微点不是HIPS更不是所谓的智能HIPS

yzcucu

微点不是HIPS更不是所谓的智能HIPS

时间:2009-10-18 21:59来源:网络 作者:无名之人 点击:664次

从车的角度反驳微点是智能HIPS 前两天看见来个骂人的帖子，是个什么天堂什么的发的，满口脏话，还引言某版主的帖子（07年的老帖了，不知道挖出来干嘛），把微点官方和非官方的点饭说的一无是处，然后贬低微点这没有，那没有，这不行那不行的，不知其所以然。这里只是从侧面

从车的角度反驳微点是智能HIPS 前两天看见来个骂人的帖子，是个什么天堂什么的发的，满口脏话，还引言某版主的帖子（07年的老帖了，不知道挖出来干嘛），把微点官方和非官方的点饭说的一无是处，然后贬低微点这没有，那没有，这不行那不行的，不知其所以然。这里只是从侧面再次说明一下，微点并不是智能HIPS，两者区别很大。 我的车：某品牌的自行车，我朋友的车：BMW 523Li，也可以用别的车来举例说明，我只是用我比较熟悉的东西来说明下问题，希望大家不要XXX。 微点功能：不多说了，大家都清楚。HIPS功能：大家也清楚，不废话了。 车的区别：我的车没有2.5升直列六缸的引擎、没有定速巡航、没有安全气囊、没有氙气大灯、没有ABS、DBC，还有很多BMW有的而我的车没有的。 微点和HIPS的区别：HIPS没有杀毒模块、没有病毒库、没有分析判断模块、没有防溢出功能、没有防火墙、没有网络防御功能，反正很多微点有的HIPS都没有。 车的相同点：我的车可以代步，BMW也是用来代步的。 软件的相同点：微点有实时监控模块，HIPS也有实时监控模块，可以监控系统运行状态，也可以报警。 但是，你能说宝马是智能自行车吗？ 同理，你能说微点是智能HIPS吗？ 这是一个由来已久的话题，不过我从来不认为微点就是智能HIPS，很多重要的东西HIPS都没有。很多人都说微点很挫，只是将规则库人工集成在一起，是智能的HIPS，那我想问一句，微点出来好几年了，人们既然那么肯定的说微点只是靠库，那为什么这些年过去了，依然没有一个堪与微点比肩的东东出现呢？超越微点有些困难不好实现，那民间那么多手工HIPS的爱好者，让他们归纳一些规则做成一个智能HIPS很困难吗？呵呵，不要忘记微点有自己自主研发的核心技术，而不仅仅是靠现有的规则堆积起来的，真金不怕火炼，时间已经很好的证明了微点的强悍了。如果只像人们说的只是个智能HIPS，而没有自己的核心技术，那谈何入选国家863计划？那可不是纸糊的东东就能入选的，大家都是明白人，这个道理我想大家都明白。 PS:看见有人说以为微点没有病毒库，我都不知道想说他什么了，只想举个很简单的例子：北京西站人多吗？进站的时候经常有警察在查人们的身份证，看是不是通缉犯啊或者什么的，这里人们的身份证就好比病毒特征码，都是唯一性的，不排除某些人伪造身份证，就好比修改特征码进行免杀。如果人们没有带着身份证，警察也会通过其他手段进行检查，其他手段多多，这里就不多说了，大家自由发挥想象。为什么要对比身份证（特征码），就是因为这样处理速度非常快，而不是每个人（病毒）都要进行特殊排查（行为判断），为的是大大缩短处理时间，提高工作效率。如果有警察愿意一个一个的经过N多步骤来确定很多证件齐全的良好市民，故意拖延时间，我想没用几个市民愿意浪费时间去配合。 详解：微点和HIPS的区别 一、先看表象： 　　1.定义 　　HIPS：程序动作**，作用就是对HIPS所监控的API拦截报警，安装用户的要求阻止或放行。作用相当于一个动态的系统分析器，告诉使用者系统当前有哪些变化。 　　微点：主动防御软件，主要依据程序行为判定新病毒，辅以特征码、状态检测防火墙等技术的综合性安全软件。作用相当于杀毒软件+防火墙。 　　2.软件结构 　　HIPS：监控 　　微点：监控+分析+清除 　　我没有要贬低HIPS的意思，但是从结构来看，微点的软件规模要远大于HIPS，复杂度要远大于HIPS，开发难度、工作量、代码数量都要远大于HIPS。 　　