查看: 5148|回复: 44
收起左侧

[讨论] 国产杀软的应用和缺陷简述

   关闭 [复制链接]
fans2008
发表于 2010-10-4 11:54:04 | 显示全部楼层 |阅读模式
本帖最后由 fans2008 于 2010.10.4 21:48 编辑

没人能看懂我说的? 难道又是如有人说的我的国语差?
有人批评我的贴语言欠连贯 可能你是语言学者
有人说我的贴是非技术贴 可能你是计算机安全领域学者
我 非语言学者 又非计算机安全领域学者 至少我是计算机软件领域者 肯定贴的内涵非能达到你的欣赏类型


贴子在编辑中。。。。。。。。。。。。。

                                                                               360

更多是用360卫士

扫描报法: 分为晕引擎和启发引擎

晕引擎

1. 插件  和 系统异常                               比如 : qq所有的插件 BAIDU插件 都是用户和360投票出来
2. 文件被改                           比如: system32/mshta.exe
3. 假装为应用软件的程序         比如:假装qq的程序 假装为WINDOWS系统文件的程序
4. 行为和木马类似的程序         比如:program fILES/BAI/*.EXE
5. 病毒名                              比如:WIN32.TRJ.????.????   MALWARE.????.GEN   W32/PARITE

启发引擎

1.启发型病毒                         比如:WIN32.PARITE.B


分析:

1  插件  和 系统异常    会员应该知道为什么要这么报了 我都说了原因
2  文件被改
         当用户选择360扫描快速扫描时 报的时候 他提示用户有恶性病毒 要变为扫描所有程序 这合适否?
         文件包括OS系统文件和应用软件的文件 文件被改非能肯定指出系统受恶性病毒攻击和破坏 很多版本OS都有被改的系统 这些系统文件非原版MS的 会员应都知道这个事情 能说明用户OS系统被恶性病毒攻击? 又要变为扫描所有程序? 有错导的可能
         1)系统文件被改
            大多数病毒和木马都改动系统文件 正常的软件改动系统文件?或被改版的非MS原版的OS  
            我见过应该有过正常软件能改动过系统文件 这个我非很清楚 有学习计算机安全系统的会员能谈谈?
             1.  用户用的原版的OS 且 正常软件能改动系统文件的话
                  我们很难用晕技术的MD5值对比从系统文件被改的状况来判定用户系统是否被病毒改过 要用更深层的病毒学技术来判定 这要求你杀软的技术了 而非如360简单的说或错导 用户电脑被恶性病毒攻击
             2. 用户用的原版的OS 且 正常软件非能改动系统文件的话
                  这时候我们用户能主观肯定能说 用户系统被病毒改过 杀软应该很难检查出用户用的是否原版OS 杀软应该非能肯定判定用户被恶性病毒攻击 杀软有能力检查出用户用的原版OS话 应该肯定提示用户系统被感染病毒
            
                 用户用的非原版OS 正常软件是否改动系统文件的话都很难简单说用户电脑是否被病毒攻击 仍要杀软有技术去分析程序
            2)应用软件被改
                1.应用软件能被未知病毒木马修改的                                         // 自动
                2. 应用软件的自动更新修改原来的程序                                     // 自动
                3. 用户自安装更新软件                                                          // 人工
                4. 用户有软件能改应用软件的                                                 // 人工
                5. 被改版非官网的软件                                                          // 人工
                6.软件自动修改别的软件                                                        //自动

                我们能看出大多自动情况都非正常 人工算100%正常?  答案:no          为什么no? 会员自己去想 我知道你们很CLEVER
                人工改动什么算99%正常?答: 比如 改IE主页 注册项 通过OS系统功能改动自己想要的

                判断应用软件的程序被改算较复杂 主防和晕技术能帮助我们判断
                1. 晕技术要能很快增量更新软件官网最新版本的程序 这么能很快判断是正常软件
                2. 晕技术非能即时很快判断应用软件是否人工用正常软件改过
                    软件程序自动更新版本 主防和晕技术的结合技术能判断 自动放行           //自动
                    主防会能给提示:是否用户手动修改软件?
                             是 点击允许
                             否 点击阻止                           // 否能说出 程序自动修改包括了病毒修改软件 和 程序自动更新版本 软件自动修改别的软件可能被认为非正常 在这几几种情况中 软件程序自动更新版本 主防和晕技术的结合技术能判断 自动放行 非弹出问用户改过软件

