微点专家
版主
Weizi
积分 11554
发帖 11458
注册 2006-8-27
来自 贵阳
|
|
2006-9-6 13:42 |
|
lasd
新手上路
初级会员
积分 29
发帖 29
注册 2005-11-3
|
#92
我也比较同意楼主的观点,微点应该更聪明才对。现在这个阶段还是感觉有些笨、也可说死板,不灵活。
| |
※ ※ ※ 本文纯属【lasd】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
|
2006-9-6 13:56 |
|
fanyv
中级用户
积分 481
发帖 489
注册 2006-4-30
|
#93
在讨论技术的板块上因不同观点的碰撞有攻击他人人身行为的语言、行为者应该被鄙视!
| |
※ ※ ※ 本文纯属【fanyv】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
烦雨 |
|
|
|
2006-9-6 21:03 |
|
llcracker
新手上路
积分 27
发帖 17
注册 2006-8-30
|
#94
好久没有上来顶贴子了,由于最近比较忙,闲暇之余偷偷上来叨唠几句。昨天星期天在家里上网,想从网上下下三国群英传6玩玩,找了好多网站终于给我找到一个BT下载的地方。于是急急忙忙使用BitComet0.63来下载这款游戏,想下载这段时间到网上去看看电影。当我再次打IE时,发现IE启动速度比平时慢了许多,直觉认为其属于不正常行为。便使用XP任务管理器打开来看看,果真多了一些莫名其妙进程。仔细想想,肯定是在开先访问众多网站中,中着招了!哎,心想真的很倒霉,现在的网站真的是越来越无聊了,也成了病毒及木马等其它恶意程序的帮兄!由于我的系统一直没有安装杀毒软件,在这里多说一句,不是我不想装,你们想想一台CPU 1.0G,内存192MB(还是SD的),跑XP慢得我都想哭,试想装一个杀软要耗费多少资源,中华民族的优良传统“节约”。怎么不换台呢?哎,一个字“穷”贝!好了废话不多说了,于是我尝试手工清除,使用FileMon、RegMon等监测及其它分析工具终于手工清除掉这些垃圾。也花费了我许多时间。这时,我也想来试试微点身手,是不是真的有独步武林的绝计?从官方网站上下载了一个最新的包"8月8日,发布新安装包(mp.060808.r2) "。然后,我再次访问我访问过的那些网站果然又中招。最后,安装微点重启。重启后再进入xp,马上微点就开始报警,其中找到一个已知木马进程,并且成功杀掉。然后,还有几个木马进程微点报出未知木马进程,并尝试其删除,一共有5-6个。和我手工删除的一样。因此认定微点报的没有问题。我先来说说这几个木马进程,它们并不是同一时间启动。这些木马进程通过修改扩展名关联的方式来启动自己,比如像.lnk会启动一个叫rundll32.com和一个叫1.exe的木马进程,而启动ie时会启动一个叫iexplorer.com及资源管理器explorer.com与regedit.com这是通过可执行文件扩展名优先顺序来启动的,还有就是一个叫winlogon.exe跟windows的及像,另外一个我记不清楚叫什么名字了,好像开头的是exr...什么的一个可执行文件。大致情况就是这样,微点的确清除掉这几个木马进程及文件。但是唯独有一个进程微点无法清除,就是iexplorer.com,虽然能发现但无法杀掉进程及对应的程序文件。很奇怪!过不了多久系统会蓝屏,根据蓝屏信息会发现是一个叫aood.sys(应该叫这名) Driver引发的蓝屏。这个Driver从来没有见过,到系统Drivers目录下去找,没有这个Driver。于是蓝屏重启后,我尝试不运行ie,将微点先进行uninstall。然后再次重启,运行FileMon,再运行ie。哇噻!发现iexplorer.com一运行后,会动态生成一个aood.sys,进行加载,完毕后再删除aood.sys driver文件名,并且它还应该清除掉了注册表中Services对应的键值,做到神不知鬼不觉。亏这些制造者也想得出来!最后,我进入到98系统中将这些木马程序手工删除掉。再次进入xp后,装入微点确定是否还有其它的木马进程。由于手工删除后,微点也没有再报了。但是我重新运行BitComet0.63和Stock(一款股票分析软件)报出类似可疑程序的信息。我将其加入到可信任列表中,但是还有一个信息我不敢说是误报,一个由rundll32.exe加载的dll,说是要访问远程端口,因为rundll32.exe是MS自己的,其以前机子上有,微点报出是否允许访问。由于这个rundll32.exe加载的dll我也不是很清楚是否为病毒或者其它的恶意程序,为了安全就禁止访问。这就是我昨天由于下游戏导致中病毒,然后再用其测试微点的一个过程。从这个过程中我想说明几点:
