微点交流论坛 - 微点软件使用交流 - 【大家对微点扫描版怎么看？】【投票】

参与投票的会员:

kihiuyhjgh qq646830734 飞翔的心情 ssaassw dsadsawwwa 飞信之中五星红旗 qqwangtao 郭帅峰 pk8502209 cdh7758 huangdan811 173659857 kunglee138 cp0577 狙击手_咖啡 okxugang 黑天使新月 qbnnq1000 shiweilin iuudt little750 hyf886868 理想未来 oisdd 246813 shi61300 a246813 ly5357304 星光HEAVEN sunmoonage xuy777 qfb2007 safeage w499310408 tnttom 无名之人 situxuanyuan yusdd 就一个字-爽 gsaifei wtr93 lxc2009wd yangchunbaoo 御剑临风. 龙龙007 lsldream jy00147725 xuliang hlxhcr kubest wujiang6518 pcavl 灯火阑珊 lantuu rockyu honck zhou2008yl cloudie121 ljw8172 王者天下 ivc52 涯遇

很有必须（可以更全面）

25 (39.06%)

没有必须（应该专心研发主动防御技术，完善行为库）

36 (56.25%)

可有可无

0 (0.00%)

其他（跟帖说明）

3 (4.69%)

3/7

iuudt
新手上路

积分 8
发帖 8
注册 2009-9-28

#21

Quote:

Originally posted by qqwangtao at 2009-9-28 13:16:

__找你那麽说，除微点外所有的国内外杀毒公司，包括安全辅助之类的软件如360等，早就喝西北风了！

难道不是吗？一个机器狗，一个熊猫烧香就搞死他们了

殊不知多少病毒已经免杀（最起码免杀的难度要比主动防御简单的多）

而且免杀技术已经成低龄化，成利益化，而且还有现成的免杀机

加壳器等等。。

你的逻辑这么多公司使用就一定是好技术？只能说

原来是好技术（N年前的事情了）但随着时代的发展，社会在进步

这个技术还是遥遥领先？

※ ※ ※ 本文纯属【iuudt】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-9-28 13:21

qqwangtao
中级用户

积分 456
发帖 454
注册 2009-6-17
来自革命圣地——延安

#22

Quote:

Originally posted by iuudt at 2009-9-28 13:04:

扫描一天还有什么意思呢？扫描是第二代的技术

为什么还要一直咬着不放？现在已经证明这个技术过时了

我们就应该发展新技术，而不是一直咬着不放过时的老技术。

主动防御技术概论
      当代反病毒产品使用两种主要方法检测恶意程序码——以病毒码为基准的分析，与主动防御/探索式分析。第一种方法相当简单，将使用者电脑上的物件与已知病毒的范本（例如病毒码）作比较。此种技术牵涉到新型恶意程序的持续追踪，并根据其性质建档，包含于病毒码资料库中。因此，反病毒公司应拥有追踪及分析恶意程序码的有效服务（亦即反病毒实验室）。评估病毒码方法有效程度的主要标准，包括新威胁的回应时间、更新频率及检测率。
      以病毒码为基准的方法有几项明显的缺点。主要的缺点就是在应对新威胁上会出现延迟。病毒的出现与病毒码释出之间，必定存在有延迟时间。而当代的病毒可以在非常短的时间内感染数百万台电脑。

      因此，主动防御/探索式的病毒检测方法逐渐普及。主动防御方法不需要释出病毒码。相对的，反病毒程序会分析扫描到的物件程序码，及/或启动的应用程序行为，并根据预先设定的规则，判定软件是否为恶意软件。
      理论上，此种技术可用于检测未知的恶意程序，因此许多反病毒软件开发者争先恐后的宣传主动防御方法是对付新型恶意软件的万灵丹。但事实不然。如果要评估主动防御方法的有效程度，以及其是否可独立于以病毒码为基准的方法之外单独使用，我们必须先了解主动防御技术所根据的原理。

