» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 建议：如何有效利用主动防御杀毒   作者: 标题: 建议：如何有效利用主动防御杀毒 hitcjh 新手上路 积分 6 发帖 6 注册 2006-8-28 #1  建议：如何有效利用主动防御杀毒 我在论坛里看了看，了解到杀毒软件杀毒类型大致分三种：特征值、启发式杀毒、主动防御式。我个人认为特征值杀毒不足以应付变种病毒，仅仅是一种打扫战场式的清理。看到启发式扫描中应用的虚拟机技术很是诱人，在一个虚拟的环境中观察病毒的行为，当危险行为危险度达到一定域值时，确认并清除病毒。而主动防御式(微点)有一个缺点，就是不主动扫描，这里指的是不采用特征值对照。 但是否可以假设这样一种情况：微点在实时保护系统后，若用户提出主动扫描，则主动激发可执行程序或dll文件等，根据它的反应进行防御。 怎样主动激发？ 模仿用户的鼠标双击操作，激发可执行程序。具体步骤可以这样：先查找出系统中的可执行程序，按照列表按顺序激发，当然不用所有的程序都激发，可以将windows可信模块排除，要是程序是病毒或感染病毒后，受到激发，会产生可疑行为，这时主动防御系统就发挥出优势了，因为它不依靠特征码，仅依据行为，而其他杀毒软件是绝对不敢主动激发病毒的，因为就算激发成功，它也不能判断那是否是一个病毒。 （激发方法一：按下windows+R进入运行窗口，在建一个批处理文件，按顺序运行程序） 如果微点能开发出一个虚拟机，那再好不过，那样即使病毒爆发，也不会伤害到用户的计算机。 若虚拟机开发困难，可以采取记录硬盘操作的方式，在激发程序并结束后，恢复硬盘状态，这样系统就会安全很多。此时，应提醒用户不要对系统进行操作，这样恢复起来也会容易很多。 以上是我的一点认识，希望微点越做越好！ ※ ※ ※ 本文纯属【hitcjh】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-8-29 20:29 nasdaq 版主 版主 积分 1140 发帖 1118 注册 2006-4-6 #2   昨天参与了一个讨论贴后，我也在考虑技术大融合的问题。 借着楼主这个贴子，我谈谈我的想法。 我不太赞成，楼主说的主动激发应用程序，利用行为引擎进行“扫描式”的查杀。楼主的这个想法在技术上问题不大，正如楼主所说建一个批处理就能实现。但是实际实行的时候，查杀速度太慢了，试想一下，每一个程序都先运行然后判断查杀，效率太低了，除非很有必要（譬如做检测评测什么的），否则一般人是难以忍受这个杀毒速度的。 就像楼主说的，以后的发展方向应该是技术大融合，扫描用虚拟机，实时监控用行为引擎。但是说实话，执行起来应该是非常麻烦的，这两项技术都是前沿技术，现如今的企业受实力所限，只能暂且围绕一个课题做核心攻关。我觉得至少得过好几年才有可能出现两种技术大融合的优秀产品，这个产品才是真正的跨时代性产品，目前的一些探索只能说是前进了.5代吧。 还有个大环境的问题，目前大家都在研究基于NT5.0内核的产品（2000、XP、2003），而Vista马上就要上市了，按照以往经验分析，大约在2-3年左右将产生巨大的影响。想必Vista内核机制会有相当程度的变化，对于一般应用程序来说，没太大的影响，对于杀软这种嵌入底层的软件来说，麻烦应该是很大的。无论是虚拟机还是行为引擎都要做巨大的调整。这个巨大调整的工作量，将严重影响两种技术大融合产品的出现速度。 相对来说，我个人比较偏爱行为引擎，可能与我个人的情况有关吧。我对计算机技术有一定的了解，我很希望实时了解我的电脑在做什么，有异常情况的话，我希望可以第一时间做出处理和判断，而且我自信我有能力做出正确的处理和判断。我所缺少的就是一个实时报警实时报告异常的工具。客观地说，如果有一款能达到我上述要求的实时信息安全工具，我就真不会花若干个小时去扫描我200多G的数据们。呵呵，以前被迫花费时间去扫描硬盘，很大程度上是由于特征码型的实时监控，并不能真正意义上保卫我的系统安全，解决的方法只有被迫全盘扫描。 当然，我的情况比较特殊，应该算是一个特例，不具有普遍性。没有什么市场参考价值。譬如说，我也是一个信息安全爱好者，我从来就没有对静止躺在硬盘上的那些病毒样本担心过，因为我知道它们不会给我带来危害。但是，广大人民群众似乎不是这么想的，他们觉得硬盘上存在有未激活状态的病毒，也是一种威胁，他们表示很难接受。 对行为引擎很有兴趣，还有另外一个原因，我觉得以行为引擎为核心，配上个特种行为库，就是一台基于主机的入侵检测系统——HIDS，国内厂商目前卖的IDS都是基于网络的NIDS。HIDS不是不好，而是非常难搞，国外对咱们封锁。目前，我只听说北京理工大学出了HIDS产品，当然北理工的情况特殊，它有军方背景。 呵呵，扯到网络安全了哈，实事求是地讲，国内的整体信息安全技术水平并不理想，譬如说目前卖的硬件防火墙，基本上都是装有改造BSD系统的工控机，和咱们的普通电脑没什么不一样。真正的高级硬件防火墙是不用咱们电脑上用的那种x86CPU的，因为效率不高，国外的厂商的高级产品用得都是自己设计的专用CPU。在专用领域，通用CPU的效率必然是远低于专用CPU的。呵呵，专用CPU不是不好，也是很难搞阿。 ※ ※ ※ 本文纯属【nasdaq】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-8-30 13:22 my028 新手上路 积分 45 发帖 45 注册 2006-8-18 #3   不错啊 看看啊 ※ ※ ※ 本文纯属【my028】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-8-30 20:46 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号