微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 我个人猜测墨者主动免疫软件是沙盘式HIPS(我没有推荐它的意思)  

作者:
标题: 我个人猜测墨者主动免疫软件是沙盘式HIPS(我没有推荐它的意思)
Alpha_Boy
中级用户





积分 235
发帖 225
注册 2008-5-17
#1  我个人猜测墨者主动免疫软件是沙盘式HIPS(我没有推荐它的意思)

我个人猜测墨者主动免疫软件是沙盘式HIPS(我没有推荐它的意思,纯粹是给微点厂商提个醒而已,你们的个人版产品出现竞争对手了)

1、很简单,其批量添加“自动提权”功能就是Defence Wall HIPS的加入Trust(可信)程序列表。凡是被加入列表的程序都在实机中运行。

2、凡是没有被加入列表的程序都相当于Defence Wall HIPS的UnTrust(不可信)程序,默认都是强制在沙盘隔离区中运行的——此时你的鼠标右键菜单中的“打开”选项其实相当于魔法盾的在沙盘中运行该程序的选项。

也就是说,墨者会“强制”将未被用户添加入可信列表的程序运行在它自带的沙盘中。

安装墨者后,其添加的鼠标右键菜单“使用管理员权限打开”,其实就是原来系统外壳(Explorer.exe)中默认的那个“打开”选项罢了。

呵呵,我以前的思路就是被这个“管理员权限”给误导了-.-

3、我相信墨者的沙盘内置了一套自动拦截规则,一旦某个可疑程序满足了该规则中的触发点,就会被墨者自动拦截——所以说它也是带HIPS模块的。

对于一些比较明显的恶意行为,比如往Explorer加挂键盘记录器模块什么的,它是会向用户报警的。

4、通过OEM(以批发价采购?)趋势科技的独立版(简化版?)杀毒软件和风云防火墙,墨者以较低成本解决了其自身无法准确判断一个程序是否为病毒的“先天”缺陷。

5、墨者里面的拦截规则可能参考了微软的组策略的设置思路,但它绝对不是往系统的组策略上面加壳——理由是,微软的组策略是其Windows NT系列产品的一大卖点,是优先级最高的Ring0级别的东西,

因此,要改变当前用户的权限,是必须要“软”重启(注销)Windows系统一次的——一个通过加壳来实现该功能的软件,是不可能跳过“注销”这个步骤的。

6、Ring0级的东西轻易也不会和世界之窗苦菜花优化版这种应用程序级的小软件发生冲突,后者根本没有和前者冲突的资格。

而沙盘却有这个可能——所以墨者中自带的沙盘,其稳定性还有待提高……

7、按我这个思路推导下去的话,其实微点也是一个自动型、沙盘式HIPS——不过,它还同时带有杀软的“文件监控和隔离”模块(用来在沙盘中加载驱动程序前进行预先扫描,可降低其内置沙盘被驱动级恶意程序攻破的概率),

一个内置防火墙——其中还附有机正在使用的网络程序欲连接的IP地址与物理地址转换模块(配合显IPQQ,能在一定程度上实现QQ反隐身的目的),

>200套的反误报规则,可能近千套或更多的反恶意程序(包括但不限于病毒、木马、间谍软件、远程控制程序、键盘记录器等等)规则……

所以微点这个“N in 1”的产品开机占用48MB内存绝对是“物有所值”的——它不怎么占CPU,再加上完善的通用反误报规则,所以在日常应用中不会给用户“怎么越用越卡”的不快感……

不过,为了卸载各种不算是病毒或木马的流氓软件,用微点的朋友最好还是在电脑里装一个360安全卫士或者超级兔子为好。

8、前两天我在另一篇文章里说Windows优化大师是扫描最精确的第三防漏洞补丁修复工具,呵,这个结论也是有问题的。

其实它是在给系统中的“Windows Update”服务加壳和加一些过滤规则(比如过滤掉对一般用户来说无用的IE7和WMP11升级补丁),即使你在services.msc中把该服务设定为“已禁用”和“停用”,当你使用大师中的漏洞修复工具时——该服务也会被临时启动一次。

怪不得它扫描精度那么高呢——根本就是在直接“道”版微软的安全更新的扫描结果。

这也是一种低成本的开发思路——只是,这样也算是第“三”方漏洞修复工具吗?这样恐怕还是会被微软公司搜集到咱们的IP地址吧?

[ Last edited by Alpha_Boy on 2008-9-24 at 17:23 ]

※ ※ ※ 本文纯属【Alpha_Boy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-9-20 17:11
查看资料  发送邮件  发短消息   编辑帖子
xwems
新手上路





积分 19
发帖 22
注册 2006-9-8
#2  

楼主别发这个垃圾中的垃圾了,比病毒的破坏性还大的。它破坏磁盘分区,可能是写整个硬盘的。
想测试这个软件的,最好到虚拟机里去测试。

[ Last edited by xwems on 2008-9-20 at 19:25 ]

※ ※ ※ 本文纯属【xwems】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-9-20 19:24
查看资料  发短消息   编辑帖子
Alpha_Boy
中级用户