      主动防御可通过数种方法达成。在此我们将探讨其中两种最普遍的方式：启发式分析器与行为拦截工具。

启发式分析
      启发式分析器是分析物件程式码的程序，使用间接方式判定物件是否具有恶意。不同于以病毒码为基准的方法，启发式分析器可以检测出已知和未知的病毒（亦即在启发式分析器写成之后才问世的病毒）。
      分析器通常会先由扫描式码开始，寻找具备恶意程序特征的可疑属性（命令）。此方法称为静态分析。举例说明，许多恶意程序会搜寻执行档，然后开启找到的档案并加以修改，启发式分析器检视应用程序之程序码，并在找到可疑命令时增加该应用程序的可疑指数。若检查完全部程序码后的指数值超过预设的标准，该物件即归类为可疑物件。
      此方法的优势包括便于实施，以及具备高效能。然而，此方法对新型恶意程序码的检测率较低，而误判率也较高。
      因此，在目前的方病毒程序中，静态分析会与动态分析并用。此种综合型方法背后的概念，是让应用程序实际在使用者电脑上执行前，先在安全的虚拟环境（又称模拟缓冲区或“沙磐”中进行模拟。在厂商的行销资料中，亦称作“虚拟PC模拟”。

      动态启发式分析器会将应用程序的程序码，部分复制到反病毒程序的模拟缓冲区中，并使用特别的“技巧”模拟其执行。若在此“模拟执行”中检测到可疑的动作，该物件将归类为恶意物件，且该物件在电脑上执行时将遭封锁。
      由于以动态方法为基准的分析须使用受到保护的虚拟环境，此方法因此比静态方法需要更多的系统资源，而应用程序在电脑上执行时，也将因为完成分析所需的时间量，可能造成若干延迟。然而，比起静态方法，动态方法提供较高的恶意软件检测率，误判率也比较低。
      反病毒产品使用启发式分析器已有相当的历史，因此，目前所有反病毒解决方案所采用的启发式分析器，或多或少都是为进阶的版本。

行为拦截工具
      行为拦截工具是在应用程序执行时分析其行为，并封锁任何危险活动的程序。不同于在模拟模式中追踪可疑动作的（动态）启发式分析器，行为拦截工具乃是在实际的环境中运作。
      第一代行为拦截工具并不太成熟。每当检测到潜在危险的动作时，使用者便收到提示，询问是否封锁该动作。虽然此种方法在许多场合中有效，但正常的程序有时也会执行“可疑”的动作（包括作业系统本身），而未必熟悉此类过程的使用者，常无法理解系统的提示。

      新一代的行为拦截工具分析的对象是一连串的作业，而非个别的动作，这代表在判定应用程序行为是否具危险性时，根据的是更加纯熟的分析。如此有助于大幅减少系统提示的出现次数，并增加检测恶意软件的可靠度。
      如今的行为拦截工具可监控系统中各式各样的事件。其主要目的在于控制危险的活动——亦即分析所有执行于系统中的处理程序行为，并将所有对档案系统与登录档作出变更行为资讯储存。若应用程序执行危险的动作，使用者会收到警示，指出处理程序带有的危险性。封锁工具亦可拦截任何企图将程序码注入其他处理程序的行为。此外，封锁工具可检测到Rootkit——此种程序会隐藏恶意程序码对档案、资料夹与注册机码的存取，并导致使用者无法发现程序、系统、服务、驱动程序与网络连线。

      行为拦截工具另一项特别值得一提的功能，便是其控制应用程序与Microsoft Windows系统登录档完整性的能力。就后者而言，封锁工具会监控针对注册机码所进行的变更，并可定义不同应用程序对注册机码的存取权限规则。因此便可在检测到系统中危险的活动，或甚至当未知的程序执行恶意活动后，恢复变更，借以还原系统至感染前的状态。
      不同于现代反病毒程序普遍使用的启发式分析器，行为拦截工具较为少见。包括于卡巴斯基实验室产品中的Proactive Defense Module（主动防御模块）便是有效的新时代行为拦截工具之其中一例。
      该模组包含上述所有功能，以及同样重要的，一套便利的系统，可通知使用者任何与检测到的可疑动作有关的危险性。任何行为封锁器都需要使用者某种程度的输入，因此使用者也必须具备相当之能力。实际上，使用者通常不具所需之知识，因此资讯支援（实际说来，应是决策支援）是任何当代反病毒解决方案皆不可或缺的一部分。
      总结上述的讨论，行为拦截工具可预防已知及未知（亦即封锁工具开发完毕以后才写成的）病毒扩散，这是此类防护方式毋庸置疑的优势。但另一方面，即使是新时代的行为拦截工具也有重要的缺点：部分正常程序的动作可能遭辨识为可疑动作。此外，决定应用程序是否具有恶意，尚需要使用者输入，这代表使用者必须具备足够的知识。

