微点交流论坛 - 主动防御 - 主动防御不可完成的任务(-)

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 主动防御不可完成的任务(-)

551

6/56

梦幻家园
注册用户

积分 136
发帖 136
注册 2006-6-3

#51

Quote:

Originally posted by Administrater at 2006-9-1 18:17:
此Administrater非彼Administrator,只是我惯用的一个帐号而已,看来这个帐号达到了我的目的,还的确能蒙着人,早知道就用这个帐号给各位发短消息骗帐号密码了

一个er结尾，一个or结尾，简直就是病毒伪装行为。

※ ※ ※ 本文纯属【梦幻家园】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-9-1 18:45

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#52

这个帖子改为主动防御可以完成的任务那就好了

把你们的才华放到支点上。

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2006-9-1 18:49

nasdaq
版主

版主

积分 1140
发帖 1118
注册 2006-4-6

#53

哈哈，开工，目标llcracker朋友的 33、38帖，calm_cs朋友的34、37、41帖

首先，我想大家应该理清两个概念：产品和技术。

技术就是一种技术，譬如说行为引擎。

产品是将多种技术融合到一起的一种商品，譬如说微点主动防御软件（以下简称微点）。

基此，我有以下的一个表述：微点是包含有行为引擎技术的一种产品。特别要说明的是，微点并不只有一个行为引擎技术，最起码还包括特征码技术（见置顶帖，官方从未否认过使用特征码），最起码还有包过滤防火墙技术，最起码还有UI设计相关技术。

我今天又粗略地学习了一遍置顶帖们，结合我的体会，谈谈我的学习心得：

1.微点的总体出发点
对于特征码技术的滞后性，前面的讨论中我们大家都已达成了共识。微点的一个总体出发点就是想解决滞后这个致命的缺点。为此，微点提出的一个技术方向就是行为引擎，虽然在目前这个初期阶段，存在有很多这样那样的不足。但是，我们欣喜地看到了一些进步，譬如说国内的“黑小子们”喜欢加工灰鸽子，几乎每天都会有穿新衣服的灰鸽子出现。微点对此表现不俗，很遗憾由于我手中的样本量很有限，我无法提供有说服力的量化指标。

客观的说，目前的微点确实还谈不到彻底解决滞后性的问题，但是微点有力地缓解了这个矛盾，这一点有目共睹。

2.行为引擎与微点
任何一种技术都是有其使用范围的！（呵呵，我不知道在哲学里面怎么讲，但是我说的这个精神应该是对的，可能叫辩证法吧）正如咱们以前讨论的结果，特征码不是万能的、虚拟机不是万能的、行为引擎不是万能的。

在市场经济中，想必每一种产品，都会努力扩展其实际的应用范围，以最大程度地谋求市场的认可。在这种情况下，只使用单一技术，只能处于竞争地劣势。所以很多厂家在把技术转变为产品的时候，都会以某一个或几个技术为核心，多种辅助综合方案共同发展。目的就是为了最大限度的扩展产品的应用范围。

微点也不例外，行为引擎技术本身也会有它的使用范围。另外，llcracker朋友说的那些技术太专业了我不太懂没法评论。但至少我们大家都看到微点目前是处于并将长期处于行为引擎的初级阶段（哈哈当然中等发达程度肯定不至于要到本世纪中叶），初级阶段就意味着各种各样的问题肯定是不少的。从一个侧面，证明出行为引擎特别是初级阶段的行为引擎，必然会有其局限性。虽然论证方法不一样，但对于行为引擎会存在局限性这点，我和llcracker朋友算是殊途而同归吧。

