微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点软件使用交流 » 简析对于行为分析的误解  

作者:
标题: 简析对于行为分析的误解
nasdaq
版主

版主


积分 1140
发帖 1118
注册 2006-4-6
#1  简析对于行为分析的误解

本帖试图进行技术探讨,对事不对人,谢绝第三方挑事,谢谢。

翻帖子的时候看到这样一种说法“当病毒活动了,机器也就染毒了,微点同时才出现,好象不如先清除了好,所以建议微点应该加入扫描技术”,这种想法应该说代表了很多网友的真实想法。我们分两部分来详细讨论一下。

1.“好象不如先清除了好,所以建议微点应该加入扫描技术”
这个提法很对,从程序效率上讲,在病毒加载前杀毒确实比病毒加载后杀毒的效率要高。道理很容易懂,特征码只扫描几个点,而病毒加载是要读取全部程序并进行初始化,所以单论处理速度的话,行为判断必然要低于特征码扫描。所以说微点在监控中加入了特征码判断来提高整体程序的运行效率和杀毒效率。而采用实时行为引擎的意义,不用多说了,大家都明白,特征码对“未知病毒”无能为力,所以行为监控是必须的。结合到微点主动防御系统上,就是我们目前看到的形态,已知特征扫描、未知特征扫描、行为判断三部曲。

在实时监控上微点的技术原理架构和实际效果绝对是目前最出色的。我和某些朋友想法不太一样,我觉得一个完善的实时监控系统是保护系统安全最重要的途径,如果实时监控比较完善,那么扫描可以说是多余的。因为只有在实时监控漏报的情况下,扫描才有价值。所以我个人对微点以后将推出的扫描引擎并不是很热衷。不过,每个人都有不同的使用习惯和想法,我不需要并不等于别人不需要。微点能虚心接受用户的建议,努力满足用户的需要,这点还是值得鼓励的。

PS:有的朋友觉得 主动防御==行为分析,我个人不太赞同这个提法,我觉得主动防御>>行为分析,主动防御是一种综合性架构体系,至少包括特征扫描、行为分析、本地特征自动提取、系统辅助分析功能(主要是工具和日志)等等。鉴于微点主动防御架构的先进性,所以心随风落那篇中天第一热帖《微点与其他杀软对三大论坛的样本测试报告》中出现的悬殊差距也是很必然的了。我个人最期待的是卡巴、江民、McAfee把它们的“手动防御”尽快升级为主动防御,然后来一场真正意义的比拼低误报的PK。目前只有微点一个主动防御产品,想不给微点封老大都不行。。。

2.“当病毒活动了,机器也就染毒了,微点同时才出现”
这个提法是不科学的,但是大家这样想也是很正常的,因为学过编程懂得程序运行机理的人只是少数。为什么说这个提法有问题呢?因为在Windows下,程序其实是不能真正意义直接运行的,程序运行实际上是通过API接口通知Windows内核,由Windows负责真正的执行。

我理解微点的监控部分是工作在应用程序和系统内核之间,而微点的执行层则嵌入windows内核,这样就实现了微点目前的形态,实时监控程序行为,在发现异常时以系统内核权限强行中止病毒进程。也就是说在病毒发挥破坏作用前的一刹那微点报警发挥作用,由于微点阻止了病毒把破坏行为传递给windows内核,所以实际上在微点报警并拦截病毒的那一刹那,病毒并没有真正意义上的执行,破坏性为、染毒也就无从谈起。

所以说微点的行为监控,貌似惊险,但是技术原理上是绝对安全的。为了帮大家理解这个API Hook的原理,我设计了一个小实验,请有兴趣的朋友自行实验,我懒得抓图了,哪位朋友方便帮我补上吧。

实验工具:
注册表编辑器Regedit.exe  IE属性  微点注册表保护

实验步骤:
(1)用微点注册表保护功能保护IE主页
(2)打开IE属性修改IE主页
(3)应用IE属性,试图保存修改后的IE主页
(4)微点弹出报警提示框,选择阻止
(5)打开注册表编辑器Regedit.exe,定位到IE主页的键值查看IE主页是否被修改。
相关键值:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