主动防御与软件的缺陷
      部分反病毒厂商在其广告与行销资料中声明，表示主动/探索防护是对新威胁的万灵丹，不需要更新，因此随时可以封锁攻击，甚至可以对付尚未存在的病毒，更甚者，在手册与资料单中，不但常把这类的宣称套用到利用已知弱点的威胁上，更包括了所谓的“零时差”攻击。换句话说，根据这些厂商所言，他们的主动防御技术甚至可以封锁利用应用程序中未知缺陷（尚未有修补档）的恶意程序码。
      不幸的是，这些宣传资料的作者若不是有意欺骗，便是根本还不了解此技术，具体而言，与恶意程序码对抗的战争可说是病毒写作者与自动化方法（主动防御/探索）间的战争。在实际生活中，则是人与人之间的战斗——病毒写作者对抗反病毒专家。

      上述之主动防御方法（启发式分析器与行为拦截工具）乃植基于恶意程序典型可疑动作相关的“知识”。然而，这套“知识”（亦即一组与行为有关的规则）原是反病毒专家借由分析已知病毒行为所取的，并输入程序中。然而，针对那些在规则开发完毕以后才问世的、使用全新方法渗透并感染计算机系统的恶意程序码而言，主动防御技术可说是无用武之地——这就是零时差危险的真相。此外，病毒写作者不断努力找出新方法，借以避开现存反病毒系统使用的行为规则，如此始终将导致主动防御方法的有效性大打折扣。

      反病毒开发者别无选择，只能更新他们的行为规则，并升级启发式分析器，以回应新威胁的崛起。比起病毒码（程序码范本）的更新频率，此类更新在频率上当然不会那样频繁，但仍需定期执行，随着新威胁的数量增加，这类更新的频率也将无可避免地随之上升。因而，主动防御将发展为病毒码方法的一系分支，只不过它所根据的并非程序码模式，而是“行为”。部分反病毒厂商向使用者隐瞒更新主动防御的需求，事实上就是在欺骗其企业与个人客户以及媒体。结果导致大众在主动防御技术的能力方面拥有不太正确的概念。
上述讨论可归纳出几点重要的结论。首先，对抗恶意程序的主导防御方法是，反病毒业界针对在数量以及扩散速度上不断成长的新型恶意软件，所做出的反应，现存的主动防御方法的确有助于对抗许多新威胁，但是主动防御技术可取代定期更新作为反病毒保护的概念是错误的。事实上，主动式防御方法与病毒码方法同样需要更新。

      现存的主动防御技术本身不足以确保高恶意程序的检测率，此外，在这类案例中，较高的检测率也伴随着较高的误判率。在此情况下，面对新威胁的反应时间仍是衡量反病毒程序有效性的明确标准。
　该文章转自新手无毒:www.killdu.cn
————奇怪，若别人给你100元好呢？？还是多给你5元好呢！？？

※ ※ ※ 本文纯属【qqwangtao】个人意见，与【微点交流论坛】立场无关※ ※ ※

系统Xp+Win7，Xp防御武器：金山卫士+微点2.0+影子卫士Win7：金山套装+科莫多防火墙+Threat Fire+微点杀毒

2009-9-28 13:21

iuudt
新手上路

积分 8
发帖 8
注册 2009-9-28

#23

Quote:

Originally posted by qqwangtao at 2009-9-28 13:21:

主动防御技术概论
当代反病毒产品使用两种主要方法检测恶意程序码——以病毒码为基准的分析，与主动防御/探索式分析。第一种方法相当简单，将使用者电脑上的物件与已知病毒的范本（例如病毒码）作比较 ...

这就是以后主动防御的技术提高与完善方面的

一个新技术就是逐步从不完善走向完善

而不是在咬着不放扫描老技术，这样人还能进步？

人往高处走，水往低处流，做人向前看。

※ ※ ※ 本文纯属【iuudt】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-9-28 13:23

iuudt
新手上路

积分 8
发帖 8
注册 2009-9-28

#24

【05年微点VS熊猫烧香！】

http://bbs.military.china.com/da ... 2588/99/68/4_1.html

【05年11月份的微点可以防住09年的犇牛！】

http://military.club.china.com/d ... 2588/93/81/7_1.html

【用06年微点版本挑战 08年中华吸血鬼】

http://hi.baidu.com/mphope/blog/ ... cfa6ccd0c86ae1.html

【微点老版本照样查杀顶狐木马】

http://bbs.micropoint.com.cn/showthread.asp?tid=50035&fpage=1

微点实战十大病毒汇总

http://bbs.kafan.cn/viewthread.p ... E%B4%F3%B2%A1%B6%BE

犀牛出现：微点不升级照样查杀

中央电视台新闻联播（首推）微点主动防御软件

http://soft.deepin.org/read.php?tid=924047

其他的杀毒软件在干什么呢？他们的扫描在干什么？他们可以吗？

※ ※ ※ 本文纯属【iuudt】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-9-28 13:25

新月
禁止访问

积分 187
发帖 195
注册 2009-9-1

#25

Quote:

Originally posted by iuudt at 2009-9-28 13:25:
【05年微点VS熊猫烧香！】

http://bbs.military.china.com/da ... 2588/99/68/4_1.html

【05年11月份的微点可以防住09年的犇牛！】

[url]http://military.club.china.com/data/thr ...

