skugl
新手上路
积分 1
发帖 1
注册 2007-3-1
|
#1 微点与HIPS的区别(看下对微点的评价)
转自 2代BBS 剑盟中国社区 作者:交响诗篇
先举一个例子,有些朋友用影子系统、冰封、还原精灵、雨过天晴、硬盘还原卡等等等等这类还原型产品做系统安全防护,用以防治病毒感染,因为中毒之后重启系统就全ok。我们要承认这类产品确实有一定的防护效果,但是由于这类软件的设计目标是快速恢复还原系统,而不是杀毒,所以将其用于病毒防治效果并不理想。为什么说效果并不理想呢?下面咱们一起来分析。
首先,我们要分析一下还原软件的核心原理是什么?还原软件的核心原理就是监控硬盘读写,通过各种各样的方式完成硬盘的伪读写操作,从而欺骗过当前操作系统和应用软件,由于硬盘没有被真正意义上改写或者改写时做了相应的还原标记,所以在重启后硬盘会还原为原始状态。
基于还原软件的原理和设计目的,我们可以确认,这类软件对感染型病毒的防护效果非常好,重启后不会有任何损失。但是,要注意目前已经是互联网的时代,对具有网络行为的木马、蠕虫、溢出攻击等等破坏方式,这类软件是无能为力的,因为他们毕竟不是杀毒软件。下面简单举三个例子:
1.盗号木马,号都已经被盗走了,重启还原没有任何意义。
2.蠕虫类,譬如说中了乱发邮件的蠕虫,和盗号木马一样,垃圾邮件都已经发出去了,重启还原没有任何意义。
3.溢出攻击,譬如说一台没打补丁的Windows XP,接入Internet,结局应该是很短的时间之内被著名的“冲击波”攻击,然后60秒重启。对于这种情况,还原类软件是无能为力的,重启恢复后仍然会在很短的时间内再次中毒60秒重启,整个电脑无法正常使用。解决的方法还得是安装补丁或者用防火墙封闭端口或者安装能抵御溢出攻击的杀毒软件。
我们对还原类软件没什么可埋怨的,毕竟术业有专攻么。人家是还原类软件,不是杀毒软件。出现上面的这些问题都是很正常的,算不上缺陷。
回到主题,我觉得微点和HIPS最大的区别,不是易用性的问题;不是微点报警少,而HIPS报警多;不是微点有智能判断,而HIPS傻报警,默认什么都报;不是微点适合普通用户,HIPS的提示必须要高手才能明白。我觉得这两者最大的区别就在于他们是两类不同的软件,一个是杀毒软件+网络防火墙,另一个是系统防火墙。归根结底就是设计目的不同,所以软件的表现形态和最适合的使用范围也不相同,就像上面所提到的那个用还原软件预防病毒的例子一样。
微点的主要目的就是杀毒软件+网络防火墙,只不过微点的主体架构比较先进,我个人把它称为杀毒软件2.0。初次接触微点的朋友,多少都会觉得操作上不适应,同时会对微点有一种质疑,我觉得这很正常。我大概是去年年初接触的微点,到现在一年了。我使用微点的阶段也是先不信任微点杀毒,需要配合其他杀软使用,不信任微点防火墙,安装了黑冰,然后彻底关掉了其他杀软的实时监控,彻底卸载了其它防火墙。现在日常只用一个微点,留着其它杀软的扫描只是为了做样本鉴定用。
很多朋友觉得微点重防,缺乏杀毒能力,我对这种看法持保留意见。我今年年初在给一个朋友的朋友处理电脑故障的时候,就亲身体验过微点的杀毒效果。当初的情况是:一台老笔记本,系统运行缓慢,安装的国外某杀毒软件监控起不来,网络访问不正常,但IE下没有什么插件。说实话,我当时有点儿束手无策,已经准备给他重装系统了事,但是笔记本这个玩意驱动是个难题。所以我死马当活马医,给他安了个微点做实验,其实当时并不对微点报有很大的期望。正常模式微点已经无法安装了,系统老报错,到安全模式安装,重启回正常模式,进到桌面微点提示两次,干掉了两个未知木马,按提示重启。重启后,电脑一切正常了,那个国外杀软的监控也自动启动了。由于我接触的案例太少,我说的这个只能算是个个例,不具有普遍意义,毕竟对于那些不可逆破坏的病毒,什么杀软也是没有办法恢复的。但是这个案例至少证明了微点并不是我们想象的那种纯防御型软件,在先中毒后安微点的情况下,微点的行为引擎是确实具有杀毒能力的。只不过论坛里这方面的信息比较少,我们平常很少关注到。
HIPS(Host Intrusion Prevent System)的我觉得用“系统防火墙”比直译的“主机入侵防御系统”翻译得更形象准确。HIPS是一套完全基于程序API行为判断的分析工具,其主要的工作形态就是“系统防火墙”。插一句,网络防火墙工作的模式就是根据规则比对匹配网络传输的每一个数据包的特征,规则允许通过的数据包就放行,规则不允许通过的数据包就抛弃。系统防火墙也是这样,规则中允许的API行为就放行,不允许的API行为就抛弃。
HIPS和传统的杀毒软件1.0们没有任何交集,但是和微点这个杀毒软件2.0是存在有交集的,因为微点的行为判断引擎部分也是基于程序API的。所以某种程度上说,HIPS确实也可以达到一定程度上的病毒防御效果。但是HIPS毕竟不是杀毒软件,其最多只能做到防毒,对病毒的清除效果并不理想。HIPS杀毒不力,就好比Windows自带的debug.exe可以用来解毒,但是对查毒却又无能为力一样。还是那话,术业有专攻,杀毒的事情,还得杀毒软件来办,专业的才能保证高效率和高质量。
PS:debug.exe那可真是一件圣物,王江民老师当年一开始就是用debug来杀毒的。
http://dev.csdn.net/article/13/13427.shtm
所以,微点和HIPS相比较,在杀毒这个事情上,微点比HIPS要好,因为微点不只有一个行为分析来判断病毒更有杀毒能力,同时微点为了最大化杀毒效率和效果,使用了多种技术综合形成了其目前的表现形态;但是在系统程序行为监控这方面,HIPS要比微点更直观。微点偏重的是程序行为判断的结果,而HIPS偏重的是程序行为监控的过程。不同的策重点就是因为二者的设计目的不同,所以理论上的目标用户群也是不同的。但是不同用户群之间是有交集的,所以现实中会有这样那样,多种多样的应用组合方案,有人用微点的工具来分析系统,也有人用HIPS来防毒。
微点受某些事情的影响,在媒体宣传和用户引导这块做得很不够,我猜测刘旭应该是把微点这个多种技术的综合体命名为“主动防御”体系,但现如今很多人都把“主动防御体系”简单地理解为“程序行为分析技术”,这点很不好。这是一种对主动防御这个名词的庸俗化理解。这种理解会给整个杀毒软件行业带来负面的影响。我要没猜错的话,这几年肯定会有这样那样,各种各样的自称包含所谓“主动防御”功能的软件上市,但是其中只会有很少几款是具有完整的主动防御体系的,其它的无非是附加一些单一危险API报警功能的擦边球。杀毒软件2.0的普及和推广,任重而道远。
我喜欢看旗鼓相当的较量,因为精彩~!但对于必然会出现的滥竽充数者,我们普通用户的抵制是没有多大效果的,只能寄希望于主管部门提前准备方案,严格控制审批,不要让小作坊们大肆生产劣质MP3疯狂压价损害整个行业利益这类事件再度重演。
| |
※ ※ ※ 本文纯属【skugl】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