接下来就很必然了，微点软件同时应用多种技术和辅助方案，以求达到一个较好的综合防止效果。譬如说对于有些朋友提到的用户参与问题，我个人就比较倾向用大型白名单库来解决。一个大型白名单库，可以极大地解放最终用户，可以使得大多数乃至绝大多数常用程序，无须用户干预，即可安全运行和网络放行，同时也可缓解行为引擎监控的压力，提高计算机的整体运行速度。余下的一些少常用程序，可以由用户在微点技术服务部门的指导下，进行相应处理。特别要说一些亦正亦邪的程序（譬如网游外挂），出于对网游著作权公司的尊重，也不可以加入白名单轻易放行，还是向用户报警为佳。由用户自行鉴定，在技服的帮助下处理。

3.主辅之争

目前的几种杀毒技术都不完美，组合成产品，便引出了llcracker朋友提出的谁主谁辅问题。

咱们先讨论一下关于全盘扫描和实时监控谁主谁辅的问题，这个问题其实不是技术问题，我认为完全是用户用途用法的问题。

我没有做过抽样统计调查，仅以我个人为例，做一下探讨。
我的基本情况是：比较熟悉计算机技术，有一定的信息安全判别能力，数据量较大（常用的在260G左右）
所以我目前的基本信息安全方案，是以实时监控为主，不愿意浪费时间去做全盘扫描杀毒。当然有时用扫描引擎对我收集的样本作分类鉴别用。
在接触微点之前，特征码型实时监控并不能满足我的安全需求，所以我用黑冰的应用程序控制来提高防范水平。
在安装微点之后，我个人感觉微点的行为引擎比我以前用的那些特征码实时监控带来了突破性的进展，防范能力大幅飙升，呵呵，当然我也自信有能力来处理好微点的报警提示。

以我的个人情况来做总结，实时监控的应用远大于全盘扫描。所以我力挺行为引擎。
当然，每个用户的情况都是不一样的，想必有一些用户是以全盘扫描为主要应用，平时不开实时监控。对于他们来说，当然行为引擎的意义就不大了。

呵呵，说句玩笑，如果以累计运行时间来做决断的话，对于全盘扫描的总累计运行时间来说，实时监控的总累计运行时间必然会有压倒性的优势。哈哈，当然这个算法太玩笑化了，无法作为有效论据的。

市场很大的，如果被一种产品垄断，应该说是一种悲哀，因为哪意味着相当数量的人在被迫使用不太适宜的产品。呵呵，说句题外的，譬如说对于咱们健全人来说，加碘盐是很好的东西，这点要感谢政府的大力扶持。但是很遗憾，这个世界上有一种病叫做甲状腺机能亢进，得这个病的患者是不能吃碘的。面对政府的好意——市场上严厉查禁非加碘盐，他们反倒活得很麻烦。

4.关于主动防御

最后再来说一下主动防御，主动防御这个词的来源我没考证过。有了解的朋友请多多指教。

从微点的产品名称可以看出，主动防御是修饰微点软件的，好像是定语吧。我认为，主动防御是微点的一句商业口号，从商业宣传角度来说，主动防御四个字，显然比啰里啰唆的解释半天什么行为引擎、什么特征码滞后性的宣传效果要好的多。对于，主动防御四个字能否代表微点软件的神韵和特点呢？这是人家微点公司自己的事儿，咱们没有必要指手画脚。对于微点所针对的，完全被动靠升级特征码库和处置方案库的传统特征码引擎，微点确实可以不依赖升级也能识别很多恶意程序（老问题，我没有能力作出有说服力的量化说明，抱歉了）从这个意义来说，微点使用主动防御这四字，是有一定道理和依据的。

目前的现实是，似乎杀软行业都把主动防御这个词当成一个普遍应用地宣传口号了，说明书上有主动防御四个字，也就代表了该软件有一定的查杀未知道特征码的病毒的能力。具体效果我没有测试过，所以不敢妄加断言。

但我想，按照国内市场宣传的不良惯例，此主动防御非彼主动防御（微点）的概率应该是挺高的。李鬼和李逵的矛盾是永远存在的。

我并不是说只有刘旭可以开发出行为引擎，而别人就肯定都写不出来。现实是，创新性开发真是一个挺麻烦的事情呢，没多少人愿意去为风险投资为风险努力。国内论坛上有人写过一篇杀毒引擎的讨论文章，那文说世界上源头只有五大杀毒引擎。我不敢相信作者所说的数据都是真实有效的，但我领会到的一个精神是引擎是很麻烦的，数量很少很少。国内最大的软件公司，不就是买引擎来用么。

