微点交流论坛
» 游客:  注册 | 登录 | 帮助

 

 551  4/56  <  1  2  3  4  5  6  7  8  >  >| 
作者:
标题: 主动防御不可完成的任务(-)
梦幻家园
注册用户





积分 136
发帖 136
注册 2006-6-3
#31  

好激烈的辩论啊。外行看热闹!

※ ※ ※ 本文纯属【梦幻家园】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-31 23:40
查看资料  发短消息   编辑帖子
playworm
注册用户





积分 98
发帖 97
注册 2006-8-7
#32  

说半天就是看哪个取得系统最核心的控制权(优先权),看哪个能在最底层进行基本的I/O操作,嗯,安全系统在发展,病毒也在发展,这是个趋势。我有个想法,能不能控制最低层的操作为不允许,必须通过中间层呢?比如一加载就从最底层控制对磁盘的读写,由微点来代替读写,如果是危险操作,而且操作的模块是未知不明模块,就拦下来并报警。或者微软操作系统不再支持最底层操作,必须从中间层来操作。其实要做到象以上朋友说的,可能微软必须提供更多的关于底层的资料。我是半瓶醋,就在这乱讲讲吧。上面朋友说了那么多,但说每一种问题的时候缺少对比性,比如你说绕过内核用中断也好,BIOS基本输入输出也好,说微点拦不住的时候,是不是也应该说说瑞星拦得住吗?怎样拦住?卡巴拦得住吗?怎样拦住?有比较地说一下,我们这些看客才能有更客观的判断标准。希望楼主不要嫌我们水平不高,笨,讲详细点,对比点,让大家有个客观判断。

※ ※ ※ 本文纯属【playworm】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-1 08:58
查看资料  发送邮件  发短消息   编辑帖子
llcracker
新手上路





积分 27
发帖 17
注册 2006-8-30
#33  

我在这里重申一下我的观点。即"主动防御是不可完成的任务"我从主动防御的标准及技术角度来说明了这个问题。也是说明了为什么在众多杀毒软件中将其放入到辅助地位中。首先,我从微点官方网站上来说看到了其微点在技术上的创新及一些网友对使用过微点后认为微点的确优越于其它杀毒防毒软件中其含有的主动防御。从实际上来看(我没有怀疑微点防毒的能力),微点对一台干净系统会出现频频误报。这是为什么?很显然虽然微点有所谓的什么复杂的逻辑分析来判断,其表现的效果对一般用户来说跟其它占辅助地位的主动防御没什么区别。这到底是由什么造成的?就像我在前面所说的样,微点也许有一些判断标准比如像检测是否有哪个进程去修改了PE文件,注册表,挂接了系统例程等等行为。当然对于病毒来说,会有这些动作。微点进行拦截或者怎样的处理动作都是合法的。但是对于正常的一些程序来说也会有这些动作,微点就跟其它的主动防御没什么区别,也会误报似乎更严重有点“宁可错杀一千,不可放过一个”的意味。对于一个用户来说,他自己使用微点的产品后没事就弹一个这样的警报对话框出来要求用户来确认,他合必要用这种产品呢?用户他需要的是更精确而误报很低那种主动防御产品。省心,花了钱还要自己来判断程序的合法性,那用户真的会哭笑不得。这个实例说明了不管微点使用了什么样的创新技术,也无法改变这样一个事实,就是真正认定程序合法性的标准。这也是我反复强调的东西,即怎样使误报更少判断更精确,这个是要有明确的标准。不是靠技术能解决的,说多点就像开发驱动程序的,他要开发SCSI Driver,OK没有问题。但是他必须要了解SCSI 规范,而对于主动防御来说,没有像SCSI这样的标准。也就是靠经验+复杂的逻辑判断=频繁误报。我想用过微点的用户来说应该比较清楚。因此,从这点来说,如果像微点真的要优越于其它可能性只有一种。那就创造出主动防御的工业标准出来,否则微点所能做的和其它占有辅助作用主动防御的事情一样多。就是不断的更改所谓的复杂的逻辑判断,用户所承受的同样的频频的误报。所以,站在用户角度上来讲,个人觉得其所表现的并不是像有些所说的那样所谓技术上的创新就真正“质”的优越,只是有可能“复杂”逻辑判断比其它的稍微复杂一点。如果作为用户来说觉得我说的不准确,在反驳我之前请先一个微点产品来用用。看所表现的与其它的到底有何区别?是不是频频的误报

※ ※ ※ 本文纯属【llcracker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-1 10:02
查看资料  发送邮件  发短消息   编辑帖子
calm_cs
新手上路





积分 44
发帖 44
注册 2006-8-26
#34  大家都是讨论问题啥,对事不对人,都可以说出自己的想法嘛

我没有楼主说的那种病毒的样本,我只能说从理论上讲虚拟机结合启发式扫描是可以防住的这种病毒。因为通俗一点讲,我们可以认为虚拟机能够模拟一个虚拟环境,让被检测的程序再这个环境里运行,而且这个过程是处于一个可控状态,所以病毒的一举一动瞒不过监控程序。但是主动防御不行,这是因为微点的主动防御技术是基于系统的挂接。这种挂接方式,是拦不住直接用IN,OUT命令读写磁盘端口的命令的。只有借助DR调试寄存器,才能达到拦截这种命令的目的,呵呵,反过来说,这也是微点应该改进的地方。不过做起来,太困难了,我们曾经在产品里试图用这种方法来屏蔽光驱,可惜没有成功呀。希望微点可以做的更好。

※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-1 10:03
查看资料  发送邮件  发短消息   编辑帖子
calm_cs
新手上路





积分 44
发帖 44
注册 2006-8-26
#35  

至于瑞星和卡巴能不能拦住,我就不知道了。没式过,也不知道它们的虚拟机技术能不能做到这一步。

※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-1 10:05
查看资料  发送邮件  发短消息   编辑帖子
老毛
注册用户

初级会员



积分 167
发帖 168
注册 2005-10-23
#36  



  Quote:
Originally posted by llcracker at 2006-9-1 10:02:
我在这里重申一下我的观点。即"主动防御是不可完成的任务"我从主动防御的标准及技术角度来说明了这个问题。也是说明了为什么在众多杀毒软件中将其放入到辅助地位中。首先,我从微点官方网站上来说看到了 ...

