» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » [转贴]剖析微点主动防御软件   作者: 标题: [转贴]剖析微点主动防御软件 shjywxz 注册用户 积分 54 发帖 54 注册 2007-2-11 #1  [转贴]剖析微点主动防御软件 随着计算机病毒的发展，传统特征码识别技术在花样百出的病毒面前显得有些力不从心，所以，近年来启发式、HIPS等反未知病毒技术逐渐被广大网民认识。其实，对于计算机病毒的主动防御技术在很早就被人们重视，但研发过程中都有各种各样的困难，以致于主动防御发展缓慢。而一年前，我国反病毒专家刘旭声称主动防御技术研发成功，并开发出微点主动防御软件，在网络上掀起热潮。在随后的一年公测中，微点主动防御软件遇到的有褒奖，也有质疑。到底微点主动防御软件如何工作呢？说实话，敝人也并不得知，仅仅是妄加猜测，现将敝人愚见写在下面，欢迎讨论。 一、已知病毒查杀：传统特征码识别。这很简单，就算声称主动防御，也不能脱离传统的特征码识别。微点主动防御软件内置一块很小的病毒库，支持在线更新，作为主动防御的辅助查杀，这儿就不再多说。 二、未知病毒查杀：程序控制（主）、文件监控（辅）、注册表监控（辅）。 1、程序控制：类似HIPS中的AD。在一般的HIPS中，每创建一个线程，AD就会询问用户。一个程序一有点小动作，AD也会询问。而微点不一样：线程你可以随便创建（前提是通过特征码检测），但创建之后不能干坏事。所以就免去了频繁的询问。如果发现已运行的某个程序有可疑行为，则比对白名单（我估计这个名单使用了文件特征码（非md5）、数字签名等验证，以至于木马几乎不可能伪装成白名单里的程序）。如果符合白名单里的程序，则自动放行；如果不符合白名单里的程序，则结合文件监控和注册表监控报警。当然，大部分正常程序是没有可疑动作的，所以微点的白名单不需要很大，但同时需要更新。 2、文件监控：类似HIPS中的FD。我个人认为微点的FD与HIPS中的FD有很大区别。微点重于监视，而并不重于询问、阻挡。这是因为微点的防御核心是它的程序控制。举个例子：病毒文件“a.exe”试图在“windows”文件夹下生成病毒文件“b.dll”，而“b.dll”试图注入到正常程序“c.exe”。当“a.exe”在“windows”文件夹生成“b.dll”时，微点不报警，只是将其记录下来，因为这个动作是无害的（我想要是Parador发现有dll生成在windows下一定会报警了吧）。而当“b.dll”试图注入到“c.exe”时，由于这是一种可疑行为，这时便被微点的程序控制所监控，微点立即查询白名单里是否有“b.dll”，如果有，则放行；如果没有，则查询有无程序生成这个“b.dll”，那么，因为前面微点的文件监控记录到“a.exe”生成了“b.dll”，所以微点就报警“发现未知木马a.exe，该木马生成文件C:\WINDOWS\b.dll，是否删除木马及其衍生物”。所以，明明是程序控制与文件监控的结合，但在很多人眼里，却误以为微点是个滥竽充数的FD。当然，如果“a.exe”一开始就做类似于修改系统文件这种有害的事，我想微点的文件监控还是要报警的。 3、注册表监控：类此HIPS中的RD。与微点文件监控大致相同，微点的注册表监控=监视+保护。运作原理同上面的文件监控一样，就不多说了。 以上纯属个人猜测，可能不正确，但至少我个人认为说得通。为了直观，我随手用“画图”画了个草图，相当混乱，各位就将就点吧： 大家要明白一点，微点需要面向大众，所以不可能像HIPS那样频繁询问，所以与一般HIPS区别很大。当然，主动防御是一项复杂技术，各国反病毒机构都有很长一段路要走，但既然微点在我国大声提倡主动防御，我们还是应该报支持的态度，毕竟在国内应用该项技术的安全软件不多。 ※ ※ ※ 本文纯属【shjywxz】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 珊瑚教育我的家 http://shjyzb.kmip.net 2007-4-2 13:03 y111u 新手上路 积分 37 发帖 37 注册 2006-12-9 #2   了解，了解。。。 ※ ※ ※ 本文纯属【y111u】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-4-3 01:27 adfy6554 新手上路 积分 3 发帖 3 注册 2007-3-28 来自 china #3   楼主高人，学习了~~ ※ ※ ※ 本文纯属【adfy6554】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-4-3 08:32 412424 注册用户 积分 62 发帖 62 注册 2007-4-2 #4   晕菜中！！ ※ ※ ※ 本文纯属【412424】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-4-3 10:39 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号