llcracker
新手上路
积分 27
发帖 17
注册 2006-8-30
|
#1 主动防御不可完成的任务(-)
首先我先说明一下我自己的立场,我认为主动防御是一项不可完成的任务。单独使用主动防御无法真正达到“主动防御”概念所描述的那样的一个状态。为什么呢?简单说是因为其主动防御标准含糊不清楚,没得具体的行业标准,可以说是理论上可行而技术上不可行的东西。看了众多贴子,有人支持微点,有人质疑微点。众说分云,因此我们需要从主动防御这个概念来说是否真的可行!首先,根据微点所称有众多的逻辑分析来确定是否为不合法的程序或者病毒等。我们搞技术的都知道,所谓复杂的逻辑分析如果用程序表达出来就是很多的if条件。但是这些if条件只是微点的标准,而不是主动防御标准,那这样的标准怎样能让用户信服?因此,就常常会出现误报。也许有人会说,其它安全工具或者杀毒软件也会出现这样的状况。因此,这就恰恰说明了为什么其它工具把主动防防御作为辅助手段,也说明了微点根本没有质的飞跃。这也许不是微点的错,这是因为的确主动防御这个概念很吸引人,但是没有非常清晰的界定。即通过行为特征认定病毒的标准。同样,微点自身产品也会做很多挂接动作,为什么就不被认定是恶意程序或者病毒。因为开发者知道自己做的微点是来保护系统的。这我也知道。但是,为什么偏偏就要认为我开发的游戏外挂之类(单机游戏外挂)的东东是病毒,我游戏外挂第一不访问网络,只是挂接一些API或者修改游戏主程序的一些变量即内存指令。为什么我的程序就是病毒。也许又有人会说了,你不是可以将这些你认为信任的程序加入到微点中嘛?那如果是这样,对于用户来说,他能知道哪些是可信任和不可信任,干嘛还要来用这些东东?因此,我认为由于主动防御由于没有既定的标准,也就大大限制微点自身的成长(冲其量也无非是有更多的if语句而已),这样根本不是质的创新,也谈不上优越于其它的杀毒软件。
| |
※ ※ ※ 本文纯属【llcracker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2006-8-31 15:25 |
|
含笑半步颠
注册用户
初级会员
积分 153
发帖 152
注册 2005-11-2
|
#2
井底之蛙,无非是触犯了你的外挂利益,作外挂是违法的,劝你还是别做了
国家新闻出版总署首次对外挂违法性做出认定,并明确了法规依据。指出:根据我国著作权法有关规定,网络游戏出版物《传3》的软件部分和动画形象部分分别属于我国著作权法保护的计算机软件作品和美术作品,未经著作权人授权,通过破坏《传3》中软件作品的技术保护措施,进入其服务器系统,擅自修改其相关数据,使用《传3》的动画形象,并大量制作、销售《传3》外挂卡。这些行为违反著作权法的规定,是一种严重侵犯著作权的违法行为。
| |
※ ※ ※ 本文纯属【含笑半步颠】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-8-31 15:40 |
|
calm_cs
新手上路
积分 44
发帖 44
注册 2006-8-26
|
#3 天气比较热哈,可是我们讨论问题还是应该心平气和嘛
2楼的朋友不要激动嘛,就事论事,你有什么不同意见可以尽情阐述嘛,我们大家讨论的是技术啥,有不同看法太正常了。呵呵,这于楼主,你可是冤枉他了,他只是用外挂来打个比方,据我所知,他没有做外挂。因为我和他都是做系统软件的,所以对底层技术特别是系统挂接接触很多而已。不知道你玩不玩游戏,最新的starforce4.0保护技术已经被我们攻破了 
| |
※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-8-31 16:00 |
|
llcracker
新手上路
积分 27
发帖 17
注册 2006-8-30
|
#4 主动防御不可完成的任务(二)
