完美主义
新手上路
积分 23
发帖 23
注册 2006-7-5
|
#1 关于微点的主动防御的问题
请问微点的主动防御是不是就是其他软件说的启发式报警啊
是一样的概念 只是深入程度不同
还是根本是两种东西啊~~~
还有
微点是根据病毒的行为来判断的
但是我在解压缩某些文件时 我还没有运行
但是微点就报警了
为什么呢?
当然这种情况不多
有时候也要运行了才报警
为什么有这样的区别呢?
[ Last edited by 完美主义 on 2006-7-6 at 09:15 ]
| |
※ ※ ※ 本文纯属【完美主义】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2006-7-6 08:49 |
|
惯睡旺
注册用户
新手上路
积分 103
发帖 103
注册 2006-1-18
|
#2
#1 什么是主动防御?
微点以“程序行为自主分析判定法”为理论基础,其关键是从反病毒领域普遍遵循的计算机病毒的定义出发,采用动态仿真技术,依据专家分析程序行为、判定程序性质的逻辑,模拟专家判定病毒的机理,实现对新病毒提前防御。
4、自动提取特征值实现多重防护:在采用动态仿真技术的同时,有效克服特征值扫描技术滞后于病毒出现的缺陷,发现新病毒后自动提取病毒特征值,并自动更新本地未知特征库,实现“捕获、分析、升级”自动化,有利于对此后同一个病毒攻击的快速检测,使用户系统得到安全高效的多重防护。
PS:LZ先看一下置顶的帖子好不好..
另:启发式扫描应该还是属于特征值扫描技术,只不过比特征值扫描好一点而已.嘿嘿
| |
※ ※ ※ 本文纯属【惯睡旺】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
~~~ [SIZE=4][COLOR=Red]俺的微点,俺做主[/COLOR][/SIZE] ~~~ |
|
|
|
2006-7-6 09:24 |
|
烟雨无声
注册用户
新手上路
积分 134
发帖 134
注册 2006-3-7
|
#3
楼主所说还没有运行就报警了是因为微点有两个"库",一个是病毒行为特征库,就是判断绝大部分未知木马和病毒的主要依据,另一个就是已知库,用来判断已知木马和病毒的,你说还没运行就报了,就是已知库判断出用病毒或者木马了!我是这么理解的,呵呵,楼主是否明白了?
| |
※ ※ ※ 本文纯属【烟雨无声】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-7-6 10:58 |
|
ballpointpen
中级用户
积分 436
发帖 434
注册 2006-6-20
|
#4
| Quote: | Originally posted by 完美主义 at 2006-7-6 08:49:
微点是根据病毒的行为来判断的
但是我在解压缩某些文件时 我还没有运行
微点就报警了
为什么呢?
当然这种情况不多
有时候也要运行了才报警
为什么有这样的区别呢?
|
|
也许是,解压的过程中某些程序已经自动(后台)运行了。
[ Last edited by ballpointpen on 2006-7-6 at 11:21 ]
| |
※ ※ ※ 本文纯属【ballpointpen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-7-6 11:11 |
|
aidi
中级用户
新手上路
积分 256
发帖 221
注册 2006-3-6
|
#5
楼主所说的启发式报警应该是启发式扫描技术;
启发式扫描应该是传统的特征值扫描的一次更新,它不仅是扫描那些已知的病毒特征值,而其加入了对特定指令的组合情况的扫描,并按照那些病毒常用指令出现的情况及组合,来判断是否为未知的病毒;
这就需要对程序文件进行反汇编处理再比对程序的指令,要是那个程序加壳了怎么办?要是那个程序把自己的指令加密了怎么办?要是程序到了内存中才把指令的加密解除运行本身呢?
当然启发式扫描也有它的优点,相对于传统的特征值扫描,它可以发现那些病毒的变种程序,但也避免不了误报;
ps:无论病毒的指令代码、壳如何变化,他最终的目的是不变的,要达到目的他的行为就同样不会变化,所以说最终还是要根据他的行为给他定罪!
| |
※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-7-6 12:27 |
|
完美主义
新手上路
积分 23
发帖 23
注册 2006-7-5
|
#6
| Quote: | Originally posted by 烟雨无声 at 2006-7-6 10:58:
楼主所说还没有运行就报警了是因为微点有两个"库",一个是病毒行为特征库,就是判断绝大部分未知木马和病毒的主要依据,另一个就是已知库,用来判断已知木马和病毒的,你说还没运行就报了,就是已知库判断出用 ... |
|
已知库这个东西吗?
这个所谓的已知库不就是传统意义上的病毒库吗?
程序没运行当然没有可能通过它的行为来判断啊
所以就只能通过代码来比较了啊
这不就是病毒库吗?
但是微点不是号称没有病毒库的吗?~
| |
※ ※ ※ 本文纯属【完美主义】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-7-6 16:41 |
|
aidi
中级用户
新手上路
积分 256
发帖 221
注册 2006-3-6
|
#7
“微点不是号称没有病毒库的吗?~ ”
我怎么没听说过,你在哪里看到的?
就记得微点的帮助文件里面有“已知有害程序特征库进行扫描”;
要是没有这个那些病毒名称是哪里来的?
楼上好像没看过帮助吧?
| |
※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-7-6 16:52 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
#8
微点有已知病毒特征库,微点先使用已知有害程序特征库进行扫描,如果监测是已知有害程序,立即阻止该程序的运行,并对该程序及相关文件做相应的处理;如果没有在已知特征库接着用本地未知特征库扫描,监测是未知特征库的有害程序,立即阻止该程序的运行,并对该程序及相关文件做相应的处理;如果都没有在这两个库里,接着通过动态仿真反病毒专家系统监控和判断其是否是有害程序。
之所以微点也提供已知和未知特征库,其目的是为了迅速判断病毒,节省系统资源,这些只是微点行为判断的一个辅助,当然这些已知和未知特征库中的病毒,微点通过动态仿真反病毒专家系统一样可以拦截这些病毒。
| |
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
|
微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息 |
|
|
|
2006-7-6 17:27 |
|
反黑先锋
版主
RUNWAY
积分 2901
发帖 2857
注册 2006-6-17
|
|
|
2006-7-6 17:34 |
|
反黑先锋
版主
RUNWAY
积分 2901
发帖 2857
注册 2006-6-17
|
|
|
2006-7-6 17:35 |
|
