微点交流论坛 - 主动防御 - 主动防御技术探讨（原创）

我是神啊
新手上路

积分 33
发帖 29
注册 2011-2-23

#1 主动防御技术探讨（原创）

主动防御技术探讨（原创）

关于所谓云安全我不得不说的
云安全是最近流行的杀毒概念，其实只要稍微想一下都知道这又是某位无大脑“砖家”的炒作。
http://bbs.micropoint.com.cn/showthread.asp?tid=44396&fpage=1
http://bbs.micropoint.com.cn/showthread.asp?tid=74412

暂且不说云安全本身的各种BUG，如必须连网才能杀毒，那么对于无法连网的计算机根本无济于事，甚至有人说，因为云安全是把特征码放在服务器端，所以黑客必须知道服务器端的技术才能过云安全，其实仔细想想都会明白，过云安全根本不需要知道服务器端的技术，如果一个病毒木马运行后，直接先断网，云安全也就完全失效了，还有一旦云安全的服务器被黑，或者被黑客入侵控制，那么所有需要连网杀毒的用户都会遭殃。更重要的是，刘旭已经说的很清楚了，它仍然没有回答最重要的问题——如何自动识别新病毒。

归根到底云安全还是要靠特征码识别，仍旧是病后医治，你云安全收集病毒木马再快，难道还有黑客用加壳加花软件在一台计算机上每秒就能生出大量新的病毒木马变种快么?

云安全不是救世主，治本须主动防御，这才是未来反病毒的发展方向。

那么现在很多杀毒厂商都推出了主动防御技术，到底哪个占优势呢？
现在已知主动防御分为两大类
1.启发式杀毒（带虚拟机）
2.微点独一无二的行为判断恶意程序

反病毒原理

特征码识别：
传统反病毒技术都是特征码识别，现实生活中就好比一个小偷行窃，行窃成功后，被偷的人报警，然后警察获得了小偷的相貌特征为以后做比对，当警察发现某人和这个相貌非常相似时那么警察就会在他作案前将它逮捕，这就好比杀毒软件获得特征码以后在已知病毒发作前将它干掉。但现在网络上已经出现了大量加壳加花软件，一个稍懂点计算机的人都能很容易在短时间内生成大量新的病毒木马，传统特征码识别技术不但是病后就医（即在新病毒木马已经危害到计算机用户后，反病毒工程师提炼出病毒样本中的特征码，然后升级杀毒软件来防御），而且杀毒软件特征码的更新速度已经远远跟不上病毒木马变种的速度。

启发式杀毒：
所谓启发式杀毒就是用反编译技术解析病毒体是否含有恶意动作代码，就好比那个警察抓小偷的例子，就是抛开一个人的大脑思维，看看到底有没有行窃的思想，以此来判断这个人是不是小偷，虽然启发式杀毒还是依赖特征码识别（这个特征码是程序动作的特征码），但启发式相比传统特征码比对明显优势就是：只需要一条特征码规则，就可以终结掉这个特征码的所有变种。现在启发式都配有虚拟机来杀毒，所谓虚拟机就是在操作系统上模拟一个系统内核让程序在里面运行，以此来判断该程序是否有害。

微点的行为判断主动防御：
通过程序的动作行为来判断程序是否有害，就好比一个人把手伸入另一个人的衣服兜里，但他并不认识这个人，那么就可以判断这个人是小偷，微点正是通过监控程序调用系统内部的大量API函数动作来判断恶意程序的，当发现程序的一连串动作触发病毒木马行为规则时，通过记录的程序动作信息，逆向操作，终止进程，删除文件，修复注册表。

所以微点的行为判断主动防御完全不依赖病毒特征码，一个行为规则就可以免疫所有有这个行为的恶意程序，微点主动防御天生就免疫所有加壳加花技术。

通过以上分析，我们不难发现，无论启发式杀毒还是微点的行为判断，都能很好的防御新的病毒木马和变种，但是在占系统资源方面，微点拥有绝对的优势，因为启发式杀毒需要抛开程序分析程序代码，复杂和困难程度可想而知，并且在一个程序中将恶意代码分离出来也需要占很多资源吧，在系统上再模拟一个虚拟机就更占资源了，而微点的行为判断则是静静的等待程序触发病毒木马行为规则，所以微点几乎不占任何资源。

