» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 主动防御不可完成的任务(-)    551   8/56   |<   <   4   5   6   7   8   9   10   11   12   >   >|  作者: 标题: 主动防御不可完成的任务(-) calm_cs 新手上路 积分 44 发帖 44 注册 2006-8-26 #71   72楼的朋友对虚拟机的运行有一些误解，其实我也不是这方面的专家，只是这几天开了点资料，去网上下了些简单的虚拟机代码来看。其实虚拟机可以做得很复杂，也可以做得很简单。在杀毒引擎上来说，并不是也复杂越好，毕竟复杂的虚拟机效率太慢，也不是越简单越好，越简单，越容易被病毒所识别。关键是找到一个平衡点，这是当前最复杂的地方。但是随着硬件技术的提高，虚拟机效率的提高，它可以越做越复杂，越做越像一台真实的机器，这样病毒的识别虚拟机就会很困难了。       至于你提到的一些关于虚拟机怎样工作的问题，因为病毒在虚拟机上工作时处于一种受监控的情况，它可以知道病毒的运行状态，换句话说，这时候病毒是在一个完全受控的环境里运行，所以虚拟机有足够的信息了解病毒的运行情况和根据这些信息采取措施。当然这是一种理论情况，在实现的时候，不同的实现方式的效果相差很大。不过你提到的几种情况，现在的虚拟机技术都可以实现，而且不用占用太多的资源。对虚拟机威胁最大的是一些病毒编写高手根据虚拟机与真实环境的差别，编写的专门的反虚拟机技术的代码。至于你提到你潜伏问题，当病毒被激活时，在实时监控中的杀毒技术如启发式扫描技术就可以捕获并分析这个病毒，一旦确定它是病毒，就会报警，并进行查杀。我以前的帖子提到过，启发式扫描和病毒特征码扫描同样可以用于实时监控，你什么时候发作，我在你破坏心动开始这些，把你干掉就好了。套用一句标语吧：别伸手，伸手必被捉。 ※ ※ ※ 本文纯属【calm_cs】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-9-2 22:43 nasdaq 版主 版主 积分 1140 发帖 1118 注册 2006-4-6 #72  “标准”的问题 首先，向以calm_cs和llcracker为代表的几位持“不同技见”的朋友们致敬，呵呵，在微点的论坛上，必然是微点的支持者会占有压倒性优势，说实话，您几位真挺不容易的，望再接再厉，为本贴不断添砖加瓦。 管理员已经给这个“造反”的帖子受精了，这最起码从侧面说明了微点官方的一个态度——微点绝不会闭关自守、夜郎自大！ 召唤对主动防御持不同意见的朋友们来参加讨论。欢迎言之有物，反对无理取闹和恶意谩骂。呵呵，要是没有新鲜血液来补充，“反”派斗士是坚持不了多少时间的，没办法，双方的人力对比太悬殊了…… 来，说正题，这帖主要探讨“标准”的问题 我很赞同calm_cs和llcracker两位朋友关于标准对于一个行业的重要性的讲解。但是（呵呵，重要的是这个但是），我们需要先明确标准存在的意义。我本人不太懂理论上的管理学，下面浅谈一些我的个人看法，管理学大师们请给我留点儿面子。 我觉得标准存在的基础意义，就是为了兼容。兼容比较好理解，有了统一的标准就可以实现不同厂家的产品、不同批次的产品之间的搭配使用，这点主要是实际意义。 有了这个标准存在的意义，所以我觉得标准并不是所有行业都必须具备的。举个例子，勺子除了满足餐具必须的卫生标准之外，有必要设立其特殊的行业标准么？勺子可以做成任意大小，大嘴用大勺、小嘴用小勺，能放进嘴里就行，每个厂家都用自己的理念来生产。当然，不同的勺子使用感受是不一样的，以舒服为佳。为什么勺子没有强制性的标准呢？因为，第一，勺子本身具备较完整的功能体系，一般不需要搭配其它用具使用；第二，每个人的个体生理差异很大，舒服这个词很难量化，大家只能靠自己感受。 附： 国家标准（GB）查询平台 http://218.106.175.20/stdlinfo/s ... Bzhcx.GjbzcxServlet 再来说杀软，一般来说，杀软本身具有比较完备的功能，一般不需要借助其它软件的配合，就可以完成自己的主要任务。具体的国家标准我不太清楚，但应该是一些泛泛的标准，象calm_cs和llcracker两位朋友提到的详尽的技术标准，无论是出于我上面提到的理由还是企业利益，都是没必要存在的。 