延伸一个问题，不知道朋友们是否想过单就微点和HIPS重合的这一个点——“监控”来说，谁的监控更灵敏呢？换句话说也就是谁的API监控得更多呢？ 　　答案可能出乎很多人预料，实际上微点监控的API要远多于HIPS的。 　　道理很简单，Windows API的数量太多了，HIPS为了提高其易用性，监控的API越少越好，所以只监控与安全相关的一些API，其余的一律放任不理。 　　而微点的监控则要BT很多，除了HIPS监控的那些众所周知的安全性API，微点还监控了很多和安全有可能有关的API。有谁会想到微点竟然会监控程序被改名！根据网友提供的资料，我测试了一下，微点确实监控程序被改名，在程序生成日志中也有体现。原因也很好解释，如果不监控程序改名，那么微点根据程序生成日志向上追杀木马源的时候就有可能会被误导造成杀毒不彻底。微点究竟还有哪些BT的监控项，我是没能力分析，欢迎大牛们逆向一下，列个清单出来大家一同分析总结。 　　二、分析内因 　　谈谈我的看法，微点和HIPS究竟有什么区别呢？我的意见是实在没有必要非分出个谁强谁弱，两个软件的设计目的完全不一样，最终表现出来的软件形态也是天壤之别。如果非要定性的话，只能说微点和HIPS是两类软件，不能简单做比较。 　　大家想过HIPS为什么要去监控程序API动作？因为HIPS是程序动作**，它的使命就是告诉使用者系统当前有哪些变化(API调用)。然后呢？HIPS监控了API之后会去做什么？答案是然后什么也不干，因为HIPS的使命已经完成了。 　　大家想过微点为什么要去监控程序API动作么？ 　　因为微点要对一系列动作进行行为分析，需要监控点提供足够的信息。 　　为什么微点要进行行为分析？ 　　因为微点要判断出程序是否有害。 　　微点判断程序有害是为了什么？ 　　因为微点是一款综合性安全软件，它的使命是保护系统安全，杀毒杀木马杀后门杀蠕虫…… 　　微点发现程序有害之后会怎么办？ 　　根据日志中的记录，逆向操作中止有害进程、删文件、删注册表…… 　　至此，微点的使命得以实现。也就是说微点前面所有工作的努力都是为了彻底清除有害程序这最终的目的。 　　微点虽然比HIPS多了很多东西，但是你绝不能简单地说微点比HIPS NB多少多少，这样是不客观的，因为不同类软件，不能简单地直接做对比。HIPS完成了它的设计使命，所以HIPS是称职的。微点完成了它的设计使命，所以微点也不错。 　　篇外： 　　over，本章到此理应结束。我很欢迎朋友们来积极热烈参与讨论，在深度这种技术性讨论社区，大家应以技术、逻辑、以理服人。嘿嘿，不过从私心来讲，我对某些朋友混淆概念，搞文字游戏的把戏还是很有兴趣的，稍微掺和几句，权当调节气氛了。 　　以微点和HIPS都具有监控模块，而论证出微点是高级HIPS的结论，还是很站不住脚的。莫忘了除了监控和分析模块，微点还有最重要的清除模块呢。对微点来说，监控是手段，分析是方法，清除才是最核心最重要的目的。完全忽略主体，而只谈某一个过程，就有点儿太矫情了…… 　　诚然HIPS虽没有清除能力，但使用动作阻拦也可以达到一定的安全防护作用。但如果我以钳子和六轴精密数控车床都可以加工金属部件为由，非说车床==高级钳子，我想问问有人能接受么？呵呵，实际上，钳子归属五金类，而车床归属机械类，完全是两类产品，不能在一块简单作比较的。使钳子（当然不止钳子咯）的高手叫钳工，使床子的高手叫车工，高级钳工和高级车工都是优秀的高级人才，并没有高下之分。。。 (责任编辑：admin)

尝微听几

这个支持一下，好像是转帖

yzcucu

回复 2楼 尝微听几 的帖子

我在网上看到了一篇文章，觉得写得不错，就拿来分享了。

威尔士王子

以前看过，的确很多人把微点当智能HIPS了

yangyi0311

好贴   慢慢看

dragon817

有稍微明白了一点点

wsmurderer

古董帖。。。。。

超现实主义

看了大半天，才发现这个作者认为微点比HIPS更加强大！其实，大家都知道刚好相反！

veimo

微点确实很难下定义、、、

jiang790

微点是很特殊的安全软件