微点、微点、注目焦点

spbic

　
2007-09-04 02:19 本文仅发于 http://hi.baidu.com/zqinyan/  转贴注明

　　主动防御这个词，再次成为了安全界的新宠。一时间诸多宣传使用了主动防御的软件出现在人们的眼前。尽管这其中良莠不齐，甚至不乏混水摸鱼之辈。

　　HIPS发展至今，因为其入门条件较高，需要使用者具备一定的电脑使用基础甚至一些病毒知识，从而限制了其广泛的推广，也使得不懂电脑的普通大众对HIPS其望而却步。

　　于是，对HIPS操作的简单化，或者说智能化便成为了各个论坛HIPS区一个讨论的主题。

　　于是，东方微点主动防御软件便站在了这场讨论的风口浪尖上。

　　微点使用了传统杀软的特征值扫描功能，对程序扫描并与病毒特征库中的特征值进行比对，如果符合，则可报为病毒。不过由于传统的特征值扫描需要对病毒事先提取病毒特征值构成病毒特征库，所以对于还未收录到病毒库里的病毒，查杀效率十分低下。

　　但是微点主打的亮点并非是传统的特征值扫描，而是新兴的主动防御功能。

　　通过拦截并记录程序一系列API动作，并自动将记录结果与微点的行为知识库进行对比，进行逻辑判断和综合分析，如果程序的这些连续的API动作在行为知识库中已有记录，那么微点即可将此程序报为已知的病毒。如果程序的这些连续的API动作在行为知识库中仅部分记录符合，那么微点即可将此程序报为未知病毒或者可疑程序。

　　这样做的优点很明显，那就是根据病毒的行为特征来杀毒，可以对病毒的免杀技术免疫，从而提高查杀率。因为目前流行的病毒免杀技术都是针对传统的特征值扫描来做的，就算你免杀做的再厉害，病毒的行为仍然不变，所以微点能够对免杀及变种病毒进行十分有效的查杀，哪怕该病毒并未被收录。

　　然而这样做的缺点也很突出，那就是对于应用了新手段的病毒，或者说使用了行为知识库所还未收集到的行为来进行破坏的话，微点不会对此程序的动作进行任何的报警。因为行为知识库是建立在对已知病毒行为的大量分析之上的。

　　因此，对于这种微点不能监控到的病毒，微点用户所能做的，就是将该病毒上报给微点官方，由反病毒工程师分析该病毒所使用的行为动作，然后添加到微点的行为知识库中，用以让微点用户尽快升级。

　　而这也让微点陷入了与杀毒软件同样的境地：为了能够查杀破坏行为未在行为知识库里的病毒，微点用户需要像使用传统杀软的用户一样，经常对微点进行升级，以便能够查杀使用了新破坏行为的病毒。

　　这样的情况，目前也不止出现过1次，幸好微点官方更新迅速，才避免了这些微点不能够查杀的病毒大范围传播。



　　尽管微点也采用了对程序API动作进行拦截的技术，但是与传统的HIPS软件所不同的是。微点是对程序前后联贯的一系列API动作进行分析，而传统HIPS软件则是对单一的API动作进行规则设定的拦截。也就是说，微点拦截的是程序的联贯动作，而HIPS拦截的是程序的单一行为。

　　所以，微点不能拦截的病毒，HIPS不一定也不能拦截。这一点在以往的几个微点不能拦截的病毒的测试情况来看，已经得以证明。

　　于是有人会说，微点是否应该开放一些自定义设置规则的接口，以让用户自己进行规则设置？这样，不就可以避免上面所说的尴尬场面了吗？

　　但是，如果微点这样做的话，新的问题又随之而来。

　　假如开放用户自定义设置规则的接口，那么由于一些API动作的特殊性，不会单一的设置为阻止或者运行操作，而是设置为询问操作。

　　这时，问题就来了。

　　一个询问操作，即会将程序的连续性API动作分割为单一的动作，并交由用户处置。这样一来，微点的行为分析便派不上用场，因为连续的动作已经被分割。

　　于是一个新的想法被提出来，就算询问了用户，并由用户操作，但微点仍然将分割的动作组合起来进行分析——既然到最后都要由微点来进行分析，那么还交由用户处理干甚么呢？不是多此一举么？



　　最近听说微点将增加扫描模块，这一举动将微点越来越向杀软靠拢。也许，微点本身就是一个组合了HIPS功能的杀毒软件而已。只不过微点主要靠的不是病毒特征库，而是行为知识库，通过自动对程序连续的API动作与行为库进行对比，并与特征值扫描的结果相结合的杀毒模式。



　　林林总总说了一堆，只是希望微点一路走好。

　

hu550110

其实说的没错

型仔阿细

微点一直没什么动静,现在用微点的也比较少.

saga3721

微点刚在样本区帮着拦截了一个红伞查不出的试图删除文件的新的恶意程序！干得漂亮！
光这就值50块一年

capsshift

我很长时间以来，就是微点和红伞共用了，两个家伙的兼容性很好。

dsl5

然而这样做的缺点也很突出，那就是对于应用了新手段的病毒，或者说使用了行为知识库所还未收集到的行为来进行破坏的话，微点不会对此程序的动作进行任何的报警。因为行为知识库是建立在对已知病毒行为的大量分析之上的。

　　因此，对于这种微点不能监控到的病毒，微点用户所能做的，就是将该病毒上报给微点官方，由反病毒工程师分析该病毒所使用的行为动作，然后添加到微点的行为知识库中，用以让微点用户尽快升级。

　　而这也让微点陷入了与杀毒软件同样的境地：为了能够查杀破坏行为未在行为知识库里的病毒，微点用户需要像使用传统杀软的用户一样，经常对微点进行升级，以便能够查杀使用了新破坏行为的病毒。

　　这样的情况，目前也不止出现过1次，幸好微点官方更新迅速，才避免了这些微点不能够查杀的病毒大范围传播。



　　尽管微点也采用了对程序API动作进行拦截的技术，但是与传统的HIPS软件所不同的是。微点是对程序前后联贯的一系列API动作进行分析，而传统HIPS软件则是对单一的API动作进行规则设定的拦截。也就是说，微点拦截的是程序的联贯动作，而HIPS拦截的是程序的单一行为。

　　所以，微点不能拦截的病毒，HIPS不一定也不能拦截。这一点在以往的几个微点不能拦截的病毒的测试情况来看，已经得以证明。

说得太好了

csy0335

百年好文

csy0335非权威鉴定

wyqtc1988

一般一般　不要骄傲　继续努力

Nblock

谁写的

jpzy

说的不错！
微点的扫描引擎是以病毒特征码为基础的！
微点越来越向传统杀软妥协了！