PS：杀软行业的国家评测是一个门槛性的检测标准，第三方的评测主要是想客观的评价不同产品之间的差异，出发点不同。但这两个都不是行业技术标准。 “一流公司做标准，二流公司做技术，三流公司做产品” ——这句话确实挺有道理的，但是不是万用的，也有其适用范围。举个反例，可口可乐公司永远也不会申请配方专利，为什么呢？因为他不希望配方被公开。泛泛的标准是没有什么意义的，像SCSI接口规范这种详尽的技术标准，必须公布所有技术细节才可以。 综合上述的一些想法，我觉得至少是目前吧，为了肃清鱼龙混杂的情况，很可能会出台一份笼统型的主动防御的标准，呵呵，这个标准一定程度上有助于洗牌、提高门槛和提升企业效益。但是，详尽型的主动防御技术规范，我认为应该是不会出现的。 [ Last edited by nasdaq on 2006-9-3 at 20:40 ] ※ ※ ※ 本文纯属【nasdaq】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-9-3 17:08 nasdaq 版主 版主 积分 1140 发帖 1118 注册 2006-4-6 #73   to calm_cs: 嗯，这个帖子的信息量越来越大了，确实回复挺累的。 单开一个记事本吧，呵呵，边着帖子边写回复，省得来回倒了。 ※ ※ ※ 本文纯属【nasdaq】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-9-3 17:11 nasdaq 版主 版主 积分 1140 发帖 1118 注册 2006-4-6 #74  再论启发式和实时行为引擎 根据calm_cs 的介绍，我觉得启发式和行为引擎，其实精神是相同的，都是针对异常行为进行分析和判断。只不过行为引擎是实时分析，启发式是在虚拟机里预加载进行分析。 实现方式的不同，就意味着这两种技术的适用范围不太一样，显然在实时监控这个问题上，实时行为引擎的效率要比启发式要高很多，呵呵，因为它实时阿，而启发式要先在虚拟机里预加载分析判断，然后再正式运行，用户的实际体验应该是比较卡比较慢，一句话，挺不爽的。 PS：唉，我觉得现在常用的用任务管理器，监测CPU占用率和内存占用，以后都没什么意义了。虽然我不会开发，但我觉得用类似插入或者隐藏的方式，把两种占用转加给其它程序或隐藏起来，就可以实现这两个指标的视觉优秀。唉，无奈的说，主观感觉才是王道，卡不卡和整体流畅度才能说明问题。只是这两个指标全凭嘴说，纯靠人品保证了……顺便感叹一下，现在全社会性的信任危机。 回到正题，72楼“含笑半步颠”朋友提到的潜伏性问题，我觉得虚拟机解决起来应该是比较麻烦的，因为虚拟机要考虑到查毒速度的问题，不可能等很长时间等潜伏程序被触发；而用实时行为引擎，在潜伏性恶意程序刚运行的时候，因为确实没有恶意行为，可能暂时不报警，而一旦收到外界的激活信息，开始有恶意行为的时候，实时行为引擎将会迅速作出反应。我猜测，实时行为引擎应该至少有三部分：实时行为分析+反击+后期修复。分析出异常行为，进行反击，最后根据程序行为记录，把该恶意程序之前做的一些不算恶的行为一并清理掉，譬如说注册表里一些无关紧要的键值之类。 某种程度上说，启发式=简化虚拟机+简化行为判断引擎。从这个式子来看，启发式可以说是双研发难点，虚拟机+行为判断都是很麻烦的技术，需要反复试验反复调整。为什么说是简化行为引擎呢？第一，简化虚拟机可以理解为剥离了很多功能的一个残缺windows，基于简化虚拟机想必也只能检测到部分的行为特征。第二，这个行为引擎只具有检测判断部分，而不具有反击和修复部分，因为虚拟机里没必要做反击和修复。 启发式有个优点就是安全系数高，因为恶意程序只是在虚拟机里预运行，理论上出现问题只要kill虚拟机就ok，不会影响到实际操作系统的安全。所以，启发式在做全盘扫描的时候，应该是很有优势的，缺点依然是效率不够高，扫描速度慢。 呵呵，因为我本人觉得，实时监控的应用需求是远远大于全盘扫描的，所以我旗帜鲜明地偏向于选择使用实时行为引擎类的产品，譬如微点。 正如calm_cs和llcracker说的，由于没有行业的技术规范，每家企业都要自己搞一套自己的技术标准。目前的启发式和实时行为引擎，都是前沿技术，都需要消耗大量人力物力财力进行研究试验。由于每家公司的实力不同，所以最终的产品们，技术水平参差不齐应该是一件很必然的事情。