讨论-微点主动防御软件的弊端

江湖的fans

    自从刘旭离开了瑞星，微点公司就诞生了，随之而来的就是新一代的防病毒产品——微点主动防御软件，正可谓微点主防一出，便掀起了杀软+主防的高潮。
    我欣喜终于有了一款颠覆传统防病毒方法的全新的反病毒产品，防病毒再也不发愁了！可我却在试用中发现微点并不是我想象的那样可以解决一系列安全威胁的软件。

    防御不应单靠主防，威胁类型多种多样

    目前互联网中的威胁多种多样，通过各种方式的传播的都有，而这些威胁并不都是微点可以很好的识别的。
微点的原理在于允许病毒进入电脑，不允许病毒发作，这是典型的重杀不重防。如果微点可以切断病毒进入电脑的渠道，这样防病毒不是更加高效呢？那还用得着心惊胆战的在病毒发作到一定程度的时候才来拦截吗？何况有时候还不能很好的拦截住？何况有时候回滚还不是很彻底？
    而现在微点只有主防+特征码，那么我想问，钓鱼网站、U盘病毒.....都只靠主防+特征码来拦截吗？灰色软件改主页，放“淘宝”的行为你也只用特征码+主防拦截？中毒后的一系列的修复又要怎么办？


    完善功能，才是好的防病毒软件

    现在的反病毒软件“重防不重杀”微点要想办法从病毒进入途径下手，想办法如何切断病毒进入本机的途径。同时，请微点不要忘记，网络威胁也不单单是病毒和网络攻击，钓鱼、流氓也很可怕。作为当今互联网的防御软件，要完善自己的功能。

    网页挂马防护——基于行为和漏洞的防护，阻断浏览网页时的病毒入侵（成功例子：金山网盾、瑞星、诺顿IPS）
    可移动介质入侵防护——俗话说病从口入，可以通过禁止auto.inf或者更加高级的手段（.....）（成功例子：金山U盘防护、360）
    漏洞修复——通过修补漏洞来防御来自网络的攻击
    恶意网址拦截——避免用户不必要的损失


    单纯的行为防御有弊端

    举个例子，就拿流氓软件为例，添加主页，再给你不知不觉多装点东西。你说智能主防怎么拦截？？如果按规则入库，加主页，后台安装就报，那么这误报太吓人了。
再比如，如果病毒上来就加驱动，智能主防由于是多步判断，不会对单独的加驱动起作用。众所周知一旦加驱动任何自保都是浮云，那么这是如果病毒针对性干掉杀软，那么就完全突破了。
   所以，目前只有微点单把主防拿出来做防御，别的杀软都是把行为防御作为一个模块的。


   所以，最后总结下，行为防御不是救世主，救世主一定要全能！云安全，沙盘....都不是摆设！


   

leisong

说的不错，我表达过类似的意思
一味的多步分析无法避免漏报和有时回滚不彻底的问题。
我想知道一个程序加驱、注入、自启动等系列动作，机器如何自动判断是正常软件还是病毒？
缺少高危项目的单项拦截是不能有好的保护的，卡巴和瑞星就走对了，通过各自不同方式的权限控制（卡巴的未知自动降权、瑞星的系统加固和驱动拦截）来避免防御不彻底的问题。

liqing0305

确实目前 微点不是出了微点杀毒  如果一起用的话 效果应该会好些   不过对于内类似桌面图标微点完全无力

herofw

呵可.非常支持你的这篇文章!说到点子上了!
微点目前的版本已经落后了.虽然还能查杀目前流行的病毒木马.但是对于流氓软件之类的却无从下手.
现在微点也知道微点主防已经有很大瓶颈了.所以目前在网站上推出了一系列的专杀工具.这些工具有漏洞修复.流氓软件专杀.桌面IE清理.之类的.这就很好的完善了微点主防的不足!但是这些完全不够.难道用户装了你的主防.还要装一大堆专杀来保护电脑.那这是否显示微点主防的能力 不行了!!
所以也就导致了用户一在想知道微点2.0的变化.但是这只是传说中的2.0
真正的是什么样子还很难说!
我希望能把目前这些需要加上的功能全部加上.
对于扫描的话.已经有微点杀毒代替就不需要整合了!!

镜湖

微点1.2的版本有不足之处,但楼主的认识却不够准确.

jefffire

自从刘旭离开了瑞星，微点公司就诞生了，随之而来的就是新一代的防病毒产品——微点主动防御软件，正可 ...
江湖的fans 发表于 2010.8.31 17:07

支持浆糊粉丝
顺便讨要部分版权费用

超现实主义

来学习了。

laoxie1hao

总结下，行为防御不是救世主，救世主一定要全能！

个人认为微点主防不是救世主，只是一个不错的类似于防火墙 实时防护！它可以根据程序的行为自主判断是否有害！这个我认为是比较先进的技术！

主防缺点：网页挂马只支持IE内核  不能清除没有威胁的病毒 对于流氓软件束手无策

至于U盘病毒：发现已知直接报警，发现有程序试图要作出病毒行为时，微点会直接报警拦截。

双点组合后应该大多数不是问题了

刘旭：主动防御跟传统的杀毒软件不一样，它是依据程序行为，自主识别和判断程序是否是病毒的一项反病毒技术。主动防御技术最早是由我们微点公司提出来的，我把主动防御的思路2005年就发表在了《光明日报》上,当时还引起了很大的争议。一些人认为先中毒后杀毒是天经地义的，另外也有人认为主动防御是天方夜谭。后来我从“人能否发现新病毒”、“人如何判断新病毒”、“识别新病毒有多难”和“病毒主动防御是否可行”又写了篇题为“主动防御电脑病毒并非天方夜谭”的署名文章，主题思想是“既然人可以比较容易分析判断出新病毒，反病毒专家也可以把分析病毒的过程智能化、自动化。那篇文章再次发在光明日报上。后来越来越多的同行也渐渐理解了，并都开始走向了主动防御探索之路。
    目前国内外的一些主流杀毒软件也提供了一些主动防御的功能，但包括McAfee、诺顿和瑞星在内的绝大多数产品提供的所谓主动防御功能还处于概念阶段。主动防御应该具备三个要求：对未知病毒能够自主识别、明确报出并能自动清除。如果做不到这一点，只是对单一程序动作报警，而没有对程序动作进行关联分析，那就算不上真正的主动防御。举一个很常见的例子，在使用某款号称具有主动防御功能的产品时，经常会遇到“有程序正在向您的计算机设置全局挂钩，是否允许”之类的提示，什么叫全局挂钩？一般用户可能不理解，也就无从选择。用户使用杀毒软件，就是将杀毒防毒的工作交给软件，现在反而要自己进行判断，这是不合理，更是不负责任的。所以现在的杀毒软件越来越像“高手”专用的，表面上是易用性和亲民性不足，实际上是这些安全软件还没有真正成熟的主动防御技术。

laoxie1hao

补充：微点也出了专杀作为补充 ！

旭日东升

期待2.0双点融合+防流氓