结论:IE属性中当前显示的结果属于表面的假象,如果要想真正意义的修改掉IE主页,那么必须要应用IE属性改掉注册表的相关键值。而在注册表编辑器中我们看到IE主页的键值并没有发生变化,也就是说微点把IE属性修改IE主页这个行为给拦截了下来,使得这个行为并没有送达windows内核,所以注册表中的键值没有发生变化。这样,就证实了行为监控拦截技术的可行性。程序的行为很复杂,注册表这个行为比较直观易懂,其余的程序行为可以类推。所以说基于行为监控的技术是可以实现双击加载病毒后,安全清除病毒而不被感染的。


上面我是以微点为例进行说明,大家可以使用不同的软件来做这个测试,HIPS的SSM、GSS、McAfee、卡巴、江民2007应该都可以做实验的。


下面转几个中天网友 bridgewr 帮助做的抓图
原帖链接:
http://bbs.366tian.net/thread-563381-1-1.html

首先我把微点的主页保护开启



现在打开ie






对主页进行修改



现在我们看看是不是像楼主所说的那样



微点能否把要修改的注册表项详细说一下就更好了,现在我们在注册表里看看主页是否被修改了


※ ※ ※ 本文纯属【nasdaq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-31 13:56
查看资料  发短消息   编辑帖子
rocket
注册用户





积分 61
发帖 61
注册 2007-1-31
来自 广东
#2  

楼上想必是高手,可以这样帮微点做检测,而我就只停留在表面的测试,实在惭愧,不过说实在,如果没有扫描的话,那样的确很尴尬,那些并没有激发的毒就一直在硬盘里面呆着……

※ ※ ※ 本文纯属【rocket】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-31 14:06
查看资料  发短消息   编辑帖子
linovo
中级用户




积分 346
发帖 334
注册 2006-12-9
#3  

nasdaq这篇主题写得很好,自己的帖子肯定达不到这个水平^_^,楼主打了这么多字也辛苦啦^_^!我摘取文章中几个观点,说说自己的看法:

  Quote:
目前只有微点一个主动防御产品,想不给微点封老大都不行。。。

相对而言,主动防御目前最成熟的是微点,准没错^_^,但卡巴和国内的费尔在主动防御方面的实力也不容忽视(这不是自己第一手材料^_^,是根据一些论坛的网友反映的),费尔最新版我用了几天,谈不上了解很深,但有一次病毒测试,我发现金山、费尔都对样本能准确报病毒名,而微点报未知,晚了一天才能报出病毒名,要知道,费尔是防火墙来的,可见,在病毒库收集方面费尔也不弱,主动防御工作原理也跟微点很类似。费尔和微点哪个对未知病毒查杀更厉害,我没对比过,然而进程保护微点胜它几筹。

  Quote:
我觉得一个完善的实时监控系统是保护系统安全最重要的途径,如果实时监控比较完善,那么扫描可以说是多余的。因为只有在实时监控漏报的情况下,扫描才有价值。所以我个人对微点以后将推出的扫描引擎并不是很热衷……我不需要并不等于别人不需要。微点能虚心接受用户的建议,努力满足用户的需要……

我没用微点之前根本不知道主动防御是何方神圣^_^,一开始用微点认为微点是神^_^,看了llcracker写的《主动防御不可完成的任务》那个主题和较深入的使用后,又觉得微点还是人一个^_^,毕竟世界上没有大家要的神!
   行为判断的优点是可以查杀不少未知病毒,优点我就不多说了,着重说一下它的缺点:
1、行为判断和特征扫描都对驱动级病毒和内核级病毒很难拦,很难彻底清除,但特征码扫描还有一个应急杀毒,虽然麻烦一些,起码能弥补一下,特别是江民推出的bootscan在人性化和易用性方面做得越来越好。将来可能有更多病毒专门针对微点、针对行为判断,例如中了这类病毒才想装微点,它特别炮制一种方法阻止你安装,微点要杀毒,必须安装重启才能杀,而瑞星可以在装之前进行内存杀毒,并且有安装包制作功能,能集成最新病毒库进行扫描。微点的行为判断工作机制很难在安装时杀毒。我个人倾向于赞同微点增加硬盘扫描模块,很想看一下它的庐山真面目^_^。多种杀毒方式立体防毒,可以起到取长补短、相辅相成的效果,但代价可能是想面面俱到,却变成面面都不精,不够专业了,毕竟人的能力、研发人员均有限。
2、微点现在的主动防御没有硬盘扫描功能,对许多个人用户来说影响不大,只要开着微点,病毒一加载便可清理,没发作的病毒算是垃圾。但对企业用户和不少特殊情况下,硬盘扫描尤其重要。例如有一大堆文件给病毒感染,这时候又要把文件复制给客户,难道要一个个激活然后等微点来清理吗,或者对客户说,我这些文件均有毒,但不用怕,只要你有微点,他会将它们赶尽杀绝的^_^。显然这时候有硬盘扫描就能大显神威了,而主动防御清理病毒会非常耗时,所以微点推不推出硬盘扫描,还要看它的市场定位。