从实际上来看(我没有怀疑微点防毒的能力),微点对一台干净系统会出现频频误报。
====================================

楼主应该拿出来具体的例子出来,而不是一味的说辞.

※ ※ ※ 本文纯属【老毛】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-1 10:14
查看资料  发短消息   编辑帖子
calm_cs
新手上路





积分 44
发帖 44
注册 2006-8-26
#37  关于标准的问题

楼主提出的标准问题是一个争论很大的问题,到底有没有标准,应不应该有标准了。这个问题,也许每个人的开发不一样,但是在IT业界,最为重视的就是标准指之争。圈里有句话叫做“一流公司做标准,二流公司做技术,三流公司做产品”。其实现在有很多标准之争。既然做出了标准,当然应该公开,以此来得到更多下游公司的支持,已形成业界标准,最后能成为国际标准。
      楼主的意思我想是说,因为现在在主动防御领域没有一个现行的标准,因此大家在判断行为危害时就没有根据,只能根据各自的经验。这样一来很容易出现混乱,造成少报,漏报,或是多报,虚报。当然,这不是微点的问题,这是这个技术领域里的问题。
      其实在反间谍软件行业,也有这样的问题。由于没有一套公认的标准来定义什么是非法的间谍行为,所以这个领域的产品还显得比较混乱,而且产业规模不大。年初,美国的几大软件巨头和和安全巨头曾做在一起制定了一份间谍软件的定义标准,为这个行业的大规模发展奠定了一定的基础。不过它能不能最终成为业界的标准就要看时间的检验了。毕竟,它们制定标准的时候居然讲我们中国和俄罗斯的代表排除在外,真是无耻呀。

※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-1 10:19
查看资料  发送邮件  发短消息   编辑帖子
llcracker
新手上路





积分 27
发帖 17
注册 2006-8-30
#38  

对于playworm老兄来说,首先我不是在卖弄我的技术。但是我为什么要谈论技术呢?是因为微点没有其它的手段来防毒,这也就意味着微点必须要无条件的去了解系统中所有进程及Driver运行情况,监控到系统每一层次及每一个程序的行为。你认为这种可能有多大?你认为实现起来可行嘛?这也清楚的说明了其它防毒为什么要将其作为辅助地位。因此,才有多种查杀手段联合使用的方案。而微点只使用了主动防御,那其监控力度就必须要大于其它占辅助地位的主动监控,说得更准确一点必须要监控系统中所有的进程及驱动。就像playworm老兄所说瑞星、卡巴肯定拦不住,所以才将其放入到辅助地位。但是微点不一样,它没有其它的手段,作为只有以主动防御为手段的微点来说,用户的确有必要它是否真的能监控到所有的行为。如果不能监控到,那又怎样去捕捉病毒行为,无法捕捉又怎样进行复杂的逻辑分析,那微点怎样又宣称用户说,我们只需要主动防御就能防住病毒?同样站在用户角度来说,其微点的技术局限性太大。因此,这样的产品没有经过严格的论证及用户角度出发考虑,很难成为一款让人接受的产品。另外,对playworm老兄额外多说一句,你说的"比如一加载就从最底层控制对磁盘的读写,由微点来代替读写,如果是危险操作,而且操作的模块是未知不明模块,就拦下来并报警。或者微软操作系统不再支持最底层操作,必须从中间层来操作。"所谓的最底层(windows driver层次),是ATAPI,首先必须要了解ATAPI的规范,另外ATAPI可以由第三方来替代。就即使能开发出来,对磁盘的读写完全是可以直接使用IN,OUT指令来替代,根本不需要经过windows driver层次,换句话说即使拦截了也没有用。不好意思在这里卖弄了一下。^_^

※ ※ ※ 本文纯属【llcracker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-1 10:27
查看资料  发送邮件  发短消息   编辑帖子
Administrater
注册用户

中级会员


积分 65
发帖 66
注册 2005-10-23
#39  

楼上说的"微点没有其它的手段来防毒",这个值得商榷,在我使用过程中,微点弹出的提示框有报出病毒或者木马的名字的情况,根据我对安全软件的理解,肯定是有特征码比对才能准确报出名字的,这说明还是有其他方法的,比如特征码

※ ※ ※ 本文纯属【Administrater】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

天大地大不如党的恩情大,洗洗更健康;
爹亲娘亲不如毛老人家亲,他好我也好!
2006-9-1 12:33
查看资料  发短消息   编辑帖子
calm_cs
新手上路





积分 44
发帖 44
注册 2006-8-26
#40  明白了

我一直在纳闷了,没有特征码的话,关凭程序的行为就可以断定是何种病毒,这也太神奇了吧,原来如此呀,呵呵,那可已讨论的地方就更多了哟,先睡个午觉,下午接着聊。 呵呵,论坛上还有朋友用我们公司的产品哈,不是正版吧

※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-1 12:46
查看资料  发送邮件  发短消息   编辑帖子
 551  4/56  <  1  2  3  4  5  6  7  8  >  >| 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]


北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号