以迅速放行,对一些未知的威胁也有一定的防御效果,并大幅度提升了未知病毒的响应速度,对操作系统的误报也大幅下降。
可是云安全的蜜月期没多久,问题来了。云是拼的硬件和人力,依赖的是庞大的云计算服务器和大量的程序员,随着互联网迅猛的发展,文件爆炸式的增长,服务器和程序员不堪重负,响应速度明显下降。
卡饭上曽爆出一篇文章:云安全就是最大的木马,作者炮轰云“偷偷”上传用户文件,直指云泄露用户隐私,观点虽然偏激,但仔细砸砸味道还是有一定道理的。此外在一些“边缘”文件的判定上,各家厂商反应不一,难免带来一些质疑指责之声。
我个人认为云是未来的主流技术,大胆的预测一下未来的云二代,目前云一代的模式是用户在服务器上查询,以后用户的角色会明显加重,对服务器的依赖程度明显降低,甚至用户与用户直接通讯,像BT一样。例如现在的科莫多和诺顿已经有社区查询功能,可以说有一点高级云的影子了。
C:黑盒主动防御
当年在特征码发展遭遇瓶颈时,一些资金雄厚的公司选择了云,而有些公司向右拐选择了一条截然不同的道路:主动防御。
为什么还要区分白盒黑盒主动防御呢,我这里指的黑盒主防=智能主防,说的更明白就是评论微点和Threatfire。这是目前黑盒主防做的最有代表的2家,也可以说是仅有的2家。
不可否认的是主防目前是对未知病毒反应最快的,一运行就知道了。主防微点宣传的效果是99%,有人觉得夸大其词,但90%相信没多少人反对了吧。
主防和云观念明显是冲突的,云依赖服务器,主防依赖客户端;云强调网络群体防御,主防强调单机防御;云要查询服务器,主防就认为这种行为是类木马行为。总之,云是典型的群狼主义,一群人和病毒在战斗,主防是典型的个人英雄主义,一个人在和病毒单挑。
主防令人诟病的就是误报了,我个人猜测每天微点的升级估计有50%以上是在解决误报。的确,云的核心是与服务器互联通信,这在主防看来就是类木马行为。于是悲剧频频上演了,微点今天砍迅雷,明天剁搜狗,后天挑落QQ。有人一骂微点然后就更新解决误报,然后那些软件一升级微点继续报,用户骂了后继续升级解决,微点完全陷入了一个死循环中。解决的方法是什么?白名单!微点不断庞大的白名单可以说是一种悲剧,这不就是云么?
主防的前途我并不看好,不过微点是个让人尊重的公司,我们国家需要这样的创新理念,他开创了主动防御的先河,并引发了一些公司的纷纷效仿。
D:白盒主动防御(HIPS类)
最后简单说下HIPS,很多软件号称自己有主防,但你会发现,你在安装软件时杀软频繁弹窗,实际上就是安装软件触发了一些规则,如修改了注册表,增加了启动项,杀软就报警了,所以我在这里称他为白盒主防。
HIPS不适合菜鸟使用,因为他们对这些频繁的弹窗不知所措,基本都是允许了。不过不可否认,HIPS也是安全狂人的最佳选择,可以让你的滴水不漏。
一些安全也融入了一些HIPS的元素在里面,对防御未知病毒有一定的效果,不过给很多菜鸟也带来了很多困惑,但如果你对云的上传不满,可以尝试一些类HIPS杀软,对保护隐私有一定效果。
我认为HIPS是厂商为防御未知病毒的权宜之计,随着操作系统,数字证书,云和主防的逐渐完善,白盒主防的运用会越来越少。
呵呵,写到这里本文就结束了,虎头蛇尾的文章啊,还望大家多多发表意见啊。
同时,请超版澄清一下微点每天的更新内容,解决误报的到底占多少比例
| |
※ ※ ※ 本文纯属【zayss】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
微点单机版
微点民间粉丝群29129039
|
|
|
2010-1-26 22:02 |
|
镜湖YES
银牌会员
积分 1225
发帖 1199
注册 2009-3-15
|
#2
原来楼主除了在卡饭论坛也在微点社区混啊
| |
※ ※ ※ 本文纯属【镜湖YES】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-1-26 23:34 |
|
izsm
新手上路
积分 5
发帖 5
注册 2010-1-5
|
#3
好像董了点了。一楼的意思是说微点如果不升级的话,可能防毒还要好一点。
宁杀错!不放过!哈哈!哈哈!