1、就像我在前面贴子中提到过的,目前的这些恶意程序为了得到更高的控制权会使用Driver这种方式,的确这是我无意中测试出的案例。并且通过测试发现微点对这种情况似乎无法处理。并且有点吓人的是,居然无法杀掉其木马进程及文件。这也应证了calm_cs老兄所提到的一些观点。即主动防御即使能发现某个病毒,但是由于病毒的行为已经实施。就像上面我所说的样,虽然能发现iexplorer.com这个木马进程但是无法删除它及杀掉它的进程,并且它的动作已经实施那就是加载aood.sys。的确加载成功了,最后是蓝屏了。我估计可能和微点有冲突,因为我将微点uninstall后再运行iexplorer.com加载aood.sys就没有问题。这点也可以通过DevView来确定,的确是加载成功了。因此,假设iexplorer.com就算没有其它的破坏动作,但是它让aood.sys成功加载已经是很可怕的行为。一旦aood.sys加载成功,在Driver级别所做的恶意行为那就是更可怕,可以这么说,微点如果无法即时阻止iexplorer.com,让aood.sys被成功加载,那么就是病毒与杀软共存的系统。微点也拿这个Driver没有任何办法。这个观点我在前面也已经提到过,也有网友反驳过只是少数,但是我想就这种少数已经让人头痛了,并且病毒使用Driver使得微点的捕捉范围大大受到考验,如果无法捕捉到系统中的每一个行为,那么至少来说还存在着问题。
二、微点误报,这跟其它主动防御软件没有什么区别。归根到底还是由于没有行业标准(即主动防御这个业界公认的标准)所致。这点我也在前面已经提过,可能有些网友误会是认为微点没有公开什么标准,并不是这样的。我不是要微点官方公布什么标准,就即使公布这样的标准,也不是我所提到的公认的标准。说简单点就像1+1=2可以说这是数学界的一个标准。而现在的主动防御就是没有这样的标准,导致只有是主动防御软件就会有误报。从这点来说,我认为微点不可能会有质的超越。
三、个人认为微点应该使用多种方式联合查杀毒,而不应该一味追求所谓的主动防御这个概念。我之所以在前面两点一直强调其微点的局限性,是因为微点目前只使用主动防御这个手段。那么这就意味着微点主动防御的效果至少要>=其它杀软综合杀毒效果。因此,有些支持微点的网友应该更客观的来看微点的主动防御,我个人认为不应该将微点的主动防御与其它杀软的其中所带的主动防御来比较,因为那只是其它杀软查杀的一个手段而已,应该和其它杀软的综合杀毒能力来比较。其实,有些网友在贴子中已经提到,微点实际上也使用了类似的的特征码技术。鄙人愚见,不知道特征码技术是不是属于主动防御技术中的一种或者是一种与主动防御不相关的技术。依小弟之见微点把主动防御与特征码技术相融合,从而提高杀毒能力,但是这并不能说明其主动防御能力有多强,那只是一个综合后的效果。因此,这样的效果并不能说明微点的主动防御有多强,我觉得有点鱼目混珠的感觉,当然我不是在否认其微点综合后的效果。微点应该还是需要类似的静态扫描等功能出来,这样做到多种查杀联合可以使得威力大大提高。而不应该一味去追求像主动防御这种没有成熟的东西。
最后我再次总结一下,微点所谓主动防御并不是真正质的,由于其主动防御公认标准不成熟,再加上其技术上的局限性使得主动防御成为不可完成的任务(在现阶段)。另外,现阶段我们看到的微点所使用的动防御,不单单是单一的"行为分析",它至少还使用了类似”特征码“技术和其它。这样的综合效果,并不能说明”行为分析“即主动防御的优越性,希望网友能真正的看清楚它。另外关于微点是否占用资源来说,我看到目前我下载的这个版本至少有14个driver。由于Driver占用的是不可分页内存,这种资源对于系统来说是非常珍贵的,另外还不要算其每一个Driver可能所分配的不可分页内存。从这点来说微点并占用资源并不算少。
| |
※ ※ ※ 本文纯属【llcracker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-9-18 17:50 |
|
nasdaq
版主
版主
积分 1140
发帖 1118
注册 2006-4-6
|
#95
llcracker大哥#97的风格突变阿,太平和了,弄得我都不知道怎么回帖了。
先反问您一个问题吧:
Starforce光盘加密技术被以您为核心的技术团队事实性地攻破了。
请问,既然Starforce已经不是“质的”保护技术,“成为不可完成的任务(在现阶段)”,“是一种没有成熟的东西”。
敢问,那Starforce还有存在的必要么?