从技术角度来讲,如果单独使用主动防御是否真的能冲当主力?根据一些贴子描述得知微点使用了Driver,这是很明智的选择!先支持一下^_^!但是微点Driver似乎只对ntoskrnl中的一些内核例程还有AP层的一些API有所挂接,我是想问这样就能挡得住病毒嘛?假设一个程序使用NtOpenFile或者CreateFile打开一个磁盘盘符,然后使用WriteFile或者NtWriteFile来进行直接写扇区,如果是一个正常程序写入合法的数据OK,如果微点没有认为是病毒那么我觉得是正确的。但是,如果一个病毒或者恶意程序同样使用与正常程序同样的流程只是WriteFile的时候写入的数据是恶意的、有破坏性的那么微点能防住嘛?因为根据其微点的行为特征来判定,由于默认了正常程序的行为流程那么也意味着其病毒或者恶意程序的流程也在微点中视为合法,这带来的后果我不想多说了。另外,像NtWriteFile或者ZwWriteFile等一些内核例程,其实是把命令打成IRP丢到文件系统层,如果病毒不经由NtWriteFile或者ZwWriteFile这些内核例程直接像文件系统发送命令,那么微点有办法拦到嘛?另外,随着操作系统内核技术公开化,有些病毒也许还会自带Driver,而这些Driver并不是由病毒动态加载。而是由系统每次启动时加载,也许比微点的Driver还要先启动起来。此时我就展开联想说一下,假设病毒Driver一旦加载,他要感染某个程序非常简单。最简单的方法是直接调用内核例程,像上面提到的,其次自动构造IRP扔到文件系统中,除非微点在文件系统Driver层进行拦截。OK,病毒Driver它干脆不扔文件系统层了,而走更低层的Disk磁盘层。有办法主动防御嘛?如果这都有办法主动防御,那么病毒根本不在使用操作系统提供的Driver层次结构,而直接使用IN、OUT指令来对硬盘进行读写。有办法主动防御嘛,可以说到了这里可以说从实践中基本上是无法拦截住了,就算在Disk层就很困难。当然不是没有办法,使用DR调试寄存器来拦截下来。当然不提其它什么更深层的RootKit技术。就说得更简单一点,如果病毒Driver一旦被加载是没有办法让其Unload,除非重启。主动防御不仅从理论上有缺陷,从技术层面来说是不可真正的实现动态监视,基于这两方面主动防御目前只能成为安全工具的辅助手段,也是不可完成的任务。
| |
※ ※ ※ 本文纯属【llcracker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-8-31 16:02 |
|
aidi
中级用户
新手上路
积分 256
发帖 221
注册 2006-3-6
|
#5
主动防御仍处于发展阶段,对处于发展中的事物何来的标准?
主动防御这个概念并不是微点第一个提出的,只能说是微点用它自己的技术实现了主动防御,关于标准,就像对病毒的命名一样,每个杀毒软件厂商都有自己的标准;
误报问题,这个对于发展中的产品来说是正常的,要做的是尽量减少这种误报,微点相对刚开始推出时已经优化了很多,很多以前误报的程序现在不用加到可信程序也能够自动识别了;
其它工具把主动防防御作为辅助手段;其他杀软厂商的主动防御不同于微点的主动防御,在技术上有很大的差别;
游戏外挂之类(单机游戏外挂)的东东本身就是存在争议的软件,只是现在的法律不健全,要是归类的话应该不是属于正常的应用软件;
楼主还是做了深入的测试后再发表评论吧。
| |
※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-8-31 16:06 |
|
285166790
新手上路
积分 14
发帖 14
注册 2006-8-26
|
#6
非常同意楼主的意见,有些软件的确不是病毒确有可能和病毒有类似的行为,或借鉴了病毒的某些技术,这是很有可能的,不能把这种判断的任务都交给用户吧,要是用户自己都能判断还要杀软干吗,而且这个微点用kv2006的未知病毒检测本身也属于可疑软件,不信可以试试,这说明光靠行为根本不能完全判定一个程序是否有害,什么是有害程序还得看应用场合呢
| |
※ ※ ※ 本文纯属【285166790】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-8-31 16:07 |
|
aidi
中级用户
新手上路
积分 256
发帖 221
注册 2006-3-6
|
#7
“如果一个病毒或者恶意程序同样使用与正常程序同样的流程只是WriteFile的时候写入的数据是恶意的、有破坏性的那么微点能防住嘛?”
