微点交流论坛 - 微点软件使用交流 - 发现微点运作原理：微点不适合配合传统杀软使用ZT

微点交流论坛 » 微点软件使用交流 » 发现微点运作原理：微点不适合配合传统杀软使用ZT

jeffcs
新手上路

积分 45
发帖 25
注册 2006-12-21

#1 发现微点运作原理：微点不适合配合传统杀软使用ZT

这是来自卡饭论坛的一篇文章,转过来大家看看

作者:ly250094040 (秽土转生)

卡饭_版主

发现微点运作原理：微点不适合配合传统杀软使用

微点不适合配合传统杀软使用：NOD+微点≠固若金汤

最终结论：NOD+微点〈NOD〈微点

先说说微点的工作原理：

1。在开机的时候，整个PC就进入虚拟机状态，所有数据都不被直接纪录，而是虚拟运行和虚拟储存。到关机的

时候，微点会把虚拟机状态转化为现实状态，然后储存数据，关机。在PC运作时也会有N多次这种状态转换。

2。但是第一点并没有使虚拟机成为无用的噱头，而是所有数据都虚拟纪录然后所有程序都虚拟运行，在运行过

程中触犯了“恶意程序的行为特点的定义”的程序微点就会报警并弹出让用户选择的窗口。因为全是虚拟运行，

所以病毒不会对系统造成任何危害，所以作为虚拟机的主人：微点，就可以轻易的纪录病毒的行为和修复它造成

的后果。

3。以非广义的恶意行为定义弥补高误报和以特征码技术弥补恶意行为定义的宽松。

4。微点的恶意行为定义在同一时间内，在每个用户上的定义都不同。它会纪录典型恶意行为，下次再有此恶意

行为的先兆，则会更早的报。在报的同时上传新的变化了的特征定义，以便更新其他用户的定义。（我们可以拿

下面这个木马做试验，解压，不报，然后运行，报，然后别点“以后也照此操作”。你再解压这个木马看看，微

点在它解压的时候就会报，因为它触犯了新的定义）

5。黑白名单。为减少资源占用，微点在虚拟机的跟踪技术上做处理之外，还采用黑白名单（反正感觉就是微点

不管什么办法，有效的全都用）工作方式。系统的大部分文件都在白名单，典型的流行病毒都是黑名单（包括文

件名判断？不清楚。。。）

正因为以上的原因，传统杀软在虚拟环境里很多时候都不会对病毒起反应，也就是说传统杀软和微点搭配很多时

候就是在浪费资源而已。（下面的病毒做试验，把NOD和微点同时打开，解压这个病毒（首次，所以微点不

报），然后NOD的监控对它没反应，甚至运行也不报，需要右键扫描才报。然后我们把微点的服务关了，PC进入

实际运行状态，再次解压，解压时NOD就报。）（另外在微点工作时，解压NOD不报运行不报，而删除NOD则报，估计要么这时微点还原到实际模式或者NOD也一起进入虚拟模式）

结论：微点不适合配合传统杀软使用，NOD+微点〈NOD〈微点

建议大家直接用微点，它的技术还是很直接信赖的。（别用微点直接双击试毒就很安全）
=============================
1楼回复:
有一点不是很明白
卡巴在虚拟机测试的时候，出现穿透虚拟机的情况。
即使虚拟机内的系统不安装卡巴
真实电脑中的卡巴还是可以杀虚拟机内的病毒。
不知道能不能破微点。
反正当前在用的两个虚拟机都被卡巴穿破了
========================
2楼:
不知道微点的虚拟机是到什么程度

如果是虚拟出多套操作系统，并且每套虚拟操作系统都有不同的数据特征头（最好是随机的）

然后安全事件由最外层的操作系统向现实系统推进的话

真实的系统应该很难中毒的
===========================
3楼:
可以比sandbox和虚拟机更底层的。。。

Ring3层面上做也可以，可以用一个很巧妙的方法，无需安装驱动，就可以突破所有软件防火墙，包括PG,SSM,GSS之类的HIPS，也包括你所喜欢的微点，至少目前是这样。如果再加上直接操作HIVE文件写注册表的方法的话，呵呵。。。
================================
4楼:
是不是啊？
为何*星的第八代虚拟机没有这种效果？
=================================
5楼:
我也只是根据现象的推理而已

