nasdaq
版主
版主
积分 1140
发帖 1118
注册 2006-4-6
|
#81 致 calm_cs朋友
呵呵,我承认您说的那种虚拟机+启发式可以应用于实时监控。
但是我认为,虚拟机的效率问题是受其体制影响的,永远也不能很好地解决。
虚拟机:先完整的预运行一遍程序,再处理。
实时引擎:边运行边处理。
差距太明显了,预运行程序的时间消耗量是远远超过随后的行为分析和处理的
体制的特点,使得虚拟机有极其优异的安全特性,但是永远不可能实现高效率。因为预运行程序的时间,是不可控制的。
对于您说的,通过CPU指令的优化来提高虚拟机效率,我个人意见是将极大地改善用户体验,因为肯定不会像指令未优化之前那么卡了。但是,杀毒速度和实施监控的效率,是无法根本转变的,最多只是有所改善而已。
|
※ ※ ※ 本文纯属【nasdaq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-9-4 15:57 |
|
nasdaq
版主
版主
积分 1140
发帖 1118
注册 2006-4-6
|
#82
又来了一位高手——LjhEARTH,呵呵,100楼有望了
越发地觉得自己在虚拟机知识上的单薄,老老实实去看calm_cs发的资料吧
|
※ ※ ※ 本文纯属【nasdaq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-9-4 16:08 |
|
calm_cs
新手上路
积分 44
发帖 44
注册 2006-8-26
|
#83 版主说:nasdaq是个好同志 :)
nasdaq朋友可以去看看虚拟机的资料,其实所谓的病毒程序在虚拟机上运行,并不是像你想象的那样如同在真实的环境中那样完全地执行,其具体的运行流程十分的复杂,而且不同的杀毒软件也采用不同的虚拟机设计策略以达到一种执行效率与病毒查杀率的平衡,我们可以简单的认为病毒是运行在一个简易的不完全的环境里。这是虚拟机设计的难点,也是检验一个虚拟机水平高低的重要标准。我只看了一些简单的虚拟机代码,所以也不能讲得更加深入了。有兴趣得朋友可以去查查相关得资料,然后放到这里来,大家一起学习一下。
至于效率问题,我是这样看的。打个比方,两台机器,如果进XP系统的时间分别为10和15,我想用户是不会太在意这个时间。我要强调的是,随着虚拟机设计的优化和硬件技术的提高,其执行效率必将达到一个用户完全可以接受的地步。
如果不采用虚拟机技术,在杀毒时会有很多的弊端,我以前的帖子和LjhEARTH朋友的帖子里都有说明,感兴趣的朋友可以去看看,更希望大家能提出自己的想法,大家好好讨论讨论哈。
|
※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-9-4 16:38 |
|
aidi
中级用户
新手上路
积分 256
发帖 221
注册 2006-3-6
|
#84 回复#68楼朋友
"......关于aidi朋友对微点引擎自动提取病毒特征码的说法,我有自己的看法。我觉得没有虚拟机的脱壳帮助......“
不好意思这两天回家休息了,没有及时回复你的帖子;
还是那个话题,对于加了壳的病毒,加壳的目的只是为了躲开传统特征值扫描,在他要发挥病毒的行为时同样要,脱下那些壳才可以;而我理解的微点正是在他脱了壳之后才发现他的,这时微点应该是先把它挂住了,然后提示用户操作,选择删除后微点会先提取他的特征码然后再删除病毒;正与你所说杀软的虚拟机技术并不是完整的虚拟机,更向是一个通用的解码器。很多的病毒正式利用这一点,开发了很多反虚拟机的技术,这时虚拟机就发挥不了他的作用了;
在此更正一下,主动防御是不依赖于传统病毒特征码库的,所以关于那个提取特征,只是为了更高效率的拦截病毒,并为病毒赋予具体的名称,差点被你误导。
|
※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-9-4 17:03 |
|
calm_cs
新手上路
积分 44
发帖 44
注册 2006-8-26
|
#85 TO aidi
主动防御是不能判断病毒是否已经脱壳,因为它不能想虚拟机技术一样监控病毒的每一步运行,并且分析病毒的指令。病毒是可以先解密一部分代码,运行后,加密,在解密另一部分代码.......,在微点判断程序为病毒时,它只有一部分代码是被解密了的,更为严重的问题是这部份代码也许是一个通用的操作,如读写文件操作,这样微点抓出来的特征码就是不准确,因为它没能抓住病毒本体的特征码。
|
※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-9-4 17:56 |
|
一个人的旅行
中级用户
新手上路
积分 379
发帖 365
注册 2005-11-2
|
#86
"主动防御是不能判断病毒是否已经脱壳"
其实,主动防御根本不需要知道是否已经脱壳,它是根据行为来判断的
看来你还没有完全理解"主动防御"这个新生事物
|
※ ※ ※ 本文纯属【一个人的旅行】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-9-5 12:31 |
|
calm_cs
新手上路
积分 44
发帖 44
注册 2006-8-26
|
#87
89楼的朋友可以看看我和aidi前面的帖子,了解一下我们争论的是什么问题嘛。根据aidi和另外一些朋友的看法,微点具有自动提取病毒特征码的功能,要实现这个功能当然要考虑病毒脱壳的问题。
|
※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-9-5 13:55 |
|
zqrsc
版主
反病毒区版主
积分 1133
发帖 1118
注册 2005-11-22 来自 .net
|
#88
不论是脱壳后立即加密 还是 内存重新装配..
要完成任务诉求,就要保留完整的程序影像,微点实时的监控引擎,可以不用考虑怎么样变形.怎么样偏移,只需要等待完整的运行影像,拦截并提取特征就行. 带壳运行的样本还没发现过~
再怎么样复杂的壳,你总的先自己脱出来再运行吧?
呵呵~
|
※ ※ ※ 本文纯属【zqrsc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~ |
|
|
2006-9-5 14:21 |
|
calm_cs
新手上路
积分 44
发帖 44
注册 2006-8-26
|
#89
zprsc的朋友可能没有跟过这样的加密程序,其实不需要有什么“完整的程序影像”,因为程序可以对内存里的代码执行加密,所以你在每个时间点都不能看到它的完全的解密代码。你可以用softice去跟一下一种叫Tages的光盘保护的驱动文件,它就是用的这种处理方式,你可以看到你内存中的代码执行前后一致,可执行时确是经过运算处理后的代码。
|
※ ※ ※ 本文纯属【calm_cs】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-9-5 14:53 |
|
zqrsc
版主
反病毒区版主
积分 1133
发帖 1118
注册 2005-11-22 来自 .net
|
#90
呵呵~~关于光盘保护技术 楼上是行家 这个俺的确没跟过。。
去学习下
|
※ ※ ※ 本文纯属【zqrsc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~ |
|
|
2006-9-6 13:41 |
|