微点交流论坛 - 主动防御 - 谈谈"启发式扫描技术"和"主动防御技术"的区别

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 谈谈"启发式扫描技术"和"主动防御技术"的区别

2/2

nasdaq
版主

版主

积分 1140
发帖 1118
注册 2006-4-6

#11

呵呵，这个帖子比较热闹，把我别的帖子里的一个回复引过来，参加讨论

原帖在http://bbs.micropoint.com.cn/showthread.asp?tid=2140&fpage=1

懒得对本帖做调整了，大家凑活着领会精神吧

昨天参与了一个讨论贴后，我也在考虑技术大融合的问题。

借着楼主这个贴子，我谈谈我的想法。

我不太赞成，楼主说的主动激发应用程序，利用行为引擎进行“扫描式”的查杀。楼主的这个想法在技术上问题不大，正如楼主所说建一个批处理就能实现。但是实际实行的时候，查杀速度太慢了，试想一下，每一个程序都先运行然后判断查杀，效率太低了，除非很有必要（譬如做检测评测什么的），否则一般人是难以忍受这个杀毒速度的。

就像楼主说的，以后的发展方向应该是技术大融合，扫描用虚拟机，实时监控用行为引擎。但是说实话，执行起来应该是非常麻烦的，这两项技术都是前沿技术，现如今的企业受实力所限，只能暂且围绕一个课题做核心攻关。我觉得至少得过好几年才有可能出现两种技术大融合的优秀产品，这个产品才是真正的跨时代性产品，目前的一些探索只能说是前进了.5代吧。

还有个大环境的问题，目前大家都在研究基于NT5.0内核的产品（2000、XP、2003），而Vista马上就要上市了，按照以往经验分析，大约在2-3年左右将产生巨大的影响。想必Vista内核机制会有相当程度的变化，对于一般应用程序来说，没太大的影响，对于杀软这种嵌入底层的软件来说，麻烦应该是很大的。无论是虚拟机还是行为引擎都要做巨大的调整。这个巨大调整的工作量，将严重影响两种技术大融合产品的出现速度。

相对来说，我个人比较偏爱行为引擎，可能与我个人的情况有关吧。我对计算机技术有一定的了解，我很希望实时了解我的电脑在做什么，有异常情况的话，我希望可以第一时间做出处理和判断，而且我自信我有能力做出正确的处理和判断。我所缺少的就是一个实时报警实时报告异常的工具。客观地说，如果有一款能达到我上述要求的实时信息安全工具，我就真不会花若干个小时去扫描我200多G的数据们。呵呵，以前被迫花费时间去扫描硬盘，很大程度上是由于特征码型的实时监控，并不能真正意义上保卫我的系统安全，解决的方法只有被迫全盘扫描。

当然，我的情况比较特殊，应该算是一个特例，不具有普遍性。没有什么市场参考价值。譬如说，我也是一个信息安全爱好者，我从来就没有对静止躺在硬盘上的那些病毒样本担心过，因为我知道它们不会给我带来危害。但是，广大人民群众似乎不是这么想的，他们觉得硬盘上存在有未激活状态的病毒，也是一种威胁，他们表示很难接受。

对行为引擎很有兴趣，还有另外一个原因，我觉得以行为引擎为核心，配上个特种行为库，就是一台基于主机的入侵检测系统——HIDS，国内厂商目前卖的IDS都是基于网络的NIDS。HIDS不是不好，而是非常难搞，国外对咱们封锁。目前，我只听说北京理工大学出了HIDS产品，当然北理工的情况特殊，它有军方背景。

呵呵，扯到网络安全了哈，实事求是地讲，国内的整体信息安全技术水平并不理想，譬如说目前卖的硬件防火墙，基本上都是装有改造BSD系统的工控机，和咱们的普通电脑没什么不一样。真正的高级硬件防火墙是不用咱们电脑上用的那种x86CPU的，因为效率不高，国外的厂商的高级产品用得都是自己设计的专用CPU。在专用领域，通用CPU的效率必然是远低于专用CPU的。呵呵，专用CPU不是不好，也是很难搞阿。

※ ※ ※ 本文纯属【nasdaq】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-31 13:15

idea
注册用户

积分 61
发帖 61
注册 2006-8-27

#12

又是一个精彩的好帖啊～～

※ ※ ※ 本文纯属【idea】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-31 13:39

dmland
新手上路

积分 30
发帖 30
注册 2006-8-3

#13

Quote:

Originally posted by aidi at 2006-8-31 10:35:
换个角度考虑，calm_cs所担心的问题是真实环境中，病毒已经发作达到了破坏的目的，虽然被发现但已经是亡羊补牢了；这就是问题的关键所在，为什么微点官方一直强调微点随系统启动很重要，这就是在于微点强大的底层 ...