如果没猜错的话,Starforce公司的收益应该高于贵公司吧?!
凡是合乎理性的东西都是现实的,凡是现实的东西都是合乎理性的。
——黑格尔(德)《法哲学原理·序》《小逻辑》
注:合乎理性和合理是两个完全不同的概念,朋友们千万不要混淆,实在不明白的我也没有办法,自己去进修吧。
没有恶意,我很尊敬您的技术修为,譬如说您在#97中第一个观点的技术论述部分,我会“选择性失明”,而不会加以任何论述,因为我不懂技术。
小弟不才,我觉得您有个不足之处,就是看问题偏窄,有点儿唯技术论。我猜测,这种思维方式,可能非常符合您的工作性质。但是很遗憾,现实中的问题,很少有单一性的。像电脑这种纯“是非”型的逻辑,其实是很难完整再现辩证法的。
回到正题:
我和您有一些观点不太一样,大家一起来探讨吧。
主动防御:
我觉得这四个字是形容微点软件这个产品的,更多的是一种商品名、宣传名等等一些商业性的用途。我猜测,东方微点公司应该更多的想用这言简意骇的四个字来形容其软件产品的主要特性。但这四个字是不能理解为微点软件全部的,我们注意到微点官方至少用了两个置顶帖子来阐述微点软件的主要技术特点。
总之,从商业角度来讲,“主动防御”四个字好记好流行。好几百字的详细介绍,真没有这么做市场宣传的。。。
所以,我认为llcracker大哥您如果以主动防御作为论题是不太恰当的,呵呵,我觉得是找错论述对象了,按我的理解,您一直想要论述的其实是实时程序行为分析判断处理引擎技术。
微点是一款采用了多种技术的综合性信息安全产品。这点您也是承认的。
关于微点产品中各种技术的使用比例和表现方式,譬如说您提到的静态扫描问题,我觉得这个不是技术层面的问题。个人认为,这完全是产品整体设计理念,产品市场定位,产品营销策略等方面的问题。我虽然曾经在某杀软公司工作过一段时间,但我真没有操盘过杀毒软件的市场销售,想必您也没有过相关经历。刘总怹真操过全国杀软市场的大盘。这市场方面咱们这些外人其实并没什么可讨论,呵呵,咱们只能各自代表一个小群体而已,全国什么样,咱还真都不知道。再次引用黑格尔的名言结束本段落:
凡是合乎理性的东西都是现实的,凡是现实的东西都是合乎理性的。
——黑格尔(德)
还有一点,关于您提到的“而不应该一味去追求像主动防御这种没有成熟的东西。”
客观的说,微点软件确实不算成熟,但如果没有东方微点这样的公司,去投入巨大的人力物力财力探索新技术,技术又怎么能进步?政府旗帜鲜明地支持技术创新,我旗帜鲜明地支持政府。
实时程序行为分析判断处理引擎技术,确实还在初级阶段,官方的管理员也表过态,微点是在不断发展,不断完善当中。
目前的微点软件,我个人认为就是微点人把当前阶段的研究成果,按照产品化、商品化的要求开发出来的。两年之后的微点软件必然会比今天更出色,其实今天的微点已经带给我们不少惊喜了。坛子里不少人都有过用微点查杀未知病毒的经历,呵呵,眼见为实阿。
关于您总结的那一段:
其实,国内的现状是,最广大人民群众的平均科学文化素质是很不理想的,大多数最终用户真听不懂也不想弄懂咱们所讨论的这些话题,他们只想更好的杀毒、更安全的使用计算机。微点在未知病毒查杀方面,做出了有益的探索,事实在这儿摆着,大家有目共睹。
最后,请教一下llcracker大哥关于不可分页内存的问题。
我google了一下,得到了下面的资料:
32位Windows最大可用不可分页内存限制是256M,64位Windows无此限制
请教一下,我能否得出以下结论?
目前的个人版,只要不进行太占用不可分页内存资源的操作,譬如说同时保持3000个socket连接,应该是没啥大问题的,至少我目前没有感觉到装了微点之后很卡。而且,说实话以前开启瑞星实时监控的时候真比现在的微点卡很多。
我的配置:P4 2.4B + 512M DDR333、Windows XP SP2
勉强对得起llcracker大哥的2600多字了,收工。。。
| |
※ ※ ※ 本文纯属【nasdaq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-9-18 21:57 |
|
llcracker
新手上路
积分 27
发帖 17
注册 2006-8-30
|
#96
谢谢98楼老兄认真仔细回复,我首先有一个问题很纳闷,你怎么知道我成功突破Starforce光盘加密技术,好像我从来没有提过样!不错,我们公司的虚拟光驱可以支持到最新的sf4,连著名的alcohol与dt最新版本似乎都没有支持。我们所测试的结果是alcohol最新版本连sf3.7的最新小版本就已经不支持了。不好意思废话太多,不然以为我在这里打广告。^_^!