  Quote:
鉴于微点主动防御架构的先进性,所以心随风落那篇中天第一热帖《微点与其他杀软对三大论坛的样本测试报告》中出现的悬殊差距也是很必然的了。

先说一件事,把大概情况说一下,有些忘了^_^。我曾经在江民论坛看到有用户对江民2007进行抱怨和指责——为什么江民2007查杀老病毒的数量居然比不上江民2004,并且粘贴图片和数据上来,好让江民的版主心服口服^_^。记得蓝血人版主是这样回答的:为了优化病毒库,提高查杀效率,江民在新版设计时会把一些极少发作的老病毒从病毒库中剔除。我觉得有点道理。而一些用户就马上反驳,那岂不是我们不用怕新病毒,反而要怕老病毒了……
微点的主动防御对付老病毒的确很有优势,它可以不升级病毒库,只需要把病毒行为加到行为库中,无论你怎样换马甲,理论上微点都可以干掉,付出的代价是会有误报。
   另外,微点虽然可以无需频繁升级病毒库,但为了减少误报,却需要频繁更新白名单,走出一个泥潭又陷入另一个泥潭——二律背反。还有微点主界面的进程查看中对各种进程分得非常细,有系统进程、安全软件进程、其他进程、行业软件进程等等,显然又需要人手对数据进行经常更新。

※ ※ ※ 本文纯属【linovo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-31 16:29
查看资料  发短消息  QQ   编辑帖子
wjker
中级用户





积分 229
发帖 225
注册 2006-5-15
#4  

一些人习惯于过去的特征码杀毒的模式,所以提出加入右键扫描.
这样会不会又回到原来的特征码杀毒时代呢?

※ ※ ※ 本文纯属【wjker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[b]我同事对我说:"我是好人,世界都知道!"我对所有人说,"我是坏人,全地球人都知道!"[/b]
2007-1-31 17:48
查看资料  发送邮件  发短消息  QQ   编辑帖子
rocket
注册用户





积分 61
发帖 61
注册 2007-1-31
来自 广东
#5  

我觉得并不会,我希望的是两者相结合,这样不是更好? 

※ ※ ※ 本文纯属【rocket】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-31 18:55
查看资料  发短消息   编辑帖子
nasdaq
版主

版主


积分 1140
发帖 1118
注册 2006-4-6
#6  

回linovo:
卡巴目前的“主动防御”形态是监控程序行为并附加有初步的行为分析,实用性还不行,所以卡巴把它的主动防御模块作为辅助功能,默认不开启。我比较期待下一个大版本的卡巴(7.X系列),那个时候应该会有一个质的飞跃。对于卡巴主动防御flo研究的比较早,具体你可以向他请教。flo可是高手,同时也喜欢安全技术。

不过阿,按照卡巴程序比较糙的传统,貌似主动防御系统这种精密活儿的精致性可能不会很理想。俄罗斯老毛子基础科学很好,思想也比较有创造性,但是具体办事的时候还是太糙了。卡巴误杀系统文件导致系统崩溃过去确实出现过的,即使老毛子最引以为傲的军工产业,同样也存在着糙的问题。我个人最推崇的飞机就是基于前苏联中央流体力学研究院研究成果搞出来的Su-27系列,不考虑隐身问题的话,Su-27的气动布局简直太完美了~!静不稳定的典范~!!但是阿但是,这么完美的飞机其最精密的部件AL-31F引擎稳定性很好,但是设计上仍然存在有瑕疵,中国引进生产歼-11的时候由我国科学家做校核的时候发现的问题。奶奶的,俄罗斯我就惦记三样东西一个Su-27,一个台风级潜艇,还有一个斯拉夫系的漂亮大姑娘(我更偏好斯洛文尼亚的)。

费尔我没用过,不能信口开河撒。不过在绅博看,口碑还行,产品我不太了解,但是据说费尔还是积极要求上进的,服务也不错,这点很好。不过阿,说个题外的,我听说费尔还在那卖终身授权呢,说句难听的,这不是给自己找雷呢么?是说做市场的都没学过《中华人民共和国合同法》么?都不知道终身合同是无效的么?