※ ※ ※ 本文纯属【nasdaq】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-9-1 19:28

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#54

Quote:

Originally posted by nasdaq at 2006-9-1 19:28:
个人就比较倾向用大型白名单库来解决。一个大型白名单库，可以极大地解放最终用户，可以使得大多数乃至绝大多数常用程序，无须用户干预，即可安全运行和网络放行，同时也可缓解行为引擎监控的压力，提高计算机的整体运行速度。

好建议！

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2006-9-1 19:50

ballpointpen
中级用户

积分 436
发帖 434
注册 2006-6-20

#55

已知病毒特征码的类型：微点的已知病毒特征码与传统杀软的已知病毒特征码是一样的吗？换言之，微点的特征码是已知病毒的行为特征码，还是静态属性特征码？传统杀软的已知病毒特征码应该是静态属性特征码吧。

对病毒的防杀作用与病毒特征码库的关系：从微点的介绍来看，微点虽然在防杀过程中用到了已知病毒特征码库，但对病毒的防杀作用似乎对这个已知病毒特征码库没有依赖关系（对比：传统杀软对病毒的防杀作用则是一定要依赖于已知病毒特征码库的）。微点之所以也建立这个已知病毒特征码库，其目的或作用有二：
1. 可以提高防杀过程中的查毒速度。
2. 命名病毒。如果总是报出“未知病毒（木马）”是不太好吧。再说用户也希望知道是查杀了什么病毒的。

[ Last edited by ballpointpen on 2006-9-1 at 20:13 ]

※ ※ ※ 本文纯属【ballpointpen】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-9-1 19:50

idea
注册用户

积分 61
发帖 61
注册 2006-8-27

#56 楼上这帖算不算是个总结的帖子呀~ ^_^

欣赏楼上这位老兄风格，言语温和中肯，思维开阔又不失严谨，赞一个！

※ ※ ※ 本文纯属【idea】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-9-1 19:58

idea
注册用户

积分 61
发帖 61
注册 2006-8-27

#57

晕，跟帖真快啊，转眼就跟了两帖，我说的是53＃的老兄哈

※ ※ ※ 本文纯属【idea】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-9-1 20:01

nasdaq
版主

版主

积分 1140
发帖 1118
注册 2006-4-6

#58

Quote:

Originally posted by idea at 2006-9-1 20:01:
晕，跟帖真快啊，转眼就跟了两帖，我说的是53＃的老兄哈

被您夸的我正咧嘴傻乐呢

不是总结贴，calm_cs 和llcracker还没回呢，calm_cs偏温和，llcracker偏犀利，呵呵，俩人性格不太一样，不管了，一律大战300合再说

※ ※ ※ 本文纯属【nasdaq】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-9-1 21:48

nasdaq
版主

版主

积分 1140
发帖 1118
注册 2006-4-6

#59

对了，一直忘了问calm_cs 和llcracker，贵公司的虚拟光驱产品叫啥子呦？

另外，llcracker关于不能unload驱动的讲解解了我一个惑，我原来一直纳闷为什么更换驱动后必须重启才能生效呢

※ ※ ※ 本文纯属【nasdaq】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-9-1 21:50

我
中级用户

积分 393
发帖 378
注册 2006-7-30

#60

Quote:

Originally posted by nasdaq at 2006-9-1 21:48:

被您夸的我正咧嘴傻乐呢

不是总结贴，calm_cs 和llcracker还没回呢，calm_cs偏温和，llcracker偏犀利，呵呵，俩人性格不太一样，不管了，一律大战300合再说

算你狠！！！

※ ※ ※ 本文纯属【我】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-9-1 21:54

551

6/56

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号