不要玷污主动防御

dsl5

前些天看了星星的主动防御图，感觉星星有点进步，总算悟出了主动防御的一点皮毛，正确来说那图只是主动防御的初级阶段，充其量只是一个普通的hips图！为什么？我后面会解释！

主动防御的精髓在哪里？天知道，地知道，刘旭知道，刘旭是不会说出来的，于是他弄了一个“动态仿真专家系统”来瞒天过海，于是众厂商包括老卡和星星纷纷来取经模仿，可惜，怎么模仿都只是赝品，和正品多年的研发改良相比粗糙不堪！然而它们力图赶时间占市场，于是决定把半成品拿出来显摆！还真有人民群众被忽悠！

要辨别主动防御的真伪，对于刚接触的新手来说，首先应该明确一个逻辑：一个或多个动作构成单一行为，一个或多个行为构成程序！

主动防御第一阶段：捕捉动作，组合成单一行为！这就是hips做的事情，hips接着就判断风险或者报警，但是真正的主动防御不会！

主动防御第二阶段：给所有的单一行为评分，怎么评分？按危险等级评分！假设微点以总分超过85分为病毒，40分为风险，某个程序有A B C D八个行为，其中B行为的危险就已经超过40，那么微点就报警阻止（这种情况很多，例如***试图异常访问网络，***企图格式化硬盘，***有Rootkie行为等等，又或者某种行为难以修复），阻止归阻止，并不是说断定这个程序就是病毒，要4个行为都运行完了再结合来看，在此之前只是记录！

主动防御第三阶段：行为联动分析！首先要对照所有行为中有无后门迹象，假如有，而且总分超过85，那么微点就报未知木马！假如有蠕虫迹象，总分又超标，就报未知蠕虫！之前病毒已经运行的其它行为就按照微点的记录来反向修复！

下面我们来看看瑞星，从那图上看星星监控了一些动作的“战略要地”，这些动作套取了以后可以得到单一行为！也许是星星太赶工了，这第一阶段完了就放出去，然后套上自己那些病毒家族的行为（例如A病毒的核心行为是a，那么下次见到a行为，就说是A的变种）但是瑞星的生成记录还是很全面的，不然说不出一系列衍生物，但是这毕竟只是普通hips，说成主动防御未免太可笑！

卡巴与瑞星如出一辙，只是记录没有瑞星全，但是监控的“战略要地”明显比瑞星多，马甲大婶批瑞星批的就是它控制的“战略要地”比较少，单是检测SSDT，瑞星4个hook，微点18个hook，可见端倪！

大家不要被忽悠了，主动防御也不容许被玷污！

微点卫士

主动防御现在都被炒成噱头了

镭风

估计又要引发新一轮口水战

The EQs

主动防御现在都被很多人认为是行为拦截了？？？真不知道这么多人怎么理解的。。。主动防御只是一个概念问题。。。目的是对抗未知的病毒。。。。行为拦截和启发式扫描器是最常用到的主动防御。。。。。。。

坐在墙头

微点有意或者无意炒作的结果

自由

原帖由 坐在墙头 于 2007-9-4 13:35 发表
微点有意或者无意炒作的结果

怎么是微点炒作，微点刚出来多少人讨论主动防御？

sharkkong

主动防御是什么？只是一个工具而已，工具是被人使用的东西，怎么会牵扯到“玷污”这样的词那？
任何软件都会有进步，我不否认。很多人看不惯瑞星，一方面是因为他的某些做法很讨人厌，但是更多的是因为我们真正用过瑞星，作为普通用户，我不要你有什么天花乱坠般的噱头，我只要一件事：不中毒，保障我机器和数据的安全。但是瑞星没有给过我们，起码我没有感受到瑞星的新技术（有些还是自诩为国际领先的）带来的安全。威金、熊猫烧香，让我们公司的机器（正版瑞星）吃尽了苦头，损失了多少数据。一次，你可以说是失误，2次3次，你还能说是失误吗？
楼主你可以钟爱瑞星，但是没有必要把某些技术视为神圣，人家卡吧早就有主动防御，可是人家没有大肆宣扬（不论他是否完善）。在我看来“玷污”这种词，瑞星不配用，难道现在还是文革吗？还要文攻武卫？
我用卡巴，是因为它可以保障我的机器和数据的安全，熊猫、威金、AV，都没有伤害我，我才会坚持用的。
瑞星，我也用，但是，真的让我很失望。
哎，每一次谈着谈着瑞星就变成了口水了。真无聊。

[ 本帖最后由 sharkkong 于 2007-9-4 13:51 编辑 ]

坐在墙头

这个就是关键问题了，微点出来之前没有人炒（至少在中国），微点一出来就大打主动防御牌，而且并不说其采用的行为分析技术只是主动防御的一种，就很容易让人认为主动防御就是微点的行为分析了

csy0335

真正的较完善的主动防御系统只有东方微点

wyqtc1988

不喜欢主动防御类 虽然好 但是不方便