sxh_sxh
版主
灌水区版主
积分 818
发帖 810
注册 2005-12-10
|
#101
希望大家多多提供病毒样本,支持微点做得更好!
偶曾看过一篇贴子“突破卡巴6的 一个变态做法”,讲如何让卡巴挂了,用shangxing 的 远程控制加N层壳,最后导致卡巴6处理错误。
| |
※ ※ ※ 本文纯属【sxh_sxh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
偶真想*
|
|
|
2006-9-20 13:33 |
|
llcracker
新手上路
积分 27
发帖 17
注册 2006-8-30
|
#102
今天又来顶一下我自己的贴子,可能以后上来时间就不多了!希望大家见谅。在这我的这个贴子,开始由于陷入“主动防御”这个概念里一直没
有找到一个合适的词语要来代表我所想要表示的中心思想。在后面的两个贴子中我终于慢慢找到其要表达之意较之准确的语句,首先以“动态监
视”来跳开“主动防御”这个概念。同样虽然我一直是以批判的态度来看待微点,是希望微点能在这样一种环境中慢慢成长,另外也能反映出
当前的微点是否能真的在这些质疑中站得住脚。在我的贴子中nasdaq老兄算是比较极积,算是以从正面支持微点。因此我觉得更应该从微点产
品自身的问题出发进行讨论,以求微点在以后版本升级中不断更新。仔细审视一下nasdaq老兄的一些回复,跟我要讨论的论题有一定偏差。就
像nasdaq老兄说微点的创始人刘总来说,虽然他操过全国杀软市场的大盘,但是这跟微点产品自身有没有问题,有直接关系嘛?
以我自身经历来讲,当我进入到现在的公司时,当时虚拟光驱横行,我们公司在很早之前就出了虚拟光驱这款产品,比Alcohol和dt还要早。
同样我们公司有着国外比较著名的销售策划人,但是当我们产品卖出后有很多反对声,尽管公司做了这么大的宣传,销售一直上不去。而
alcohol与dt一出市就受到青睐并且这两款产品,为什么?最重要的就是这两款产品支持的游戏最多,用户干嘛要买我们的产品,因为当时我们
产品跟这两款产品相当其游戏支持力度很差。但是现在我们的虚拟光驱可以说暂时已经超越掉那两款产品在游戏支持上。
因此,我上面的例子是想说明一个问题“产品好不好卖,看产品硬不硬,能不能货比货”。那看产品什么?首先就是看产品是否有真材实料,
这又要从两方面来看它的优点及缺点。对于微点这款产品来说,其我在论述其缺点的时候表达中心不明确造成很多网友误解,在这里我在大脑
里重新整理一下,避免使用太过技术性的语言。目的是以后的朋友在回贴中希望本着对事不对人围绕论题展开讨论,提出自已更有建设性的意见
或者反驳意见。
首先,我的建设性意见即论题是希望微点在以后更新中能以多元化的查手段。对于目前的微点来说其主要手段是:动态监视->(特征码分析+行
为分析)。说具体点就是特征码分析与行为分析是在建立在动态监视基础上。我之所以对目前微点采用的这种进行详细分析,目的有二:1、证
明微点目前的这种方式有很多不足。2、从用户角度上来讲,让用户了解其微点所存在的问题,在使用这款产品的时候保持谨慎态度。我认为目
前微点存在以下的不足:
1、动态监视的范围局限性。
2、微点所采用的“行为分析”有着天生的缺陷与判定病毒的盲区。我在很多贴子着重对这点进行反复描述,根据行为分析思想来说,就是在病
毒发作或者实施之前进行及时拦截并且捕杀。仔细想想的确是个不错的idea,但是从现实来说可行嘛?我不敢断言一定说不行,只能说行为分
析的确存在很多问题。就是通过多少的行为来确定是否为病毒行为?怎样区分具有含有病毒行为的正常程序?又怎样区分病毒程序所执行的看
似正常的行为?这等等的问题。这些问题就是“行为分析”天生的缺陷与判定病毒的盲区。这直接关系到微点最后查杀毒效果。大家可以看看