是啊，这就是体现了智能主动防御的先进性。

※ ※ ※ 本文纯属【新月】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-9-28 13:26

qqwangtao
中级用户

积分 456
发帖 454
注册 2009-6-17
来自革命圣地——延安

#26

微点我相信不会“咬着”老技术不放的！主要研发力量，肯定集中在主动防御！而我一再强调，你若是老鸟级别完全用主防就够！（即使出问题自己也能应付）而一般的类似小菜级别的，和才从第二代杀毒软件习惯思维转过弯的，建议增加扫描功能！

※ ※ ※ 本文纯属【qqwangtao】个人意见，与【微点交流论坛】立场无关※ ※ ※

系统Xp+Win7，Xp防御武器：金山卫士+微点2.0+影子卫士Win7：金山套装+科莫多防火墙+Threat Fire+微点杀毒

2009-9-28 13:29

qqwangtao
中级用户

积分 456
发帖 454
注册 2009-6-17
来自革命圣地——延安

#27

以上内容我也拜读过！相信全是真是有用的！但这与微点开发扫描版，毫不矛盾啊！排除掉互相打架之类的问题，你会说你又是双系统，硬件配置又低，不怕拖垮机子！？？可是实际是，对于同一个病毒先由微点发现检测拦截，最后杀毒软件删除！毕竟来说，微点是主力，且反应灵敏准确！！

[ Last edited by qqwangtao on 2009-9-28 at 13:41 ]

附件 1: 截图00.png (2009-9-28 13:36, 224.33 K,下载次数： 42)

※ ※ ※ 本文纯属【qqwangtao】个人意见，与【微点交流论坛】立场无关※ ※ ※

系统Xp+Win7，Xp防御武器：金山卫士+微点2.0+影子卫士Win7：金山套装+科莫多防火墙+Threat Fire+微点杀毒

2009-9-28 13:32

qqwangtao
中级用户

积分 456
发帖 454
注册 2009-6-17
来自革命圣地——延安

#28

okxugang
新手上路

积分 7
发帖 7
注册 2009-9-25
#6

LZ,反病毒软件不是神世界上没有一款杀软敢声称自己可以100%杀毒的!
至于自我保护功能,我也是刚用微点.希望不要像瑞星那么脆弱!
————这是我引用一位坛友的话！很对没有100%的查杀，和0%的误杀！微点就不说了，个人认为加一个扫描机制，会很大程度上提高微点的检测率，降低误杀的可能性！（不排除杀毒软件的误杀！）比如原来是99%的检测率，0.1%的误杀！和0.9的漏杀！

※ ※ ※ 本文纯属【qqwangtao】个人意见，与【微点交流论坛】立场无关※ ※ ※

系统Xp+Win7，Xp防御武器：金山卫士+微点2.0+影子卫士Win7：金山套装+科莫多防火墙+Threat Fire+微点杀毒

2009-9-28 13:50

星光HEAVEN
中级用户

积分 494
发帖 492
注册 2009-8-3

#29 该有扫描

不仅要有，而且虚拟机扫描监控还要加到主防监控里，共同运作。目前卡饭的测试，有的毒扫描能发现，主防不行。27号的结果就是例子

※ ※ ※ 本文纯属【星光HEAVEN】个人意见，与【微点交流论坛】立场无关※ ※ ※

期待主防2.0！

2009-9-29 10:29

新月
禁止访问

积分 187
发帖 195
注册 2009-9-1

#30

Quote:

Originally posted by 星光HEAVEN at 2009-9-29 10:29:
不仅要有，而且虚拟机扫描监控还要加到主防监控里，共同运作。目前卡饭的测试，有的毒扫描能发现，主防不行。27号的结果就是例子

这就是说主防还不完善，以后需要完善！

难道就一定要使用扫描码？

※ ※ ※ 本文纯属【新月】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-9-29 11:16

3/7

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号