首先我在这里大致对微点整体性能的评估是:良好。像我在上面贴子说的那样,建议微点加入类似的静态扫描的功能进去。并且我也只是对目前微点这种单一手段进行的观点阐述。我所说的单一手段,更广义上说是一种“动态监视”手段。个人认为微点在这“动态监视”中使用了行为分析与特征码两种具体分析手段。我大致假设一下微点的工作流程:首先系统中如果有一个进程创建,微点就会通过特征码来扫描其创建的进程
,如果发现有匹配的特征码则认定该进程为病毒或者木马之类的。因此,就可以在病毒进程还没有真正运行的时候给出捕杀,这也是为什么微点能准确报出其病毒的名字,这是第一道关卡。其次,如果无法通过特征码来认定,就在随后过程中,通过行为来监视这些进程,确定是否有病毒行为。即行为分析,也就是我们所说的主动防御,因此我们可以看到有时候微点会报出未知病毒之类的信息来。就像我在上贴中所举例的那样。根据我多年的技术经验,这种流程也算比较合乎逻辑。因为如果能通过特征码动态扫描出进程的话,也就是后面的行为分析,就显得多余。行为分析的前提就是在特征码无法匹配的情况才出现。因此,我的假设没有错误的话,应该可以看得出微点还是首先使用特征码为主,然后用行为分析为辅的这样一个策略,即还是遵循的是特征码为主而行为分析(主动防御为辅的策略)。只是将这两种手段运用到了动态监测中,这样做的好处在与速度较快。但是与之相比其所带来负面影响也不小,首先我们看一下“动态监视”其适用范围。所谓动态监视,在这里主要是指将某个进程的行为进行捕捉,然后将这种行为再进行分析通过特征码或者行为分析之类的分析手段来确定其合法性。那么,系统中不仅有AP层也有Driver层。微点对此的捕捉范围到底有多大?这是一个问号?个人认为如果要监视到AP与Driver几乎是不太可能,其范围最多在AP层。由于动态监视的范围有限,也就意味着其捕捉行为,这就造成可能会漏掉某些行为,这就会造成失真。第二,我们从行为分析来看(即无法通过特征码进行匹配的时候)在我上贴中所说的例子就是一个非常好的案例,第一,iexplorer.com肯定没有在微点的病毒库中,至于是不是最新的木马或者病毒这个我不敢肯定。因此,微点只能通过行为分析来判断。那么我们仔细看看,根据filemon的信息大致可以看到,iexplorer.com自动生成一个aood.sys的driver。从“生成”这一动作来看,应该没有什么问题,属于合法行为,接着加载aood.sys也没有什么问题。然后,加载后不久微点发现了该进程为未知木马进程,很显然微点通过行为分析发现这个进程有问题,并提示出信息说有未知木马进程的类似信息,不多久蓝屏死机。蓝屏报的就是aood.sys造成的死机。显然这涉及到一个问题,就是说微点是不是真的就能在病毒行为实施病毒行为之前进行拦截并且进行捕杀。我想可以,但是有一个前提是那通常出现在与特征码匹配的情况下。也就是说,如果微点发现了一个进程被加载,会通过特征码进行匹配,一旦匹配成功确定为一个病毒或者木马进程,则将其杀掉。但是如果说在特征码没有匹配的情况下,使用行为分析来达到“病毒行为实施病毒行为之前进行拦截”是很难做到。这是因为行为分析本身就存在盲区。就像上例那样,生成一个driver然后加载一个driver,从行为单独来看本身就没有问题,即使看这两个动作综合来考虑也没有任何问题,但是对于iexplorer.com来说就已经开始实施了病毒行为,也就是说行为分析没有达到预期目的。虽然后面通过其它的行为发现了iexplorer.com,但是为时已晚,至少driver已经被加载,虽然最后是蓝屏死机。这只能说明那个driver存在bug而已。这个案例也证明了clam_cs仁兄在他贴子所提到的一些问题,并且还运用了有趣的比方。以上只是我亲身遇到的案例,像这样的行为分析肓区肯定还有。所以说如果特征码这一关卡通过的话,微点所剩的行为分析的确存在很多问题,这些问题不是微点才有的。是由行为分析自身的缺陷而导致的,即少报,漏报,多报,误报。当然这涉及到我前面所提到的标准与技术两方面问题,这里我不再多说。以上只是我所遇到见到的案例,加上自已经验分析所得出的结论。这是仁者见仁,智者见智的问题。之所以说这些也是希望用户能够更理性来认识微点,作为一个用户的我来说跟其他有些用户建议一样加入静态特征码手段进去。