关键就在于“数据是恶意的、有破坏性”,那么这些数据在执行的时候还是要有病毒的行为,只能够说前面的动作是正常的行为微点不处理,后面的动作是病毒的行为微点一样要拦截并处理的;
| |
※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-8-31 16:12 |
|
calm_cs
新手上路
积分 44
发帖 44
注册 2006-8-26
|
#8 做了测试的
我做了一些测试的,除了系统老是报一些程序可疑以外,还没有什么严重的后果。但是我想正因为我们的测试是有限,并不能排除楼主的担忧。而且作为一个技术人员,无论怎样对产品做出技术分析和可行性论证都是非常必要的呀,特别是在病毒防治这个领域,多考虑一些技术问题尤为重要。我还是希望大家多就技术上的问题展开讨论哈,这样大家才有更多的收获,也便于微点产品的改进嘛。良药苦口,利于病嘛。
| |
※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-8-31 16:16 |
|
llcracker
新手上路
积分 27
发帖 17
注册 2006-8-30
|
#9
其实我引入游戏外挂,不是争议游戏外挂的合法性。因为完全没有必要,我是通过游戏外挂想引出像这样类似的程序,它目的并不是为了破坏或者干扰系统正常运行而存在的!这样的程序也包括了微点,难道微点不去挂接嘛?不挂接又怎样进行实时监控,那么这样的程序对于系统和用户来说都是合法的。为什么像有些程序去挂接了系统某些东西,就认定不合法?这也是我所要强调的”主动防御不可完成的任务“中心思想。也就是像”主动防御仍处于发展阶段,对处于发展中的事物何来的标准?”这句话,不恬恬说明我所应证的观点嘛。即主动防御的确存在着严重的缺陷
| |
※ ※ ※ 本文纯属【llcracker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-8-31 16:24 |
|
285166790
新手上路
积分 14
发帖 14
注册 2006-8-26
|
#10
卡巴斯基互联网安全套装保护您免受已知威胁和未知的新威胁的感染。这由一个专门被开发的组件—主动防御。
由于恶意程序传播的速度比反病毒数据库升级的速度更快,这就导致对主动防御需求的不断增长。基于快速反应技术的反病毒保护要求一个新威胁至少感染一台计算机,并且要求分析恶意代码并添加到安全威胁特征库并更新用户计算机中的反病毒数据库的时间。到那时,新威胁可能导致更大的破坏。
由卡巴斯基互联网安全套装主动防御提供的预防技术可以避免失去在新威胁破坏您计算机之前的空白时间并消除新威胁。如何去实现它?与快速反应技术相比,分析代码,预防技术通过由某种应用程序或进程执行的行为序列来认可一个在您计算机中的新威胁。程序安装包含确定危险活动级别的一套标准。如果应用程序的活动类似于危险对象活动的特征,那么这种应用程序是被定义为危险对象,并且处理的操作会被应用到处理那种类型的规则中。一个危险活动对象的例子包括:
改变文件系统。
模块嵌入到其他进程中。
隐藏进程。
修改微软Windows系统注册表键值。
主动防御跟踪和拦截所有危险操作。
主动防御跟踪所有在微软办公应用程序中执行的VBA宏指令。程序使用安全威胁特征库来分析宏指令。
在实际运行过程中,主动防御使用已定义好的包含程序和创建的排除规则组。规则是定义一个活动或另一个活动并被程序执行的威胁程度的标准。
各种规则提供应用程序运行并监控运行在计算机上的系统注册表、宏指令和进程的改变。您可以通过谨慎地增加、删除或编辑规则来修改规则列表。规则可以阻拦程序运行或者授予程序执行权限。
检测主动防御算法:
计算机启动后,主动防御立刻分析以下要素:
运行在计算机上的每个程序的所有行为。主动防御有规律地记录程序运行的历史记录,并把它们与危险行为特征序列(由来自程序和安全威胁特征库更新的危险行为类型数据库)进行对比。
由VBA 宏指令执行的每个行为。程序用包含在自身中的危险行为列表来扫描它们以排除威胁。
程序扫描已经安装到您计算机中的所有程序的模块,这有助于避免应用程序模块版本被恶意代码替换并避免恶意程序打开这些程序。
每个试图修改系统注册表的行为(删除或者添加系统注册表键值,并输入可疑的键值等等)。
分析时会使用主动防御规则和被指定的排除对象。
分析完成之后,您可以执行以下的操作行为:
程序不会拦截满足主动防御规则的程序行为。
如果程序的行为满足拦截的规则,那下一步就会执行在规则记录中指定的匹配的操作。像这种行为通常会被拦截,同时会在屏幕上显示应用程序的详细说明,行为类型以及行为运行的历史记录。您自己必须决定拦截或者允许这种行为。您可以在系统中为操作这种行为创建规则和阻拦行为。
允许执行在您的计算机中不受任何规则调控的事件序列。
大家说说,这和微点的原理有何不同,看人家的说明多么详尽.
| |
※ ※ ※ 本文纯属【285166790】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-8-31 16:35 |
|