| |
※ ※ ※ 本文纯属【izsm】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-1-27 00:46 |
|
xlht123
注册用户
积分 85
发帖 83
注册 2009-11-21
来自 木马牧场
|
#4
偶木有文化,偶的理解是:所谓的云只不过是把病毒库放在了服务器端,这和传统的杀软没有本质的区别。在防御未知病毒方面还是要先牺牲一部分“羊”、然后才能把“羊圈”补牢……
| |
※ ※ ※ 本文纯属【xlht123】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
体贴入微,点滴关怀。
用微点没危险,省心省力省空间。不需扫描能杀毒,主动防御不一般! |
|
|
|
2010-1-27 08:28 |
|
lsj301
银牌会员
积分 1388
发帖 1382
注册 2009-3-16
来自 甘肃兰州
|
#5
由于偶们的信息安全意识差,你知道微点为什么要"今天砍迅雷,明天剁搜狗,后天挑落QQ"。就是因为微点是行为分析,迅雷,搜狗,QQ在电脑里干了与其身份不相符的事,假如来了一个朋友,我们在客厅喝茶,如果他说要看看我有什么藏书,肯定是要去书房了,我自然是要陪着了(监控),如果说要方便一下,那自然是去卫生间了,那就不用陪了,总之我知道你干 了什么,都是我允许的,如果他什么也不说,就在我的抽屉里找东西,我肯定就不高兴了.谷哥的Google Chrome,微软的IE,都在安装前要问是否加入改善什么的,迅雷问过吗,QQ问过吗,360问过吗,这些LM,绑架了用户,最终也绑架了微点(确实误报除外).我个人认为,须加强主防,云技术也就是加强型的特征码,也没到报废的时候.
| |
※ ※ ※ 本文纯属【lsj301】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
我们一直在默默支持微点! |
|
|
|
2010-1-27 11:14 |
|
jackybaby
中级用户
积分 330
发帖 321
注册 2006-12-31
来自 sz
|
#6
写的不错,不过白云大妈说了:那叫四大高手的过去,现在和未来,就是结论磕碜了点。 所谓云,本质就像水库扩容,能蓄更多水了,但源头的水还在汹涌的流入,总有一天又不够用了,当病毒成为几何级数时,要用银河来处理吗? 这种方法可以说刚上路就已经看到终点了。 至于你说的误报,我不认为是误报,是他们肯定有不轨行为,只是他们挟庞大用户以令微点,屈服于市场只能把他们加入白名单。所以偶认为主动防御才是技术的方向,至于能否占领市场,还要看营销。
| |
※ ※ ※ 本文纯属【jackybaby】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
微点+组策略,不知毒滋味。 |
|
|
|
2010-1-27 11:35 |
|
zayss
高级用户
积分 533
发帖 531
注册 2007-1-22
来自 湖北武汉
|
#7
| Quote: | Originally posted by jackybaby at 2010-1-27 11:35:
写的不错,不过白云大妈说了:那叫四大高手的过去,现在和未来,就是结论磕碜了点。 所谓云,本质就像水库扩容,能蓄更多水了,但源头的水还在汹涌的流入,总有一天又不够用了,当病毒成为几何级数时,要用银河来 ... |
|
很多时候微点并不是误报,360的几次都被诺顿和大蜘蛛干掉,软件确实有流氓行为,在后台偷偷传送一些信息出去,我姑且称之为类木马行为
暴风断网就是给云安全一记耳光,希望以后云技术,数字证书技术能有更大的发展吧,那样微点就可以解“决误”报这个问题
| |
※ ※ ※ 本文纯属【zayss】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
微点单机版
微点民间粉丝群29129039
|
|
|
|
2010-1-27 13:46 |
|
理想未来
禁止发言
积分 386
发帖 382
注册 2008-12-10
|
#8
HIPS就是提示多,提示不明确。。。比不上微点,微点更适合大众使用。智能 提示明确。
HIPS动不动挂全局钩子、加载XX驱动、改写XXX/XXX/XXXX注册表,
写自启动、安装XX服务,dll注入
病毒会需要这些,但有的正常软件也会啊
你放行吧? 怕是病毒。拦截吧 正常软件无法运行
反病毒是所有电脑使用者面临的问题,而不是研究病毒行为的人的问题,这之
中,究竟有多少一般人懂得用交互模式?挂全局钩子、加载XX驱动、
改写XXX/XXX/XXXX注册表,写自启动、安装XX服务,dll注入,这些东西有谁懂啊,
我认识人的没一个懂!如果这些都懂,用HIPS好啦!
建一条HIPS规则:防病毒最大保护,禁止在硬盘上写入任何文件禁止创建进程
啥病毒也进不来但是还有意义吗?用户还使用电脑吗?
| |
※ ※ ※ 本文纯属【理想未来】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-1-29 03:37 |
|
理想未来
禁止发言
积分 386
发帖 382
注册 2008-12-10
|
#9
用HIPS不存在误杀问题,因为他基本靠你自己判断和提示选择。
| |
※ ※ ※ 本文纯属【理想未来】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-1-29 04:10 |
|
微点专家
版主
Weizi
积分 11554
发帖 11458
注册 2006-8-27
来自 贵阳
|
#10
我要的是高智能高人性化的
| |
※ ※ ※ 本文纯属【微点专家】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
做个性的自己 |
|
|
|
2010-1-29 10:49 |
|
