zhaojpn
注册用户
积分 89
发帖 85
注册 2007-8-18
|
#1 对微点行为监控的技术分析
对微点行为监控的技术分析
我只作技术分析,对事不对人,谢绝一切人身攻击!
翻帖子的时候看到这样一种说法“当病毒活动了,机器也就染毒了,微点同时才出现,好象不如先清除了好,所以建议微点应该加入扫描技术”,这种想法应该说代表了很多网友的真实想法。我们分两部分来详细分析讨论一下。
1.“好象不如先清除了好,所以建议微点应该加入扫描技术”
这个提法很对,从程序效率上讲,在病毒加载前杀毒确实比病毒加载后杀毒的效率要高。道理很容易懂,特征码只扫描几个点,而病毒加载是要读取全部程序并进行初始化,所以单论处理速度的话,行为判断必然要低于特征码扫描。所以说微点在监控中加入了特征码判断来提高整体程序的运行效率和杀毒效率。而采用实时行为引擎的意义,不用多说了,大家都明白,特征码对“未知病毒”无能为力,所以行为监控是必须的。结合到微点主动防御系统上,就是我们目前看到的形态,已知特征扫描、未知特征扫描、行为判断三部曲。
在实时监控上微点的技术原理架构和实际效果绝对是目前最出色的。我和某些朋友想法不太一样,我觉得一个完善的实时监控系统是保护系统安全最重要的途径,如果实时监控比较完善,那么扫描可以说是多余的。因为只有在实时监控漏报的情况下,扫描才有价值。所以我个人对微点以后将推出的扫描引擎并不是很热衷。不过,每个人都有不同的使用习惯和想法,我不需要并不等于别人不需要。
PS:有的朋友觉得主动防御=行为分析,我个人不太赞同这个提法,我觉得主动防御>>行为分析,主动防御是一种综合性架构体系,至少包括特征扫描、行为分析、本地特征自动提取、系统辅助分析功能(主要是工具和日志)等等。我个人最期待的是卡巴、江民、McAfee把它们的“手动防御”尽快升级为主动防御,然后来一场真正意义的比拼低误报的PK。
2.“当病毒活动了,机器也就染毒了,微点同时才出现”
这个提法是不科学的,但是大家这样想也是很正常的,因为学过编程懂得程序运行机理的人只是少数。为什么说这个提法有问题呢?因为在Windows下,程序其实是不能真正意义直接运行的,程序运行实际上是通过API接口通知Windows内核,由Windows负责真正的执行。
我理解微点的监控部分是工作在应用程序和系统内核之间,而微点的执行层则嵌入windows内核,这样就实现了微点目前的形态,实时监控程序行为,在发现异常时以系统内核权限强行中止病毒进程。也就是说在病毒发挥破坏作用前的一刹那微点报警发挥作用,由于微点阻止了病毒把破坏行为传递给windows内核,所以实际上在微点报警并拦截病毒的那一刹那,病毒并没有真正意义上的执行,破坏性为、染毒也就无从谈起。
所以说微点的行为监控,貌似惊险,但是技术原理上是绝对安全的。
| |
※ ※ ※ 本文纯属【zhaojpn】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