即“动”“静”结合,这样做第一,通过静态扫描尽可能查杀掉已知病毒木马,不要每次让进程运行再判断,这的确有点像“我拿青春赌明天”的意味。打个不太恰当的比方,就像我们吃东西,首先我们是看这东西是否过期没有(比如通过出厂日期,保质期等信息),然后我们再拿到嘴里尝尝是否有变味等情况出现,这样的确使得我们吃的东西更加安全。而微点就像,根本不看这些,直接放到嘴里来判断,就算味觉再好也有失误时候。只是不一样的是微点不是把东西放在自己嘴里,而是放到用户嘴里。那么我觉得更应该采取更多判断方法,以保护用户身体健康。而目前微点并没有这样做,就像nasdaq老兄说的样也许微点这样做是为了商业目的,但是如果是只为商业目的而加大用户危险系数是不可取的。因此,我觉得微点很有必要从用户角度出发为用户的系统安全着想,而不是一味追求所谓的什么“主动防御”杀毒那种华而不实的概念。
最后,关于nasdaq所提的不可分页内存,不是说少分配不可分页内存资源。不可分页内存可以认为直接就是物理内存,根内存大小与系统有关。对于不可分页内存来说,通常是很少一部分,是相当宝贵的内存资源,它不需要经过pagefile。由于微点有14个driver,系统一启动时这14个driver所在的空间就位于系统所分配的不可分页内存中。另外,这14个driver在运作时可能自身需求还要分配一些不可分页内存。你可想而知这种宝贵资源的占用也不算小。对于微点AP级的进程来说,虽然有几个,毕竟在属于可分页内存,这个倒无所谓。
| |
※ ※ ※ 本文纯属【llcracker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-9-19 14:31 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2006-9-19 16:30 |
|
llcracker
新手上路
积分 27
发帖 17
注册 2006-8-30
|
|
|
2006-9-19 16:41 |
|
zqrsc
版主
反病毒区版主
积分 1133
发帖 1118
注册 2005-11-22
来自 .net
|
#99
楼上这帖要顶~
| |
※ ※ ※ 本文纯属【zqrsc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~ |
|
|
|
2006-9-19 17:03 |
|
nasdaq
版主
版主
积分 1140
发帖 1118
注册 2006-4-6
|
#100
嗯,技术大融合确实是最完美的解决方案。这一点我一直支持,因为从逻辑上讲大力丸是不存在的,每一项技术都有其适用范围。呵呵,我没有llcracker大哥那么深的技术造诣,只能从逻辑上思考。
#99中说的谁主谁辅的问题,我觉得单纯凭借出场顺序就下结论,从逻辑上是站不住脚的。
根据公开资料,刘总在接受记者采访的时候,曾透露微点公司目前只有8000来个样本。唉,咱们尽量不提那些“众所周知”的原因吧。
8000这个数量对目前杀软动辄数十万的样本库(暂且忽略造假因素),可以算是杯水车薪。基于此,我认为目前微点引擎中的特征码部分无法担当主力重任。相对来说,行为分析的比重应该更多些。
——公正的测试应该是对应海量样本,咱们这种小规模的测试是不具有普遍意义的。
呵呵,额外再说两句,大家都公认,永远不可能有一家杀软公司能收集到所有的病毒样本。实际上杀软公司在获取样本上是要投入很多资源的,但再大的投入,也无法逆转先天性的被动局面。
唉,还是绕不过那些“众所周知”的原因,我个人认为目前微点产品整体性的不足很大程度是那些“众所周知”的原因造成的。这世界上没有人会怀疑刘总搞不出一个优质的特征码引擎的。
微点的具体引擎技术咱们谁也不知道,也不用瞎猜了。
但我从逻辑上分析,完善的结构应该是存在一个善后模块的,即把恶意程序运行过程中对系统的一些改动(譬如说一些亦正亦邪的部分),进行复位。
下午要出去,这个回帖可有点儿对不住llcracker大哥的泱泱数千字了。。。
| |
※ ※ ※ 本文纯属【nasdaq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-9-20 11:02 |
|
