到目前为止主防软件能不能“自动提取特征值实现多重防护”？

悟心之道

偶从百度百科上看到，说主防软件优点之一是：
自动提取特征值实现多重防护：在采用动态仿真技术的同时，有效克服特征值扫描技术滞后于病毒出现的缺陷，发现新病毒后自动提取病毒特征值，并自动更新本地未知特征库，实现“捕获、分析、升级”自动化，有利于对此后同一个病毒攻击的快速检测，使用户系统得到安全高效的多重防护。
偶菜啊，同饭们：到目前为止主防软件能不能“自动提取特征值实现多重防护”？
原文在这儿：http://baike.baidu.com/view/463959.htm
1 微点论坛有答
1.1 Originally posted by littlefritz at 2011-1-8 09:15:
“您好。微点主防在拦截未知病毒之后会自动提取特征码。若下一次再次遇到此病毒，无需待其产生异常行为后，而是在其运行前，就能阻止，这样的好处是能够减少系统资源的消耗。”
1.2  我还有问题：还没明白的哦，病毒的“未知特征”或“特征码”与“病毒特征值”什么关系呢？谢谢！(2011.01.08 9:36)
其实我就是想问对未知木马和病毒，就算我相信你能阻止其运行或避免其危害，但杀也能做到？
Legend 答（TA应该能代微点官方说的了）
超级版主
  http://bbs.micropoint.com.cn/showthread.asp?tid=77731&page=1&sid=IEGeQY#pid544278

病毒的特征码也称为病毒特征值，病毒特征码可以理解为：从病毒样本文件里提取的唯一性“字符串”，然后把这些“字符串”更新到反病毒软件的病毒库里，再遇到这个病毒可以查杀了。

未知病毒特征自动提取技术是微点主动防御软件的技术亮点。微点主要是依据程序行为判断病毒的，当某个可疑程序运行后表现出病毒行为，微点就会报警拦截，当用户根据报警信息处理此病毒程序后，微点就会自动将此病毒程序的未知特征码更新到本地病毒特征库里（从病毒程序中自动提取上述描述的唯一性“字符串”，传统杀毒软件是需要工程师手工提取，微点是依据程序自动提取），此病毒通过拷贝或下载等方式再次试图进入计算机时，此病毒在没有运行前，微点直接通过“本地病毒特征库”就可以查杀此病毒。

传统杀毒软件是病毒特征码扫描技术，只有捕获了病毒样本，提取了病毒样本的特征码才能升级杀毒软件对病毒查杀，所以传统杀毒软件永远滞后于病毒，不能很好的查杀未知木马和新病毒。

微点依据程序行为判断病毒，无论病毒程序是否在微点的病毒库里，只要此病毒运行后有病毒行为，微点就会报警拦截处理。所以说微点能够很好的处理未知木马和新病毒。

1.3 我再来“这个回答比较细了。我可以做如下理解行不？
对未知病毒或木马在不升级“特征版本”的情况下能阻止其运行，避避免其危害我信。当然如果一个文件只是样本直接删除也算杀，但如果是一个有用文件被感染呢，也能杀吗？偶很期待的啊！ （11：15）
[ Last edited by littlefritz on 2011-1-8 at 11:47 ]
您好。如果您的正常文件遭受感染，在运行时产生了病毒行为，微点将删除该“已有病毒特征的原先的正常文件”。即，正常文件也会进入隔离区。当然这个文件还是可以被恢复的。如果您遇到这样的问题，可以将您认为有用的被感染文件恢复出来，用微点杀毒软件进行“清除”病毒，即剥离病毒体，恢复原文件。当然，根据病毒感染文件的方法和位置，对于覆盖型的病毒，安全软件无法恢复受损数据，还请您日常及时备份。
简单来说，微点主防没有清除病毒功能，只有删除文件、删除病毒功能。而微点杀毒可以清除病毒。
另外您还需要知道微点主防可以有效防御已知或未知的感染性病毒，阻止病毒对您的正常文件产生损害。
我都睡觉起来还有条回复：
2011-1-8 14:16“微点对已知病毒的查杀主要是通过核对特征码来进行监控。对未知木马，既然是之前所未被发现的，则会允许其运行。如果其异常行为达到了恶意软件的标准，则会报告其为未知木马未知病毒等，同时，该有害文件的本体，及其衍生物都将被回滚，其对系统产生的危害将被消除。因此说微点能够准确查杀已知和未知的威胁。
※ ※ ※ 本文纯属【littlefritz】个人意见，与【 微点交流论坛 】立场无关※ ※ ※  ”
虽不直接代表官方立场，看来比较有理？【2011 1 8 17：30】