积分 235
发帖 225
注册 2008-5-17
#3  

沙盘、影子系统、还原精灵那一类的东西都有可能造成你的电脑在热启后蓝屏并且启动磁盘扫描。

这不算什么大不了的事情,其产品不成熟而已。

如果楼上的认为这就算垃圾的话,那么,同样具有少量磁盘数据写入重定向技术的微点(用于数据回滚的迷你版沙盘?)恐怕也……

当然,微点是倾向于依靠HIPS的,其程序架构师可能和Defence Wall HIPS的原作者一样,

不太相信“写入重定向技术”的稳定性,更喜欢简单可靠的HIPS^.^

※ ※ ※ 本文纯属【Alpha_Boy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-9-20 19:34
查看资料  发送邮件  发短消息   编辑帖子
xwems
新手上路





积分 19
发帖 22
注册 2006-9-8
#4  

我用过沙盘、影子系统、还原精灵,也就是还原精灵写点,并不影响磁盘的正常使用。沙盘、影子系统,冰点,微点那些就更沾不上边了。

而这个墨者是个彻底的磁盘破坏者。所以想测试这个软件的,连影子系统下都不推荐,一定要到虚拟机里去测试。

[ Last edited by xwems on 2008-9-20 at 20:10 ]

※ ※ ※ 本文纯属【xwems】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-9-20 20:07
查看资料  发短消息   编辑帖子
cnzhanghj
新手上路





积分 12
发帖 12
注册 2008-7-26
#5  

墨者不是很好用。

※ ※ ※ 本文纯属【cnzhanghj】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-9-21 12:10
查看资料  发送邮件  发短消息   编辑帖子
jiangchao121
注册用户





积分 118
发帖 118
注册 2007-5-26
#6  

我不喜欢用墨者,不是初学者的杀毒利器!

※ ※ ※ 本文纯属【jiangchao121】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-9-23 16:03
查看资料  发送邮件  发短消息   编辑帖子
Alpha_Boy
中级用户





积分 235
发帖 225
注册 2008-5-17
#7  



  Quote:
Originally posted by xwems at 2008-9-20 20:07:
我用过沙盘、影子系统、还原精灵,也就是还原精灵写点,并不影响磁盘的正常使用。沙盘、影子系统,冰点,微点那些就更沾不上边了。

而这个墨者是个彻底的磁盘破坏者。所以想测试这个软件的,连影子系统下都不推 ...

这个,据说早期的微点使用了类似于PQ Magic的技术,会在用户的硬盘中创建隐藏分区什么的——后来有一些用户抱怨“微点怎么把我的硬盘空间弄没了?”,结果微点才取消了这个功能。

另外,为什么你说墨者是个彻底的磁盘破坏者呢?理论依据是什么,你用什么软件跟踪到它重写MBR或FAT了?

我不会用什么专业软件,所以也不敢否认你这个结论。

卡饭论坛上有人说,墨者其实就是调用了XP系统中的一个叫什么“secure”的服务,来实现傻瓜式的组策略限制功能,

他认为,墨者里面连沙盘都没有,是个纯粹的低技术商业产品-.-

呵呵,一堆专业的人发表了一堆专业的意见,我都不知道我这种半调子的老用户该听谁的。

※ ※ ※ 本文纯属【Alpha_Boy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-9-24 17:07
查看资料  发送邮件  发短消息   编辑帖子
xwems
新手上路





积分 19
发帖 22
注册 2006-9-8
#8  

我是个软件迷,并不是什么专业的,经常测试,积累了一点基础经验和知识而已。测试过影子系统和冰点还原精灵,这2个还可以的,兼容性和实用性很好的,但确实过不了机器狗病毒。用沙盘还不如用软件策略。
软件策略,我只把IE设置为基本用户,即使不用杀毒软件,不乱装软件的话,那么系统基本是安全的。所以我一直就用这么一条策略,当测试“墨者”的时候,开启了它的保护,突然发现我的软件策略失效了,我还原系统后,软件策略在系统盘这个分区有效,而在其他盘的根盘下却没有效果了。
于是我把其他分区格式化,这时,软件策略保护的各根盘就有效了。这说明是墨者破坏了全盘的磁盘分区结构。

我试用了半小时“墨者”,发现“墨者”2个特点,不知是好是坏,我是看不不上眼的,1,是自动把已安装的程序设置成基本用户的样子,2,遇到病毒调用程序时就自动注销或者重启。
就“墨者”的保护功效来说,还不能装软件,连管理员权限也没有。还不如自己彻底的设置一个软件策略,整个设置成基本用户,只开启有用的那么几个进程和程序,那么病毒也同样运行不起来,岂不是更安全?至于“墨者”的提升权限,还不如自己做不受限的权限。
即使不破坏磁盘分区结构的话,总的来说,还不如软件策略的。

※ ※ ※ 本文纯属【xwems】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-9-26 23:24
查看资料  发短消息   编辑帖子
xijiagao
新手上路





积分 5
发帖 5
注册 2008-5-9
#9  



  Quote:
Originally posted by Alpha_Boy at 2008-9-24 17:07:


这个,据说早期的微点使用了类似于PQ Magic的技术,会在用户的硬盘中创建隐藏分区什么的——后来有一些用户抱怨“微点怎么把我的硬盘空间弄没了?”,结果微点才取消了这个功能。

另外,为什么你说墨者是个 ...

哪跟哪儿 你好像在偏袒墨者 撇开那些复杂的技术不谈 大家试用下来发觉墨者不好 那么它就是不太好用或者还有问题  再说了即使两个软件用的是同一种技术 那也有好坏之分啊 所以我的结论是 大家都认为墨者不好

※ ※ ※ 本文纯属【xijiagao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-10-2 22:22
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号