» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点软件使用交流 » 是驴是马？——剖析微点主动防御软件（转自FF）   作者: 标题: 是驴是马？——剖析微点主动防御软件（转自FF） bug 注册用户 积分 50 发帖 50 注册 2006-9-9 #1  是驴是马？——剖析微点主动防御软件（转自FF） 随着计算机病毒的发展，传统特征码识别技术在花样百出的病毒面前显得有些力不从心，所以，近年来启发式、HIPS等反未知病毒技术逐渐被广大网民认识。其实，对于计算机病毒的主动防御技术在很早就被人们重视，但研发过程中都有各种各样的困难，以致于主动防御发展缓慢。而一年前，我国反病毒专家刘旭声称主动防御技术研发成功，并开发出微点主动防御软件，在网络上掀起热潮。在随后的一年公测中，微点主动防御软件遇到的有褒奖，也有质疑。到底微点主动防御软件如何工作呢？说实话，敝人也并不得知，仅仅是妄加猜测，现将敝人愚见写在下面，欢迎讨论。 一、已知病毒查杀：传统特征码识别。这很简单，就算声称主动防御，也不能脱离传统的特征码识别。微点主动防御软件内置一块很小的病毒库，支持在线更新，作为主动防御的辅助查杀，这儿就不再多说。 二、未知病毒查杀：程序控制（主）、文件监控（辅）、注册表监控（辅）。 1、程序控制：类似HIPS中的AD。在一般的HIPS中，每创建一个线程，AD就会询问用户。一个程序一有点小动作，AD也会询问。而微点不一样：线程你可以随便创建（前提是通过特征码检测），但创建之后不能干坏事。所以就免去了频繁的询问。如果发现已运行的某个程序有可疑行为，则比对白名单（我估计这个名单使用了文件特征码（非md5）、数字签名等验证，以至于木马几乎不可能伪装成白名单里的程序）。如果符合白名单里的程序，则自动放行；如果不符合白名单里的程序，则结合文件监控和注册表监控报警。当然，大部分正常程序是没有可疑动作的，所以微点的白名单不需要很大，但同时需要更新。 2、文件监控：类似HIPS中的FD。我个人认为微点的文件监控与HIPS中的FD有很大区别。微点重于监视，而并不重于询问、阻挡。这是因为微点的防御核心是它的程序控制。举个例子：病毒文件“a.exe”试图在“windows”文件夹下生成病毒文件“b.dll”，而“b.dll”试图注入到正常程序“c.exe”。当“a.exe”在“windows”文件夹生成“b.dll”时，微点不报警，只是将其记录下来，因为这个动作是无害的（我想要是Parador发现有dll生成在windows下一定会报警了吧）。而当“b.dll”试图注入到“c.exe”时，由于这是一种可疑行为，这时便被微点的程序控制所监控，微点立即查询白名单里是否有“b.dll”，如果有，则放行；如果没有，则查询有无程序生成这个“b.dll”，那么，因为前面微点的文件监控记录到“a.exe”生成了“b.dll”，所以微点就报警“发现未知木马a.exe，该木马生成文件C:\WINDOWS\b.dll，是否删除木马及其衍生物”。所以，明明是程序控制与文件监控的结合，但在很多人眼里，却误以为微点是个滥竽充数的FD。当然，如果“a.exe”一开始就做类似于修改系统文件这种有害的事，我想微点的文件监控还是要报警的。 3、注册表监控：类此HIPS中的RD。与微点文件监控大致相同，微点的注册表监控=监视+保护。运作原理同上面的文件监控一样，就不多说了。 以上纯属个人猜测，可能不正确，但至少我个人认为说得通。为了直观，我随手用“画图”画了个草图，相当混乱，各位就将就点吧： 大家要明白一点，微点需要面向大众，所以不可能像HIPS那样频繁询问，所以与一般HIPS区别很大。当然，主动防御是一项复杂技术，各国反病毒机构都有很长一段路要走，但既然微点在我国大声提倡主动防御，我们还是应该报支持的态度，毕竟在国内应用该项技术的安全软件不多。 ※ ※ ※ 本文纯属【bug】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-11-19 21:02 bbccyc 新手上路 积分 40 发帖 40 注册 2006-10-24 #2  很有道理啊 ※ ※ ※ 本文纯属【bbccyc】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-11-19 21:36 fujianwzh 中级用户 积分 252 发帖 216 注册 2006-8-17 #3   楼主在分析的时候还是将微点最后划入了传统杀毒软件的范畴。 楼主在固执地认为微点只是一个将多种传统反病毒技术融合的新型软件，这一点我不敢苟同。 根据本人这两三个月来的试用，我认为微点最重要的特点被楼主严重忽视。 应该说微点最重要的特点是对API的监控。 用微点的话来说，就是程序行为的监控。 ----------------------------------------------------------------------------- 不好意思，没注意看，这个只是转贴，错误认为是楼主原创，特此说明，非有意为之 [ Last edited by fujianwzh on 2006-11-20 at 02:52 ] ※ ※ ※ 本文纯属【fujianwzh】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ Google的后花园 →Googlegarden.blogspot.com 软件搜搜 soso  →Softsoso.blogspot.com 2006-11-20 02:50 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号