2 同饭答
2.1 bc123 说“微点会自动发送未知样本给官方。”   楼主注：我体验呢，设置时同意自动上传才会传！



3【小结】--注意我这个才实现“自学习、自进化”（玩笑）
主动防御软件现在基本能实现“自动提取特征值实现多重防护”，微点应该是主防做得很好了（不知道谁最好啊），应该说还不能尽善尽美，体现在三个方面：一是实现了“自动提取特征值”，但这个特征值却不一定是病毒本身特征值，差别在于，当且仅当为单病毒样本时，二者才一致，当属于有用文件被感染时这个特征值就是含有用和有害在一起的文件特征值；二是即使按微点广告也就能查杀99%的未知病毒和木马；三是当有用文件被感染时，在未知病毒代码的情况下不能有效清除病毒代码。期待主防更完美！（2011 1 8 18：03）
4【点建议】
由上讨论可以看出主防单奔并不很妥当，最好配合与主防兼容的杀软使用。

微点官方论坛对待用户（偶就一体验用户），这次几个小时了，都没烦，还有答得较专业和认真，对提问答复还是很给力的，表扬个！

错漏处同饭指正！（2011 1 8 12：06）

【后续】
tcjgdw  继续描述了人工提取特征值与主动防御技术所提取特征值的差别！http://bbs.kafan.cn/forum-redirect-goto-findpost-ptid-884847-pid-17126224-fromuid-513112.html（20110113 01：10）

天使的愤怒

回复 1楼 悟心之道 的帖子

主动防御软件一般都是反病毒专家根据自身的经验制定出规则，然后主动防御软件根据未知文件触发规则的次数和加载、运行文件的方式是否和一些病毒类似，然后才拦截的。


微点会自动发送未知样本给官方。

悟心之道

微点主防软件是具有主动防御技术的软件之一。
其实只要“主动防御”软件任意一款能做到就表明当前具有这种能力了？
我也在微点官方论坛提这问题了，等等再说。

悟心之道

微点论坛：
Originally posted by littlefritz at 2011-1-8 09:15:
“您好。微点主防在拦截未知病毒之后会自动提取特征码。若下一次再次遇到此病毒，无需待其产生异常行为后，而是在其运行前，就能阻止，这样的好处是能够减少系统资源的消耗。”
我还有问题：还没明白的哦，病毒的“未知特征”或“特征码”与“病毒特征值”什么关系呢？谢谢！

小茂

会自动上传的

悟心之道

回复 6楼 小茂 的帖子


上传与否可选

小天才

微点很好啊

苏鹤

不讲证据 只讲行为 这种才叫NB。。。杀软这特征码那特征码的。。。总是在病毒后面。。。

zjedwine

微点就可以。

悟心之道

littlefritz 版主 微点帮帮团团长 答
您好。如果您的正常文件遭受感染，在运行时产生了病毒行为，微点将删除该“已有病毒特征的原先的正常文件”。即，正常文件也会进入隔离区。当然这个文件还是可以被恢复的。如果您遇到这样的问题，可以将您认为有用的被感染文件恢复出来，用微点杀毒软件进行“清除”病毒，即剥离病毒体，恢复原文件。当然，根据病毒感染文件的方法和位置，对于覆盖型的病毒，安全软件无法恢复受损数据，还请您日常及时备份。
简单来说，微点主防没有清除病毒功能，只有删除文件、删除病毒功能。而微点杀毒可以清除病毒。
另外您还需要知道微点主防可以有效防御已知或未知的感染性病毒，阻止病毒对您的正常文件产生损害。