我上面发的两贴,所提到的问题。“公正的测试应该是对应海量样本,咱们这种小规模的测试是不具有普遍意义的。”这是nasdaq老兄所提到
的。对于用户来说我们没有能力去找海量样本,但是如果仅从小规模测试就能比较直观的反映问题的话,我认为海量测试也是惘然。我们清清
楚楚知道微点目前就只有所谓的主动防御(没算网络防火墙功能),那么我们也知道如果微点使用的行为分析有一点问题的话可能造成巨大的灾
难。对于“行为分析”最害怕的就是少报或者报而无法杀或者是杀的时机已过。因为,这种不属于微点产品的BUG所至,而是说明了微点目前根
本无法来克服“行为分析”缺陷,我认为支持微点的网友绝对不能回避这个问题,避而不谈,扯上其它一些话题。这对用户来说,真的是一个
不幸的消息。这也是微点也不敢单独使用行为分析,而却要加上特征码分析的真正原因。微点是想通过特征码分析加大其判断病毒的准确性,
从而从整体性能上提高所谓的主动防御。这也说明了“8000这个数量对目前杀软动辄数十万的样本库(暂且忽略造假因素),可以算是杯水车
薪”,但是微点还是加入进来的原因,从这点看微点以后也会加大力度收集更多的特征码。再拿前面的贴子来说“创建驱动文件然后加载驱动
文件”这个动作,不要以为这个动作在iexplorer.com才有。正常的程序像filemon,regmon,devview,dbgview这些监视分析工具都有这个动作。
那么微点的行为分析可以说对这样的动作一点办法都没有,唯一的就是通过特征码。在病毒程序中这样合法性的动作应该不会在少数,不是单
指上面一样。那只是我遇到的一个实例而已。另外关于微点通过行为分析确定到一个病毒后,是否真的该病毒就真的没有实施任何的病毒行为
?个人认为在没有特征码的情况下很难做到。因此,个人认为微点在行为分析很难做出质的突破来这不是由于技术范围可以解决的,这也将会
迫使微点将更极积的收集特征码。
3、无法真正即时捕杀病毒程序文件,如果一个病毒程序文件没有被运行,微点就无法进行清除。导致系统中会存在着安全隐患。
一些补充说明:
1、对于前面两贴虽然不敢说自己的逻辑判断一定正确,但是绝对不是瞎猜乱蒙。首先,我根据的是从微点掌握的现象与测试到的一些现象进行
比较合理的推断。众所周知的事情,微点所用特征码+行为分析是不争的事实。在这基础上,我推断特征码为主而行为分析为辅的现象。来自于
几个方面:
A、如果微点的行为分析,如果真的克服掉“行为分析”有着天生的缺陷与判定病毒的盲区,那么在动态监视中加入特征码分析显得多此一举。
也不会被我测试出前面贴子中所遇到的案例。从成本角度来讲,做一件没有意义的事情,谁会愿意?从微点官方网站上来看用户众多的问题,
就可以非常清楚的知道微点的行为分析同样没有克服掉这些问题。
B、为什么微点单从行为分析就能知道病毒的名字等详细信息,就像clam_cs老兄在前面打的比方一样,显然微点是含有特征码,这一点至少来说
是得到众多网友认可。
C、大家可以试想一下,如果微点将行为分析放在前面,通过行为分析判断出病毒,在用特征码扫描这样一个过程。在我前面已经说过由于行为
分析存在重大的缺陷,即使发现了病毒,很有可能该病毒已经发作执行了一部分,此时在用特征码来扫描有什么用?根本是为时已晚!
D、通过上面以客观事实为基础,我推断出很有可能微点首先是通过特征码扫描,如果无法匹配再用行为分析来检测。这才是比较合逻辑。
E、我想说明的是,微点之所以使用特征码是因为为了弥补“行为分析”的缺陷而存在的。我不是在争论到底是特征码为主还是行为分析为主。
不管谁为主,都逃不了一个现实微点所采用的“行为分析”有着天生的缺陷与判定病毒的盲区。另外,还有一点在这里补充一下。如果在使用
微点过程中,如果报出具体的病毒名,根据上面的推断认为不是行为分析在起作用,而是特征码分析在起作用,希望用户能清楚认识。
2、我想在这里说一下用户所遇到系统中存在病毒程序,但是不运行病毒程序微点就不杀的情况?