以博弈论的观点，从整个行业的角度来说，这种各自为战的行为确实是一种不好的内耗，大量的资源被浪费掉了。博弈论是纯理论的玩意儿，虽然说得很对，但是现实是没有办法去照着做的。目前的现实是，世界信息安全产业还在初级阶段，行业的现状就是以业内竞争为主。虽然业内两家强势厂商Symantec和McAfee已开始资本运作并购中小企业，但目前尚构不成全球性整合的气候。 ※ ※ ※ 本文纯属【nasdaq】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-9-3 20:38 反黑先锋 版主 RUNWAY 积分 2901 发帖 2857 注册 2006-6-17 #75     Quote: Originally posted by nasdaq at 2006-9-3 20:38: 根据calm_cs 的介绍，我觉得启发式和行为引擎，其实精神是相同的，都是针对异常行为进行分析和判断。只不过行为引擎是实时分析，启发式是在虚拟机里预加载进行分析。 实现方式的不同，就意味着这两种技术的适用 ... 好帖 这么详细啊 学习！ ※ ※ ※ 本文纯属【反黑先锋】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 荣先祥藏头诗《赞东方微点》 东风欣传好消息 方策独步世所稀 微妙玄机嵌主动 点睛灭毒堪神笔 2006-9-3 21:10 LjhEARTH 新手上路 积分 45 发帖 45 注册 2006-8-25 #76  启发式引擎和行为分析引擎是一样的 我觉得没有所谓“启发式”和“行为引擎”之分，对软件进行行为分析就是启发式，和放不放在虚拟机无关。微点主动防御软件的“主动防御”就是指采用启发式扫描引擎（对，是扫描引擎，微点只是没有提供让用户进行手动扫描而已）对未知病毒的发现和拦截，这个和卡巴斯基的启发式（好像卡巴斯基称之为“病毒前摄技术”吧）道理是一样的，只不多卡巴斯基把未知病毒放在虚拟机里运行分析，而微点直接让其在真机运行分析而已（程序行为实时监控）。      在研发难度上，我不觉得卡巴斯基的“虚拟机+行为分析”会比微点的“单纯的行为分析”难度高。因为卡巴斯基虽然增加了一个“虚拟机”研发项目，但其行为引擎却允许病毒全程执行完自己的破坏行为后进而做出判断；微点因为没有虚拟机，所以必须在病毒做出破坏行为之前就通过逻辑分析先预判断出该程序是病毒。所以，微点的行为分析引擎在智能性方面的要求要比卡巴斯基的高得多了。       我个人认为微点的启发式引擎（行为分析引擎）在技术上已经超越了卡巴斯基的。但是，在正式投入市场的反病毒软件中，卡巴斯基只是虚拟机技术领先世界，而启发式引擎技术最好的是NOD32的。 衷心希望微点能在今年11月的国际反病毒软件对未知病毒扫描测试中击败NOD32。 ※ ※ ※ 本文纯属【LjhEARTH】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-9-4 00:02 calm_cs 新手上路 积分 44 发帖 44 注册 2006-8-26 #77   一上班看到很多朋友的回帖，好呀，大家讨论的氛围很好呀。我非常同意79楼朋友对启发式和行为分析两种技术的对比分析。特别是“因为卡巴斯基虽然增加了一个“虚拟机”研发项目，但其行为引擎却允许病毒全程执行完自己的破坏行为后进而做出判断；微点因为没有虚拟机，所以必须在病毒做出破坏行为之前就通过逻辑分析先预判断出该程序是病毒。所以，微点的行为分析引擎在智能性方面的要求要比卡巴斯基的高得多了。” 真是说得很好呀，我以前也是持这种观点，但是表达得没有这么清楚，赞一个。       在一点 “微点的行为分析引擎在智能性方面的要求要比卡巴斯基的高得多了” 上我和你的看法完全一致。但是我们看一个技术能不能成为以后的趋势，会不会被大多数的厂商所接受，看的不是这种技术的复杂性，而是这种技术的可靠性以及其实现成本。诚如你帖子中说，微点的智能方面比卡巴高，换句话说微点引擎的设计比起卡巴引擎的设计来说，要复杂得多。写过程序的朋友想比有这种感受，“智能”这个东西在程序实现来说挺麻烦的，一台能拿国际象棋冠军的电脑已经震惊世界了（它还是再人的操作下了），日本人研究的智能电脑几十年过去了，投入的人力物力不算，还没听说什么突破性的进展了。