了解了，呵呵！更放心了，我可是只用微点一个啊，现在连墙都去掉了

※ ※ ※ 本文纯属【dmland】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-9-1 00:32

pjc1980
注册用户

积分 98
发帖 98
注册 2006-8-20

#14

昨天成功用微点把灰鸽子干掉了，爽

※ ※ ※ 本文纯属【pjc1980】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-9-1 07:03

playworm
注册用户

积分 98
发帖 97
注册 2006-8-7

#15

好贴好贴，学习了，长见识了，特别是12楼的朋友。

※ ※ ※ 本文纯属【playworm】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-9-1 09:14

calm_cs
新手上路

积分 44
发帖 44
注册 2006-8-26

#16 12楼的朋友说得很好哈

12楼的朋友说的不错，虚拟机结合启发式扫描最大的问题就是效率太忙了。在这点上，我是深有体会的。我用的还是正版的卡巴6.0，那个速度呀，真实名副其实的"卡"，它对CPU的占用很高，因为在它的实时监控里和扫描里都用上了虚拟机技术。这也是为什么当前很多一流的杀毒软件如诺顿对虚拟机技术的应用范围很谨慎的一个重要原因。感觉俄罗斯人对技术的追求很狂热，而美国人更注重一个产品的综合性能，即强大的功能和效率的平衡问题。
但是我们还是应该看到，虚拟机的技术在不断的进步，在杀毒领域已经从最初的概念进入了大规模的应用阶段。而且现在的硬件环境发展很快，我上个周末去市场上看了看，CPU最低的都差不多是3.4G(我现在的工作机才1.8G 汗)，双核技术也开始普及开来，这一切都为以后的虚拟机发展，成熟奠定了坚实的硬件基础。前不久，Inter和AMD也发步一些新的CPU,在这些CPU的指令集里新增了很多对虚拟机技术的优化处理指令。所以，我的看法是虚拟机的效率会有一个大的提高，逐步满足人们对效率的需求。而主动防御技术有一些在我看来是致命的缺陷，有关这方面的资料，感兴趣的朋友可以去看看主动防御不可完成的任务这个帖子，上面讨论了不少技术问题，我认为有的还是很有道理的。

※ ※ ※ 本文纯属【calm_cs】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-9-1 09:51

nasdaq
版主

版主

积分 1140
发帖 1118
注册 2006-4-6

#17

Quote:

Originally posted by calm_cs at 2006-9-1 09:51:
12楼的朋友说的不错，虚拟机结合启发式扫描最大的问题就是效率太忙了。在这点上，我是深有体会的。我用的还是正版的卡巴6.0，那个速度呀，真实名副其实的"卡"，它对CPU的占用很高，因为在它的实时监控里 ...

受教了，我一直用老版的卡巴做样本鉴定用，呵呵，刚知道卡巴连实时监控都用启发式了~！

关于双核的问题，我很您的看法比较一致。呵呵，双核对安全软件将是一个很好的平台。我粗浅的理解：一个核日常应用，一个核专职跑杀软可以极大地提高使用者的最终综合体验，像卡巴很卡这类问题将得到极大的改善。当然，您谈到的层次比较高，虚拟机指令优化，这个我不太懂开发的人，只是觉得是件挺牛逼的事情，但是不知道它牛逼在哪。

※ ※ ※ 本文纯属【nasdaq】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-9-1 13:22

中国操作系统
中级用户

积分 320
发帖 316
注册 2006-8-21
来自安徽

#18

问一下楼主，如果一病毒或木马需接受特别的指令才能被激活，对于这种长期潜伏在电脑可能任何角落的东西“启发式扫描技术”的虚拟环境有用吗？

※ ※ ※ 本文纯属【中国操作系统】个人意见，与【微点交流论坛】立场无关※ ※ ※

微点一小步，安全一大步

2006-9-2 09:11

2/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号