关于用病毒样本测试微点主防能力我不得不说的：
发现很多人用最新的病毒样本测试微点主防，发现有几个样本运行后微点主防没报警的，就妄下结论说XX病毒已经过了微点，我想说
因为微点主防是行为判断，只有当程序试图危害计算机系统和用户信息时微点主防才会报警，有的病毒木马需要重启才运行，有的挂延迟必须到某个时间段才会运行，那么在病毒木马运行之前微点不报警不代表它已经过了微点，比如有人提到一个病毒样本在一个系统上微点主防报警，但换个系统微点主防就不报警，就认为过了微点，因为病毒木马要运行必须有系统支持，有些病毒木马本身就有BUG只能在指定系统上运行才能成功，如果一个病毒木马根本就没能危害到计算机系统和用户信息，那么微点主防为什么要报警。

所以我必须明确一点，判断一个病毒木马是否过微点的唯一依据是：
在微点主防正常开启状态，并且没有任何和微点冲突的软件的情况下

病毒木马已经运行成功，并且完成了该病毒木马所应执行的所有步骤，即已经完成它的使命，而微点主防无论是否报警，都视为过了微点。
比如
一个盗QQ的木马，截取用户登录QQ时输入的账号密码，然后把截取到的信息发送到盗号者指定的邮箱，如果该木马已经完成最后一步把截取到的信息成功发送到邮箱，而微点主防无论是否报警，都视为该木马过了微点。一个病毒程序运行后成功感染甚至替换掉系统文件，已经危害到了计算机系统，而微点主防无论是否报警，都视为该病毒过了微点。

2006年至2007，微点完美防御“熊猫烧香”及所有变种，
熊猫烧香PK五大杀软:http://bbs.tiexue.net/post_1804788_1.html
微点的行为判断技术完胜启发式杀毒。

关于我用木马病毒样本测试微点主防：
配置：我XP-SP3纯净版6.0，装有360安全卫士+微点主防2009从不升级，系统还有800多个已知漏洞未修补，平时360卫士的作用就是防御流氓行为，这次测试只开一个微点主防，退出360卫士。
所有网络上号称过微点主防的木马病毒我都一个个下载实机测试（非虚拟机测试），我为什么不用虚拟机测试？一方面我相信微点的主防能力，另一方面我看到有人提到某个磁碟机病毒变种过了微点，在虚拟机下，我表示怀疑，因为像磁碟机这种有非常恶劣行为的程序微点主防不可能监测不到，唯一的可能就是虚拟机的问题（毕竟虚拟机和真实的系统还是有一些差别的，所以我认为这种测试也不能反应微点的实际性能），为了保证测试的真实性，我一直用实机测试，特别是卡饭论坛上的，结果要么根本就不是像他们所说的那样过了微点，我这里微点2009从不升级正常拦截，难道他们2010,2011版微点拦截不了吗？我不知道什么原因，要么就根本不是木马病毒，是一些流氓行为（麻烦你们先搞清楚木马程序和病毒程序的定义），甚至根本就运行不了，连进程都没有，还好意思说过了微点。
我甚至做过非常残酷的暴力测试，即下载最新的大量病毒样本（具体下载地址忘了，我已经很久没做过这种测试了，表示怀疑的可以自己去找样本测试，不解释），至少有50多个，把扩展名手动改为EXE，然后全选同时运行，然后微点主防不断报警，几分钟后，系统明显变的很慢，打开Xuetr，有很多样本的进程都在里面，很显然，这些要么根本不是木马病毒，要么就是还没有执行恶意行为，否则微点不可能不杀，为了减少计算机重启时间，用Xuetr手动强制结束这些进程，但重启时间依然延缓了几分钟时间，重启第一遍，一进系统，微点就报C:/windows/System32下发现两个未知木马，不出所料，有的病毒木马需要重启才运行，再等上几分钟，微点主防没有再报警，然后重启第二遍，这次重启时间没有再延长，依旧是原来的不到40秒启动时间，进入系统后微点主防没有再报警，打开Xuetr，没有任何可疑进程和模块，然后在系统上执行一些常用程序和常用操作，均没有任何被病毒木马感染的迹象，只是文件关联有些错了，但那是流氓程序留下的，自己手动修复一下就正常了，最后一步，打开360卫士，清理一下病毒木马尸体和留下的流氓痕迹就行了。

