微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 国产杀毒软件缺的是什么?不是主动防御这个概念,而是强大而适用的虚拟机技术!  

 30  1/3  1  2  3  > 
作者:
标题: 国产杀毒软件缺的是什么?不是主动防御这个概念,而是强大而适用的虚拟机技术!
calm_cs
新手上路





积分 44
发帖 44
注册 2006-8-26
#1  国产杀毒软件缺的是什么?不是主动防御这个概念,而是强大而适用的虚拟机技术!

站在技术的角度而言,我不知道微点的这款产品有什么创新的技术。当然它的理念是当前该领域的一个热门话题。做技术的人都知道,一个理念,实现它的技术有很多,效果也相差甚远。我个人觉得,微点所使用的技术,还不足以支持它成为一款单一的杀毒软件。这些挂接技术用在某些特殊的领域效果也许好不错,比如检测间谍软件。但它是不能取代传统杀毒软件的。换句话说,光靠它,不能起到很好的保护效果,大家可以看看其它类似的产品,都只能作为传统杀毒软件的补充。国产杀毒软件缺的是强大的虚拟机技术。卡巴的杀毒能力为什么这么强,除了它完善的病毒库以外,它强大的虚拟机技术才是个中关键。没有虚拟机的配合,杀毒软件很难对付千千万万的加壳病毒。我觉得随着计算机性能的提高,虚拟机的工作效率也很越来越高,这种技术必将大量的应用于未来的杀毒软件之中。我们中国的技术人员是不是应该静下心来,多做些实实在在的技术,少弄些热门的概念了。

※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-26 13:49
查看资料  发送邮件  发短消息   编辑帖子
aidi
中级用户

新手上路


积分 256
发帖 221
注册 2006-3-6
#2  

微点好像不是提出“主动防御”这个概念的第一人;
但是微点是第一个真正实现了“主动防御技术“的;
    一个进程要有怎样的行为,通过监控她调用了什么样的API就能够清楚,像是读写文件就必然要调CreateFile(),OpenFile(),NtOpenFile(),ZwOpenFile()等函数,要访问网络就必然要使用Socket函数。因此只要挂接系统API(尽量挂接RING0层的API,如果挂接RING3层的API将有可能被绕过),就可以知道一个进程将有什么动作,如果有危害系统的动作该怎么样处理等等。就像某些杀毒软件一样,在它的安装目录里可以找到几个驱动文件,其实这些驱动就是挂接了ntoskrnl.exe,ndis.sys等系统关键模块里的API,从而对进程的普通行为,网络行为,注册表行为进行监视的。

    启发式扫描是通过分析指令出现的顺序,或特定组合情况等常见病毒的标准特征来决定文件是否感染未知病毒。因为病毒要达到感染和破坏的目的,通常的行为都会有一定的特征,例如非常规读写文件,终结自身,非常规切入零环等等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。
但要是那个程序加壳了怎么办?要是那个程序把自己的指令加密了怎么办?要是程序到了内存中才把指令的加密解除运行本身呢?相对于传统的特征值扫描,它可以发现那些病毒的变种程序,但也避免不了误报;

    虚拟机技术由软件模拟出来的程序虚拟运行环境,就像我们看的电影《黑客帝国》一样。在这一环境中虚拟执行的程序,就像生活在母体(Matrix)中的人,不论好坏,其一切行为都是受到建筑师(architect)控制的。虽然病毒通过各种方式来躲避杀毒软件,但是当它运行在虚拟机中时,它并不知道自己的一切行为都在被虚拟机所监控,所以当它在虚拟机中脱去伪装进行传染时,就会被虚拟机所发现,如此一来,利用虚拟机技术就可以发现大部分的变形病毒和大量的未知病毒。但是抛开资源占用的问题,我们还是可以发现,这个由软件模拟出来的程序本身所模拟的环境有时还是不能够完全满足某些有害程序运行的触发条件;

    所以,主动防御技术、启发式扫描技术、虚拟机技术都需要更长时期的发展完善,他们各有利弊,不要轻易评定任何一种新技术的出现;

[ Last edited by aidi on 2006-8-26 at 17:01 ]

※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-26 16:56
查看资料  发短消息   编辑帖子
285166790
新手上路





积分 14
发帖 14
注册 2006-8-26
#3  

现在运用主动防御的杀毒软件多了,比如卡巴斯基6.0和江民2006都有类似功能,但是他们都只是把主动防御作为一种辅助手段,我认为这是很明智很科学的做法,因为以目前的技术单靠行为就想准确的判断病毒是不可靠的,而且单靠这种方式也不能清楚未运行的病毒,错过了清除病毒的最佳时机

※ ※ ※ 本文纯属【285166790】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-26 18:41
查看资料  发送邮件  发短消息   编辑帖子
aidi
中级用户