在这里我想拿金山毒霸来比较一下,大家别误会我不是在做宣传,只是为了更好的说明。
首先来说金山毒霸,它也有动态监视的功能,但是它针对是文件。像我们平时打开资源管理器,或者操作目录、文件的时候。金山毒霸会将当
前目录中的文件进行动态监视并且在内存中扫描,如果发现病毒文件则立即报出。此时病毒文件通常都还没有运行。这也是目前大多数杀软的
动态监视的一个做法,其对象为文件。只是这种做法,稍微速度有点慢。但是对于现在的机器来说,基本上感觉不出来。
对于微点来说,其对象是进程。也就是说一定要把一个病毒程序运行起来后,才会被监视到。不运行的病毒程序文件,微点是不会检查。所以
才出现上面的用户见到的情况。这种其效率要比上面要高,速度要快些。但是牺牲的是用户安全性,所以用户一定要小心使用。
3、在这里提到nasdaq老兄,并无意针对他本人,只是针对他所提出的看法进行的一些建议。尽请见谅,也请nasdaq老兄从微点所存在的问题出
发,不要避之不谈,而谈之一些商业方面的东西。关于商业炒作我不太懂,另外我也不想谈那些除微点产品本身之外无意义的东西。像“黑格
尔(小弟不才,认不到)与什么刘总(我听说过他,他不知道我)...”跟微点产品本身所存在的问题没有任何关系。另外,需要注意的是:不是偶
在追求完美和要求完美。因此,我为什么要一直强调微点使用多元化的手段。从现实出发,假设微点在后面升级中一直保持这样的查杀手段,
那么为了提高查杀毒准确率,并且增大其适用范围。那么微点势必要向“行为分析”有着天生的缺陷与判定病毒的盲区挑战,而将行为分析做
到完美,这不是我所追求的完美,而是微点假设一直这样,必将遇到的挑战的这样一个现实。另外,所谓质的超越,我想应该非常清楚,就是
克服掉“行为分析”的不足。你所提到的"既然Starforce已经不是“质的”保护技术",你既然提到技术,那么也就是说我们所讨论的范围不一
样了。今天我们虚拟光驱的技术占了上峰,明天保护技术又可能后来居上。你说对嘛?技术是有高低之分的。就像破解样,如果一款加密软件
开发者的技术非常高,花了一年的时间。那么破解者首先至少要有这样的水平,花去的时间并且很可能超过一看。至于关于公司的利益的问题
,跟我没有好大关系也,我只是拿工资吃饭。而我所要表达的是“行为分析”缺陷不属于技术范畴,也不能是靠技术就能搞定。这点上,我们
两个谈的是有“质”的区别也。^_^!另外我后面的贴子几乎没有用到什么技术的语言,只是有时偶尔使用了技术语言无非是在说明过程顺便带
了一句。因为我本来就没有打算在这里谈什么具体的技术细节,只是一直想说明我的观点而已。因此,你也无需要“选择性失明”。^_^!不好
意思,说了这么多。在这里只忠心希望像nasdaq朋友从更客观出发来看待微点自身问题并与之讨论。
不再说了。这篇贴子我已经把我的论题及微点所存在的不足详细阐述,希望后面朋友本着对微点负责的态度,从微点实际情况出发,以论题为
中心展开自己的才华尽情讨论,大家尽量以实事出发,这样才比较有说服力。不要逞嘴上之快,说之与此无关的话题。
| |
※ ※ ※ 本文纯属【llcracker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-9-20 16:20 |
|
nasdaq
版主
版主
积分 1140
发帖 1118
注册 2006-4-6
|
|
|
2006-9-20 22:02 |
|
阿魂
新手上路
积分 44
发帖 44
注册 2006-9-9
|
#104
看高手过招还真是过瘾啊.
| |
※ ※ ※ 本文纯属【阿魂】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-9-20 23:41 |
|
llcracker
新手上路
积分 27
发帖 17
注册 2006-8-30
|
#105
首先,很感谢nasdaq的回复。我渐渐明白nasdaq老兄语意,我想我为自己辩白几句。不管是我的语言有刺激性,被你认为不厚道还是后来的语气平和。平心而论我在我发的贴子中,所说的一些观点,要么是从已有定论的基础或者是从一些客观的现象加以论述,以求真相。
从nasdaq所持观点来看是从产品商业化及站在官方立场,而我却是以用户角度来出发。首先我认为官方不管怎样的产品商业化运作,其最终目的是面向用户群。那么从用户角度出发他购买一个产品,用户肯定想要了解到该商品一些更详细的信息,有该产品更胜一筹的地方(这是商家口水用得最多的地方),也有该产品不足的地方(这是商家略略带过或着闭口不提的地方)。对于微点来说,官方对微点强大之处已经大势宣传,因此我作为一个自认的高级用户,不再对官方所说的进行重复。而只是对官方不愿提的,或者用一句产品不成熟略过。作为现阶段的微点的确有一些BUG或者不兼容或者不稳定的地方,从这个来看的确算是不成熟。但是,随着不断的升级可以由技术来克服掉,这点上我从来没有发过相关贴子,因为产品从这点来说并没有更多可以说明的地方。我主要是想表达的是目前微点采用的查杀毒策略:动态监视->(特征码+行为分析)上来说明分析微点存在的不足。虽然里面用了一些技术性语言,但更多的是从事实出发,也以一种辩证逻辑来分析微点不足,只是nasdaq老兄一直没有看出来,被nasdaq老兄一直归纳为说技术的范畴,的确是小弟语言失误。小弟最终目的是让用户清楚现阶段微点的存在问题,融合从官方所宣称的及用户自已对微点的认知,让用户进行综合起来考虑。毕竟用户他有权了解到自已所使用的这款产品的一些信息,我也只是站在用户角度上提出我自己的看法,用户看了我的贴子后觉得我说的有没有道理,这就是仁者见仁,智者见智的问题。