微点很可能并不完全是我认为的那样

不过如果把虚拟机和沙盘技术结合：虚拟机虚拟出整个操作系统，但又像沙盘一样可

逆，能与真实操作系统交换数据，从而虚拟出多套OS，然后加个计数器，能一层一层的在OS里推荐，最后信任的才进入真实OS

这样的话RING0也没法

PS：怎么不是超版了？
=============================
具体地址:
http://bbs.kafan.cn/viewthread.php?tid=52022&extra=page%3D2

※ ※ ※ 本文纯属【jeffcs】个人意见，与【微点交流论坛】立场无关※ ※ ※

潮水军事http://www.y326.com

微点--国产的骄傲

2007-4-2 16:39

mom09
注册用户

积分 101
发帖 101
注册 2007-1-20

#2

原来如此，谢谢！

※ ※ ※ 本文纯属【mom09】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-2 16:44

hanly
注册用户

积分 91
发帖 91
注册 2007-2-6

#3

菜鸟学习

※ ※ ※ 本文纯属【hanly】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-4 20:32

sword555
注册用户

积分 102
发帖 102
注册 2007-4-2

#4

学习了

※ ※ ※ 本文纯属【sword555】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-4 21:09

zhangaaa
注册用户

积分 87
发帖 87
注册 2007-2-22

#5

学了学了好好．

※ ※ ※ 本文纯属【zhangaaa】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-4 21:46

tustin
版主

积分 5092
发帖 5067
注册 2007-3-10
来自重庆

#6

学习了

※ ※ ※ 本文纯属【tustin】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-4 22:35

5523012
新手上路

积分 12
发帖 12
注册 2007-1-6

#7

不敢苟同

※ ※ ※ 本文纯属【5523012】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-4 23:13

nobigotry
注册用户

积分 92
发帖 94
注册 2007-2-1

#8

微点确实不适合配合其他杀软使用。单独的微点是一条龙，与其他杀软一起配合就是一条虫

※ ※ ※ 本文纯属【nobigotry】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-5 15:19

铁马冰河
注册用户

积分 55
发帖 55
注册 2006-11-16

#9

楼主真敢放卫星啊！不知楼主在几台电脑上试验过楼主的伟大发现？
废话不说，就事论事吧，我在局域网给近三十台机器安装过微点，现在三个月过去了，只剩下不超过6台电脑还有微点在站岗，6台中有3台是NOD32+ 微点，1台是卡巴6.0＋微点，我自己就在内。其它3台都用ghost恢复过至少2次以上。
前天用来做打印服务器的机器（装微点）又崩溃了，二话不说ghost恢复，然后用我机器上的NOD32网络扫描出一大堆威金变种删除了，把微点升级到当天的升级包，然后把共享文件中被威金感染的微软专门解决Logo_.exe病毒的补丁重新恢复（2000、2003、xp共三个）。今天向内复制新的共享文件时从网上邻居一打开那个共享文件夹NOD32就给我一个大大的惊喜——发现威金感染，当然选择删除，可是那边的微点把来自我机器上的删除动作不断地拒绝，哭笑不得之下只好先退出微点这才删除了两个被感染文件，还有一个NOD32没有报就让它留下。重新启动微点后那边要共享我刚才复制进去的文件的电脑的卡巴斯基又发现剩下那个补丁也被威金感染，他当然也用卡巴斯基删除了那个被感染的补丁，由于已经下班，我不知道那里微点有没有拒绝删除，不过据对方说共享文件夹已经被他清空了，打开是空的，那么微点没有保护住文件不被删除了。楼主解释以下怎么回事吧。
我的是NOD32＋微点，对方的是卡巴斯基互联网安全套装6.0＋微点。

※ ※ ※ 本文纯属【铁马冰河】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-6 18:39

铁马冰河
注册用户

积分 55
发帖 55
注册 2006-11-16

#10

装双杀毒的都坚持时间最长，单独装微点的现在只有2台，而这2台都至少ghost恢复过2次（三个月内），一台是一个很少上网乱闯的女士的，还有一台是做打印服务器的，这台已经恢复4次了，因为是公用，那个部门都在上面建立共享，中毒最多，一来我为了测试微点，二来怕双杀毒拖慢机器，就没有再装其它杀软。

※ ※ ※ 本文纯属【铁马冰河】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-6 18:48

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号