关于判断一个木马病毒是否过微点主防的唯一依据，我在上面已经说的很清楚了，这里不再解释。

通过这些测试，足以说明微点的主防能力绝对不是靠吹出来的，在大量新的病毒木马同时运行，系统资源几乎完全耗完的情况下，微点主防以几乎不占任何资源的防御体系，完美防御所有新的病毒木马程序。
几年前在互联网上流行的熊猫烧香，磁碟机，AV终结者，机器狗，和最近流行的鬼影等超级病毒，这些病毒给中国的互联网用户带来了极大的危害，但懂技术的都知道，这些病毒的技术含量根本就算不上很高（至少相比几年以前在美国流行的红色代码这种无文件，仅靠系统溢出漏洞生存的病毒，技术上也不是一个档次的），顶多只是将现有的成熟病毒木马手段集合到了一起，而很多杀软之所以都倒在了这些超级病毒下，只能说明现在很多杀软对系统防御的脆弱。
但这些超级病毒及所有变种在微点主防下，根本运行不了，微点是极少数在完全不依赖特征码的情况下，仅靠主动防御就能拦截这些病毒及所有变种的软件，拿当年的熊猫烧香来说，在完全不依赖特征码的情况下，以我所知道的只有微点主动防御和俄罗斯的Dr大蜘蛛能防，但Dr大蜘蛛对中国的很多软件误杀很高，而其他所有杀软都要靠每天升级病毒库，甚至每天出专杀工具来对付这些超级病毒，这就是技术的差别。有人可能拿杀软的HIPS技术来说这件事，比如病毒运行时的每个动作都用HIPS拒绝，那病毒也运行不了，呵呵，你干脆用ARK工具直接禁止创建进程线程得了，那样再牛逼的病毒也运行不了，或者直接关机得了，有意思吗？所有程序都不让运行，你系统还用不用了？毕竟大部分计算机用户对系统都不了解，我们需要的是智能判断。

微点主动防御特点（没有任何夸张，有强大的技术做支持，技术决定一切）：

1.无需扫描(微点的主程序驱动级加载，比一般驱动优先级更高，可直接干掉驱动层病毒木马，插入系统所有进程，时刻检测所有程序运行，行为判断发现木马病毒直接阻止运行并报警，理论上完全不需要扫描)

2.无需升级（微点主动防御是第三代反病毒产品，即主动防御为主，特征码识别为辅，微点主动防御采用行为判断，从根本上免疫层出不穷的所有加壳加花技术，所以理论上不升级依然能保护系统安全，如果非要升级也是升级行为规则库，几个月更新一次即可）

3.无需修补系统漏洞(微点拥有强大的反溢出技术，时刻监测系统所有程序的运行，发现程序溢出马上阻止并报警，从根本上免疫层出不穷的系统溢出漏洞带来的黑客攻击，理论上不修补系统漏洞依然能保护系统安全，除非是微软的程序员故意留下的后门，但出了问题也是微软的过错官方解释：微点保护系统安全不依赖修补系统漏洞)

4.超低资源占用(因为微点是主动防御为主，只在系统最底层加载，免去了一般杀软的U盘监控，邮件监控，网页监控等等，微点为什么不挂这些监控？仔细想想就会明白，无论病毒木马以何种方式进入电脑，最终都要和系统程序打交道，挂那么多监控还不如直接监控系统，这也是微点几乎不占任何资源和防病毒更彻底的一大原因)

5.超强主防能力，免疫新老病毒木马及所有变种%99以上(之所以是%99是因为没人敢保证一个软件的绝对安全，尽管至今能过微点的病毒木马几乎没有，我也从未遇到过，如果某位朋友告诉你，他免杀的木马病毒什么杀软都能过，你就让他过微点主防，他肯定过不了，因为这必须对系统底层有很深了解，并能找到操作系统和微点的明显漏洞才有可能，从技术上讲，过微点主防是很困难的)

6.智能化极高(传统杀软都挂HIPS技术，对于程序的每个动作都要提示，比如添加注册表项，加载驱动等，但这些行为病毒木马会产生，正常程序也能产生这种行为，允许执行怕是病毒，拒绝执行正常程序无法运行，对于系统根本不了解的普通用户怎么能准确判断到底是允许还是拒绝呢？微点要比HIPS智能多了，是病毒木马直接阻止运行，并提示是否删除，无论选择是否删除病毒木马都是运行不了的，除非加入白名单，否则直接放过不提示任何信息，非常安静省心)

7.误杀率很低(严格上来讲微点的误杀率是很低的，这一点在其他文章里已经说的很清楚了)。

关于微点的一些问题解答：http://bbs.micropoint.com.cn/showthread.asp?tid=80274&fpage=1

附：本人很菜，文章如有不对的地方望高手指点。

[ Last edited by 我是神啊 on 2011-4-17 at 19:04 ]

附件 1: l.gif (2011-4-8 01:53, 97.05 K,下载次数： 38)

附件 2: http_imgload_umMBWLjvSpoE.jpg (2011-4-9 09:36, 75.71 K,下载次数： 61)