回归正题,微点当然不是神的,这个可以参考新闻里对刘旭刘总的采访,刘老大自己说的新产生的病毒大概99%以上都是没有创意的老旧行为,所以用行为分析判断技术可以很好地处理掉它们。严谨一点说就是微点可以对绝大多数未知病毒彻底查杀,但是要承认以后必然会出现微点目前程序处理不够妥当的用新型技术开发的病毒,所以微点的程序也是要有升级的。有的网友也谈到过这个问题,大家一致认为如果主动防御产品可以大批量普及的话,那么会很大程度提高病毒编写技术的门槛,从而极大地降低新病毒的产生数量,彻底扭转当前反病毒厂商被病毒编写者们搞得手忙脚乱的不利局面。

纠正你一个不准确的提法,不存在有驱动级病毒和内核级病毒这两个概念的。准确的提法是用加载驱动的形式来获取系统的内核权限,所以在先装微点的情况下,我觉得应该在病毒释放出驱动而正式加载驱动前病毒就被干掉了,这个我没有样本做具体测试,欢迎大家批评指教。在后装微点的情况下,微点应该能根据一些蛛丝马迹反向追查到驱动文件,然后重启删除完成杀毒,复杂的情况可能要多重启几次,这个是我在分析网友杀yok的时候推测出来的。

我不需要扫描,是因为我使用计算机是比较检点的,即使不装微点我也绝少中毒的,我更喜欢的是微点提供的一些日志和系统工具。对于其它朋友,特别是带毒环境操作,拯救被病毒肆虐的不幸朋友时,扫描确实是很有用的。这点我以前和llcracker也交流过,毕竟微点不是为了我这种特别群体开发的,微点的主力用户群需要什么功能,微点就应该积极提供什么功能。

bootscan我个人不太感冒,第一这个玩意要受制于特征码库,收集不到样本,再怎么提前扫描也没用的。第二,杀毒不彻底,在bootscan启动的那个特殊环境下,windows是没有完成加载的,所以肯定无法操纵系统注册表,恐怕谁也不会喜欢杀完毒后,windows弹出若干个窗口提示某某dll无法加载吧。第三,那种特殊环境下我估计较难完成虚拟机加载,所以脱壳效力应该不太好,这点我没有太大的把握,请大家批评指教。

你提到的最后一个问题,关于评价微点误报的问题。这正是我说“目前只有微点一个主动防御产品,想不给微点封老大都不行。。。”这句话的目的所在,目前只有微点一个真正的主动防御产品,所以微点在未知病毒的查杀上具有传统杀软无法比拟的优势,用微点和它们比就是在欺负人;但也正因为只有微点一个主动防御产品,所以微点的误报问题无法得到中立的评价,用别的杀软和微点比误报就是在欺负微点。

我觉得唯一的解决方法就是:卡巴、江民、McAfee、费尔等等把它们的“手动防御”尽快升级为主动防御,然后来一场真正意义的主动防御PK,比拼谁的监控强,比拼谁的误报低,比拼谁对系统的影响小,比拼谁的稳定性高。目前只有微点一个主动防御产品,想不给微点封老大都不行,现在无论是正数第一,还是倒数第一,全都授予了唯一的主动防御软件——东方微点,完全没有悬念。。。

PK应该快了,根据新闻和论坛上的信息,微点是05年中放出的消息,05年11月发布的公开测试版。我以前预计的是2-3年会出现类似的产品,也就是说最多不过08年,必然会出现有力的竞争对手。要注意是有力的竞争对手,而不是目前的这几个莫宁两可的产品。不过要是万一08年没出现的话,那就真太悲哀了,某某某某厂商们你们养的开发人员太过于饭桶了,研发部经理带个头,集体改行吧。

PS:CCTV-1的《贞观长歌》挺好的,李世民是不世之才,自身能力属性高,又难得能容人纳谏,更难得机缘巧合身居最高位,所以造福了一朝百姓,开创了贞观盛世。

※ ※ ※ 本文纯属【nasdaq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-31 23:31
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号