而卡巴的引擎则不同，“其行为引擎却允许病毒全程执行完自己的破坏行为后进而做出判断”， 这就极大的降低了其引擎对智能设计的要求，因而实现起来更简单，可靠性也更高(不会对真实环境造成破还)。说以现在的启发式扫描技术＋虚拟机 的病毒检测率在不依靠任何病毒库的情况下，卡巴在94年宣称是不低于92%，清华BBS上提到的说国际公测的结果是85%(2003 年的帖子)。（顺便说一下，大家可以去卡巴 的网站看看，它上面有十分完善的国际防病毒机构的测试数据，凡是要进入杀毒这个领域的厂家都需要做这个测试，这些数据才能向用户清楚地表明软件的性能。可以说这也反映了整个杀毒行业对卡巴的认可程度，所以这样的测试是不能不做的，希望微点也能拿出这样的数据。 ） 虚拟机的最大问题我认为是再执行效率上，大家可以去看看我前面的帖子，我的看法是随便硬件环境的飞速提升，特别是双核技术和一些增加了优化虚拟机指令的CPU上市，会令虚拟机的效率得以快速提高，不在成为制约它发展得瓶颈。       所以我更看好以虚拟机为基础的启发式扫描，当然行为分析可以作为一种辅助的技术在杀毒领域一显身手。       最后，我跟你一样，衷心希望微点能在今年11月的国际反病毒软件对未知病毒扫描测试中击败NOD32，用事实来否定我们对微点技术的质疑。 ※ ※ ※ 本文纯属【calm_cs】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-9-4 09:51 反黑先锋 版主 RUNWAY 积分 2901 发帖 2857 注册 2006-6-17 #78     Quote: Originally posted by calm_cs at 2006-9-4 09:51: 一上班看到很多朋友的回帖，好呀，大家讨论的氛围很好呀。我非常同意79楼朋友对启发式和行为分析两种技术的对比分析。特别是“因为卡巴斯基虽然增加了一个“虚拟机”研发项目，但其行为引擎却允许病毒全程执行完自 ... 朋友来啦 等的你好辛苦啊  支持你。 ※ ※ ※ 本文纯属【反黑先锋】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 荣先祥藏头诗《赞东方微点》 东风欣传好消息 方策独步世所稀 微妙玄机嵌主动 点睛灭毒堪神笔 2006-9-4 09:54 calm_cs 新手上路 积分 44 发帖 44 注册 2006-8-26 #79  致 nasdaq朋友： 我在前面的帖子已经说过了，启发式扫描同样可以用于实时监控，而且很多著名的传统杀毒软件就是这么做的，它的效率肯定比特征码扫描和主动防御要低，但是随着硬件技术的进步，它的效率瓶颈应该会被很好地解决。       我是觉得硬件的进步要比一种思想的突破来要容易得多。从计算机的发展来看，以CPU为代表的硬件技术已经更新换代了多少，速度又提高了多少倍，可是我们仍处于冯罗依曼提出的计算机的架构中。同样，要想使杀毒软件更加只能远比利用改善硬件来解决虚拟机的效率问题要复杂得多，困难得多。       所以我觉得以虚拟机为基础的启发式扫描更有可能成为未来杀毒软件采用的主要杀毒技术。而且AMD和Inter都在它们推出的新的CPU中增加了对虚拟机的支持，它们也是看好虚拟机的各种应用的。 ※ ※ ※ 本文纯属【calm_cs】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-9-4 10:04 nasdaq 版主 版主 积分 1140 发帖 1118 注册 2006-4-6 #80   感谢来了几位朋友参与讨论 我昨晚上突然想到一个问题，想向大家咨询一下： 卡巴的虚拟机是一种简化型的虚拟机。所以我想，在简化型虚拟机中进行的行为引擎测试，其探针数量和拾取点都要略逊于windows下的实时行为引擎的。 我能否做一下推论：实时引擎由于其拾取点和完全windows环境的先天性优势，其理论上的综合识别未知病毒的能力要高于虚拟机中的简化行为引擎呢？ ※ ※ ※ 本文纯属【nasdaq】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-9-4 15:49  551   8/56   |<   <   4   5   6   7   8   9   10   11   12   >   >|  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号