从上面贴子来看,nasdaq对刘总算得上比较了解的,小弟自愧不如。但是小弟觉得nasdaq老兄不要这么紧张,放轻松点!看了老兄的回复后,一直心里有个问题。即然老兄说自己不是微点人,那么也是跟我一样,是一位微点用户。当然你有权力站在官方立场上考虑问题,但我奇怪的是:身为一位微点用户难道真的就一点不在乎微点这款产品安全性及所存在的问题嘛,而在其他用户提出的对微点质疑的时候,只一心为官方前途担忧?替官方挡架?就好比,老兄到商店买东西,根本不问东西好坏,只关心该商家利益,是不是能赚到钱,我作为一名用户的确有点无法理解!不好意思,就当小弟瞎说。不过话又说转来,如果真的觉得小弟在论述自已的观点时有问题或者你已经通过你的测试的确证明了微点不存在我所说的问题,可以直接提出来!直接反驳我所论述的东西。没有必要一直把刘总拉出来!小弟一直没有搞明白,刘总业绩这么强,那么我想刘总也许真的通过商业运作把微点做出业绩来,小弟并未否认。但是我不敢苟同的是,这跟微点产品本身存在的问题到底有什么关联。打个不恰当的比方,就像刘翔短跑这么无敌,你能不能说他如果生产球鞋一定非常棒或者说一定没有问题?
另外,我并不是在追求完美。地球人都知道的,“主动防御”即“行为分析”本身所存在的问题是多么严重,这也是为什么其它杀软不敢单独让其打主力。即然微点采用了“主动防御”这种手段打主力,那么微点对“主动防御”已经存在的问题进行修正,这是无可厚非的,否则又怎样讲“主动防御”的优越性及赶超其它杀软?即然微点有这种目标肯定要从行动上付诸实施。这也是微点能立足的好时机。
说句实话你、我都是微点用户,从用户层次来讲真的有必要去关心一个产品到底是怎样商业运作的嘛?而用户层也不可能了解这个产品商业运作的细节,也许连皮毛都不知道。我想用户关心的是产品自身,这才是用户的焦点。一款产品的确好,就已经够成用户购买的第一大理由。因此,作为用户层只能将自已使用该产品中发现的问题或者因此产品某些现象对产品进行进一步深推,从中更加体会该产品整体性能等,也就是一个较深层认识理解。用户层也只能做到这种程度,同样我也是这样,只能通过我使用微点产品所遇到的、见到的及一些已成事实的定论加以融合进而对微点产品自身存在问题进行讨论,也算得上是我的心得。其目的也是让真正的微点用户更多的了解微点,就这样而已!当然在言语中有触犯各位敬请见谅。
nasdaq与小弟所争论的其实是立场不一样,因为小弟的确能力有限,只能从用户角度上分析微点产品,以后有时间还是会请nasdaq老兄多多赐教。以后上来时间不多,也拜托nasdaq老兄能帮我顶起该贴,也希望nasdaq老兄不仅要站在官方立场,更应该客观的站在用户立场来真正看待微点。
| |
※ ※ ※ 本文纯属【llcracker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-9-21 13:34 |
|
nasdaq
版主
版主
积分 1140
发帖 1118
注册 2006-4-6
|
|
|
2006-9-21 17:48 |
|
答案
新手上路
积分 16
发帖 16
注册 2006-9-21
|
#107
看了本贴,我真的是受益非浅。
看来我得加油努力才行,因为其中好多东西都没看懂。
看高手过招,真TM的是一种享受。
| |
※ ※ ※ 本文纯属【答案】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-9-21 22:52 |
|
梦幻家园
注册用户
积分 136
发帖 136
注册 2006-6-3
|
#108
文科毕业的吧。。。
强烈建议你们发展第三产业,写小小说。
| |
※ ※ ※ 本文纯属【梦幻家园】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-9-23 10:34 |
|
hlhzgm
新手上路
积分 4
发帖 4
注册 2006-9-23
|
#109
嫌货才是买货人,我也来支持一下。
| |
※ ※ ※ 本文纯属【hlhzgm】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-9-23 12:08 |
|
zj0303
新手上路
积分 2
发帖 2
注册 2006-9-15
|
#110
一个好帖啊 本人尝试过很多杀软,微点的主动防防御的确很吸引人,但从用户角度出发,要等到病毒发作才能查出,让人怎么放心,就像人有病了,非要等他的病发作了才去治,我想这绝不是个好办法. 微点还是要和传统病毒扫描相结合.
| |
※ ※ ※ 本文纯属【zj0303】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-9-25 18:25 |
|