※ ※ ※ 本文纯属【我是神啊】个人意见，与【微点交流论坛】立场无关※ ※ ※

卡巴垃圾，可牛垃圾，
微点主动防御：系统防御天下第一，举世无双！

2011-3-1 17:58

046569
版主

第五城市市长

积分 190
发帖 196
注册 2007-8-13

#2

文章很详细，但对“启发式”的定义值得商榷，另外对于微点"全世界最不可能突破的杀软"实有“捧杀”的嫌疑。瑕不掩瑜，仍然为一篇入门级的好文。+2奖励。

※ ※ ※ 本文纯属【046569】个人意见，与【微点交流论坛】立场无关※ ※ ※

2011-3-2 09:21

我是神啊
新手上路

积分 33
发帖 29
注册 2011-2-23

Quote:

Originally posted by 046569 at 2011-3-2 09:21:
文章很详细，但对“启发式”的定义值得商榷，另外对于微点"全世界最不可能突破的杀软"实有“捧杀”的嫌疑。瑕不掩瑜，仍然为一篇入门级的好文。+2奖励。

呵呵，不说别的，论主动防御的技术优势，微点主防绝对是最强的，这绝对是不争的事实。

※ ※ ※ 本文纯属【我是神啊】个人意见，与【微点交流论坛】立场无关※ ※ ※

2011-3-2 09:24

046569
版主

第五城市市长

积分 190
发帖 196
注册 2007-8-13

Quote:

Originally posted by 我是神啊 at 2011-3-2 09:24:

呵呵，不说别的，论主动防御的技术优势，微点主防绝对是最强的，这绝对是不争的事实。

生于忧患死于安乐，时刻保持忧患意识会让微点走的更稳、更长久。

※ ※ ※ 本文纯属【046569】个人意见，与【微点交流论坛】立场无关※ ※ ※

2011-3-2 09:27

我是神啊
新手上路

积分 33
发帖 29
注册 2011-2-23

Quote:

Originally posted by 046569 at 2011-3-2 09:27:

生于忧患死于安乐，时刻保持忧患意识会让微点走的更稳、更长久。

从技术上讲，现在的情况是，微点的行为判断确实相比其他主防技术有绝对的优势这个没有错，保持忧患意识会让微点走的更稳、更长久，这句话也很对。

※ ※ ※ 本文纯属【我是神啊】个人意见，与【微点交流论坛】立场无关※ ※ ※

2011-3-2 09:31

tcjgdw@163.com
中级用户

积分 223
发帖 216
注册 2007-12-26

#6

主防行为主要是以规则为主，不同的人，不同的思想，就会有不同的规则，效果也就不相同。微点主防规则并不是最理想的规则，需要改进的地方很多，比如说拦截效率，如何处理误报，防火墙是否更智能等都值得进步改进。微点以前在我心中是神，如果研究深入到了微点主防本质，也不过如此。技术就是这样，搞懂了原理，理解了本质，也就不是秘密了。
我并不反对云安全，云安全是本地主防很好的一种辅助技术，如果能把本地主防和云安全结合起来，更为安全。

[ Last edited by tcjgdw@163.com on 2011-3-2 at 15:35 ]

※ ※ ※ 本文纯属【tcjgdw@163.com】个人意见，与【微点交流论坛】立场无关※ ※ ※

2011-3-2 15:33

我是神啊
新手上路

积分 33
发帖 29
注册 2011-2-23

Quote:

Originally posted by tcjgdw@163.com at 2011-3-2 15:33:
主防行为主要是以规则为主，不同的人，不同的思想，就会有不同的规则，效果也就不相同。微点主防规则并不是最理想的规则，需要改进的地方很多，比如说拦截效率，如何处理误报，防火墙是否更智能等都值得进步改进。 ...

云安全不想再讨论了，云安全到底怎么样我已经说的很清楚了。
微点确实有很多要改进的地方，但对于你说的不同的人，不同的思想，就会有不同的规则，我认为毕竟微点是针对一般普通用户的，任何软件都不可能做到让所有人满意，比如有些喜欢玩毒的人还闲微点经常报警太乱，那微点当然不适合他，但对于普通用户微点做的已经很不错了。至少现在从技术上将微点的行为判断主动防御相比其他主动防御技术拥有绝对的优势。
还有你说的微点防火墙还不够智能，那你完全可以关闭掉不用的，毕竟微点主防保护系统并不依赖防火墙。
关于微点误杀：http://bbs.micropoint.com.cn/showthread.asp?tid=78615&fpage=1

[ Last edited by 我是神啊 on 2011-3-2 at 16:35 ]

※ ※ ※ 本文纯属【我是神啊】个人意见，与【微点交流论坛】立场无关※ ※ ※

2011-3-2 16:26

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号