微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » [个人推测]微点主动防御机制  

作者:
标题: [个人推测]微点主动防御机制
kihong
新手上路




积分 13
发帖 13
注册 2008-1-10
#1  [个人推测]微点主动防御机制

以下仅是个人推测

看了《主动防御不可能完成的任务》后,我对微点的主动防御机制比较感兴趣。按照我看,其实《主》文中主要是质疑微点的防御流程,即作者假定微点是根据病毒行为来判断病毒的,而由于一些行为可被病毒使用,也会被正常程序所使用,所以微点的主动防御是站不住脚的,很难达到彻底遏制病毒的作用。

而稍微了解一点计算机知识的人都知道,病毒是通过完成一系列的动作从而产生病毒行为。虽然这样一个从发作到产生破坏力的时间很短,但这样一个过程是客观存在的。而我个人觉得,微点的主动防御机制并不是《主》文中作者所说的,是根据病毒行为来判断的。

在微点绞杀病毒的时候(为了更好地排除特征码的影响,这里只指未知病毒),如果我们仔细检查微点的日志,我们会发现,微点对病毒的绞杀是慢于病毒程序的运行,早于病毒产生破坏力。打个比方,甲准备谋杀乙,整个谋杀过程是甲把手伸进口袋,掏出枪,对准乙,开枪,而微点的防御是在甲已经开枪之后子弹射中乙之前。

到这里我们应该理解,微点防御的点是在病毒产生破坏之后,换句话说,如果上例中的甲手中的只是一把水枪,那么不管他模仿得再像,由于不会对乙产生威胁,所以微点并不会对它有任何反击措施。

而我们可以把甲理解为未知程序,乙理解为操作系统,掏真枪理解为是病毒,掏水枪是正常程序,早期的微点之所以频繁报警,是因为他监控的点落在“对准乙”而不是“开枪”。

我觉得,微点的最关键核心技术应该不算主动防御(这也是核心技术),而应该是对病毒的拦截行为(即能在病毒开始产生破坏作用时及时终止病毒进程)。至于所谓的主动防御,其实也只是一套行为规则,与特征码技术相比是大同(都是要对比)小异(代码识别与行为识别),要设置一套监控到点的规则不是难事,难就难在能否及时进行拦截。

用一句话来说,“哪怕你掏出枪来,只要你不开枪,我不会理你,但你一开枪,我就连你的子弹和你一起干掉。”这应该就是微点的强大之处吧。

※ ※ ※ 本文纯属【kihong】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-2 18:02
查看资料  发送邮件  发短消息   编辑帖子
liudaxue2008
中级用户




积分 402
发帖 402
注册 2007-11-6
来自 苏州
#2  

我认同楼住

※ ※ ※ 本文纯属【liudaxue2008】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[img]http://bbs.micropoint.com.cn/images/logo.gif[/img]
2008-3-2 18:47
查看资料  发送邮件  发短消息  QQ   编辑帖子
kihong
新手上路




积分 13
发帖 13
注册 2008-1-10
#3  

版主不发表下吗?

※ ※ ※ 本文纯属【kihong】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-6 13:10
查看资料  发送邮件  发短消息   编辑帖子
046569
版主

第五城市市长


积分 190
发帖 196
注册 2007-8-13
#4  

个人感觉楼主的说法站不住脚。
首先,基于个人的测试,微点很可能并没有沙盘。微点判断病毒需要根据一系列的步骤,所以会晚于病毒操作,这是很致命的。
其次,通过长期使用可以发现,微点类似一个智能型HIPS,拥有强大的规则。但HIPS的弱点是个性化强,所以容易出现误报情况。微点通过设置了例外规则来解决误报问题。但这一操作会有可能带来隐患。
我一直对微点很感兴趣,正在探索其原理。如果你对这也感兴趣的话,可以联系我。QQ:41412418

※ ※ ※ 本文纯属【046569】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-6 21:11
查看资料  访问主页  发短消息   编辑帖子
saysm
新手上路





积分 5
发帖 5
注册 2008-3-6
#5  

LZ的话是有些道理的.  但你说的甲乙所做的时间和地点,都只是你眼中看到的,和个人反应有关系.
如果甲乙所做的一切都要向一个丙汇报,他要做的动作.你说什么怎么样?
CPU又是一个时间轮转的东西.     掏枪的动作,如果在CPU中完成要100个动作的话.
那是可以有时间做反应的,就算只有5个动作:  我列一9个.
1.手伸进口袋.
2.手拿住了枪.
3.拔出口袋.
4.甲指向乙.
5.描准了.
6.开枪.
7.子弹飞去.
8.子弹中了乙.
9.乙死亡.
当枪出来了.CPU轮转是绝对有时间,让甲停止的.   系统是那个世界的一切

※ ※ ※ 本文纯属【saysm】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-6 23:57
查看资料  发送邮件  发短消息   编辑帖子
kesnet
新手上路





积分 20
发帖 20
注册 2007-6-28
来自 xm
#6  

哈,比方打的够好,不过微点应该不具备楼主所说的能力!

※ ※ ※ 本文纯属【kesnet】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

http://kesnet.cn
2008-3-7 09:04
查看资料  访问主页  发短消息   编辑帖子
yjwfn502
新手上路





积分 14
发帖 14
注册 2008-3-10
#7  

如果是这样的话,微点反映慢一点点,就完了。。

※ ※ ※ 本文纯属【yjwfn502】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-11 12:05
查看资料  发送邮件  发短消息   编辑帖子
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#8  

事实上一句话!微点了不起的是他的Ai,关于上述几个朋友所提到的有效阻塞问题,原先我也担心过,但目前在我看来,微点做得很好!基本可以不用太在意这个问题。

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※


让自己更加睿智,其实看透了!你就放下了!
2008-3-12 10:25
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号