3 假装为应用软件的程序或假装为系统文件的程序
         非知道360是怎么想这句话 从报的程序来看 应该是被改的软件程序和系统文件 被改和假装肯定非一个概念 会员应该知道这个区别的 360在这里犯了个严重的错


360阻止还原隔离的QQ 后来把隔离的QQ删掉 有人遇到过没有


                                                                       金     山

金山的防御未知病毒技术在所有国产杀软中较落后 这可能因为选择好用性导致的

金山好用性的技术正是晕技术


晕包括 连接远端 -> 用户扫描系统上报所有程序 -> 分析程序 -> 反馈结果  主要核心是在远端server 实质是个存储分析技术
杀软用他的目的是为了快速丰富病毒特征码
启动:要上报所有程序 肯定要先去手动扫描程序
缺点:要靠网络可能会失去作用 为了最多的杀掉病毒要频繁的去扫描系统 占用带宽


我没怎么使用过金山 简单谈谈我对金山卫士的看法

1. 金山卫士的界面是否模仿360?

2. 金山卫士是没有给出扫描出的危害程序的路径 这点有点忽视 系统感染和应用软件感染的级别肯定非能比

3. 金山在扫描系统报IE异常修复后 导致IE异常

4. 金山晕技术的未知程序反馈给用户很好 360没有


金山防御未知病毒的缺陷

     当金山不能知道系统被未知病毒攻击的时候 你用什么保护用户 都不能知道未知病毒在攻击系统 不用在谈阻止了 更不用在谈上报了

     1. 比如金山能上报这个突发的病毒的话 第一个人肯定是金山的受害者了 每天有多个未知病毒 每天肯定有多个金山的受害者 你知道金山这个缺点能导致什么

     2. 比如这个病毒的危害力很快的话 金山能上报未知病毒 你金山能杀的时候 肯定有很多人的系统都被摧毁了 比如这个病毒破坏上报功能 或 摧毁系统文件 或 更严重摧毁网络功能 和 金山的话 金山又拿什么对付病毒




                                                                                  RISING


基本没用过 简单谈谈

1. 用户界面友好 较有亲和力

2. 主防属半智能半非智能型 有个贴子说过这个类型

3. 主防智能模式很有缺点

RISING的主防的智能模式的缺陷

我认为RISING的主动防御的智能模式很有缺陷 因为主动防御在识别未知病毒的准确率肯定没100% 这时智能模式会自动执行有可能导致错

反正原来用2009 2010版用级别来自由使用的主动防御弹窗过多 准确率有缺陷

微点在这个做的很好 微点的主动防御本来越来越好 微点仍要经过微点自动分析后经用户自己确认未知病毒 根据实际情况选择最好的操作 是人机交互模式



评分

参与人数 1人气 +1 收起 理由
XMonster + 1 多多发扬,你的技术 加油啦

查看全部评分

zzirong
发表于 2010-10-4 11:55:58 | 显示全部楼层
以我的智商,不能理解楼主说什么,我还是闪人算了
猪头大队
头像被屏蔽
发表于 2010-10-4 11:57:30 | 显示全部楼层
360

更多是用360卫士

扫描报法:
1. 插件 qq所有的插件 BAIDU插件 都是用户和360投票出来
fans2008 发表于 2010.10.4 11:54


啥意思?没看懂
gxczlzz
发表于 2010-10-4 12:06:30 | 显示全部楼层
还在编辑啊
天山童姥
发表于 2010-10-4 12:10:11 | 显示全部楼层
这编辑到什么时候
firepower
发表于 2010-10-4 12:10:44 | 显示全部楼层
360的缺陷?
慢慢编辑,占前排 以后再回来看看
威尔士王子
发表于 2010-10-4 12:15:12 | 显示全部楼层
楼主继续,期待连载
奥星幽灵
发表于 2010-10-4 12:19:53 | 显示全部楼层
我先占个位子再说。
目前LZ写的内容实在是让我难以理解...
尝微听几
头像被屏蔽
发表于 2010-10-4 12:20:31 | 显示全部楼层
楼主慢慢编辑
sl515026
头像被屏蔽
发表于 2010-10-4 12:32:19 | 显示全部楼层
连载吗?   建议LZ用的记事本记录下来 再一起发到论坛上面来  这样很累的~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 06:57 , Processed in 0.133351 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表