新手上路


积分 256
发帖 221
注册 2006-3-6
#4  

汗!
现在的杀毒软件还都运用特征值扫描呢,但结果是什么?
你能够说他们都是一样的吗?杀毒效果都相同吗?
同样的道理“主动防御”四个字是一样的,但真正实现主动防御的技术是不同的;
关键是在于这个“技术”;
卡巴的行为监控 更倾向于 进程监控 感觉和ssm 差不多
所有的动作需要使用者来响应;
微点的是通过动态仿真反病毒专家系统依据行为判断规则知识库来判定程序的有害行为,不同于单一动作的判断;

※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-26 18:54
查看资料  发短消息   编辑帖子
calm_cs
新手上路





积分 44
发帖 44
注册 2006-8-26
#5  误会啊!

二楼的朋友有些误会哈。首先我要澄清一点,我并不是说“主动防御”不好,而是微点现在采用的技术不能单独完成对病毒的有效防护。我强调的是单独啥,而且这恰恰是微点没有告诉普通消费者的地方,或者说是我还没有看到。至于系统挂接,由于工作关系,我可能比较熟悉,有机会我们可以好好聊聊。不过我想说的是你对启发式扫描有一点误解。启发式扫描技术在具体的实施的时候,是结合了虚拟机技术的,即是它是现在虚拟机中运行,待病毒程序的本体杯还原以后,在进行分析的,所以你说的启发式技术的不足之处,你不对的。不过你指出的虚拟机的缺陷确很正确,这真是当前和以后虚拟机技术急待解决的问题,特别是如何在效率和正确率上找一个平衡点,是大家共同努力的方向。我之所以喜欢虚拟机技术,是因为它不单可以用于启发式扫描,还可以用于特征码扫描的时候,它可以有效的解决病毒加壳的问题。如何你有兴趣的话,可以去清华的BBS上看看对防病毒技术介绍的一些文章,写得挺不错的。

※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-26 19:22
查看资料  发送邮件  发短消息   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#6  



  Quote:
Originally posted by calm_cs at 2006-8-26 19:22:
二楼的朋友有些误会哈。首先我要澄清一点,我并不是说“主动防御”不好,而是微点现在采用的技术不能单独完成对病毒的有效防护。我强调的是单独啥,而且这恰恰是微点没有告诉普通消费者的地方,或者说是我还没有看 ...

呵呵,有可能是因为帖来的文章所以aidi朋友对于这些技术和微点这套软件不太了解。
微点SSDT涂改得并不多。和注册表有关的函数统统都没Hook。它主要Hook了NtWriteFile和NtCreateProcess(所谓程序来源分析)、NtOpenProcess(自我保护)、NtCreateThread(监控建立远端线程)。至于网络,应该用的TDI,我没仔细研究。(其实这个防御体系还是很脆弱的,普通用户解决些小木马用用还行)
至于启发式扫描和虚拟机。虚拟机么不是作为单独技术存在的。它总是配合其他脱壳、查变形、多态病毒的特殊程序的。启发式扫描,我不是很了解啊,我只知道到入口点去看看有没有重定位,大概是最基本的方法了,还有么有可能是暴搜Kernel32.dll基址等的诡异行为吧。

[ Last edited by flo on 2006-8-26 at 22:02 ]

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-26 20:45
查看资料  发短消息   编辑帖子
hshy83
注册用户





积分 174
发帖 174
注册 2006-8-26
来自 火星
#7  

希望增加病毒扫描,没有病毒扫描,这病毒是轻而一举的就进入电脑了(下载时)。这电脑里呆着病毒,谁会安心啊。不小心把微点关了,那病毒发作怎么办,等到病毒已经发作在处理时,已经晚了。
希望微点要多花心思,做到完美。

※ ※ ※ 本文纯属【hshy83】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-27 09:59
查看资料  发送邮件  发短消息   编辑帖子
fujianwzh
中级用户




积分 252
发帖 216
注册 2006-8-17
#8  

怎么说来说去又把微点说成了是 杀毒软件?  拜托楼主看看清除。

※ ※ ※ 本文纯属【fujianwzh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-27 10:13
查看资料  发短消息   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#9  



  Quote:
Originally posted by fujianwzh at 2006-8-27 10:13:
怎么说来说去又把微点说成了是 杀毒软件?  拜托楼主看看清除。

关键的不是概念,而是技术实质或者说概念的定义。

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-27 10:58
查看资料  发短消息   编辑帖子
hshy83
注册用户





积分 174
发帖 174
注册 2006-8-26
来自 火星
#10  

微点不要忘了自己始终是杀毒软件。

※ ※ ※ 本文纯属【hshy83】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-27 18:52
查看资料  发送邮件  发短消息   编辑帖子
 30  1/3  1  2  3  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号