这几天没事干，天天用卡饭毒包测主防

陈识宇

a445441 发表于 2012-7-25 09:46
我问过微点管理员了 公司有规定不能驻守论坛，没办法只有靠我们上报了。

对于病毒样本的态度，确定了对于新病毒的识别率。
对新病毒识别率又决定了人气和名气，是不花钱的活广告；任何广告都没有它的威力大！

微点可以不用大价钱做广告，但是，不下力气搜集病毒、不提高新病毒识别率，那是大大的失策！态度决定结果。
无需破坏微点公司规定，只需平薪（或者低薪）聘请公司外人员，搜集病毒，并经过粗略测试和甄别，剔除无效样本，上报公司即可。——我想微点不会采用此建议的。

angir

liange 发表于 2012-7-25 09:42
我是测双击的~

如果是2.0的话先高启虚拟机扫描一轮再双击剩下的测主防吧

angir

陈识宇 发表于 2012-7-25 09:44
这就是微点的 致命伤。
好几家国内杀软厂家，都有卡饭蹲点（包括蹲点其他大的反病毒论坛），对于病毒样 ...

什么差距？

首先国内其余几家杀软仍久是特征码为主打，当然对于样本求之若渴了。微点是主防为主的安全软件，对于新样本的需求自然不及它们。况且微点是以人工分析为主，比起其他公司有较为成熟的自动分析系统来说，人工分析的效率更低效果更好，所以不可能大规模获取样本。

其次，一个论坛到底能提供多少样本？安全软件厂商自己有自己的样本获取渠道，甚至有相互之间的交换病毒库。仅仅因为不在论坛收集样本就直接贬低微点，这样是不是显得不太妥当？

还有，数字那样做，个人觉得是为了在卡饭的查杀率更好看而已（被喷我就马上编辑这段

最后我不想强调微点一直都不会太依赖特征库的升级

angir

陈识宇 发表于 2012-7-25 09:58
对于病毒样本的态度，确定了对于新病毒的识别率。
对新病毒识别率又决定了人气和名气，是不花钱的活广 ...

举一个例子，很久之前的。熊猫烧香那时候微点还在艰辛创业，那时微点没有升级特征库，却依然可以用行为分析查出熊猫烧香。微点没有理会熊猫却没有影响它对熊猫的完美查杀。
而到了现在，对于很多新出的病毒，微点也没有刻意去收集样本，却依然可以用行为分析查出来。有被过的，微点更新一条行为分析规则，则又可以一杀杀一片了。因此微点不可能像卡巴费尔乃至360一样肆无忌惮的疯狂收集样本。

关于你的第二句话我仍然是用熊猫的例子反驳。微点在07年不升级病毒库就可以完美杀掉熊猫，可是它的知名度上来了吗？普通使用者的人气提高了吗？没有，是不是。即使能够查出新病毒，自己官方不去大作舆论宣传的文章，就不会提高人气和名气。毕竟民间使用者能够影响到的人不多。

如果微点是特征码为主打的安软，那么它就注定了要下力气收集病毒，可是偏偏微点从第一行代码开始就定位了它的主要防御方式是行为分析，所以也就注定它不会下死力气收集大量的病毒走特征码大王的路。
至于说搜集病毒什么的，我也不想说安软公司收集病毒的渠道了。有服务器自动抓，有自己的抓毒网络，有厂商之间的相互交换，等等，何必刻意去论坛收集几个样本呢？

陈识宇

angir 发表于 2012-7-25 10:08
什么差距？

首先国内其余几家杀软仍久是特征码为主打，当然对于样本求之若渴了。微点是主防为主的安全 ...

这是个错误的看法。
1.微点主动防御，是要靠点击后的行为判断。如果能识别、能防住——防御率高，那就达到了防御目的。
双击就能达到别人特征码的识别率，那就很好了。那是以前的事。但是现在的事实是这样的吗？
微点对于白加黑新样本，至今不能主动防御；就必须用被动防御来解决——就必须抢先或者不明显落后于人，取得最新样本。
这只是举一个例子来说明问题。
2.微点现在就是采用了特征码识别加以补充。否则，他的特征码识别就完全是个配像的。
3.不论采用何种方式，即使以防为主，也要看最后效果。特征码识别的防御，也是防御。对于防御的使用者来说，只看重效果，不太看重方式。
微点现在的防御，也是主动防御和特征码防御结合的复合防御方式。如果主防不能识别，特征码防御也不能识别，你的防御效果就落下来了。别人就可以放胆大声地说——你落后了

陈识宇

angir 发表于 2012-7-25 10:17
举一个例子，很久之前的。熊猫烧香那时候微点还在艰辛创业，那时微点没有升级特征库，却依然可以用行为 ...

而到了现在，对于很多新出的病毒，微点也没有刻意去收集样本，却依然可以用行为分析查出来。有被过的，微点更新一条行为分析规则，则又可以一杀杀一片了。
微点对于白加黑的主动防御，至今没有出现（这是可以充分质疑的），如果出现，他就是这方面防御的领先者——可以提前防御一大片同类衍生物。这也是人们期待的。

潘中医

有的木马要等传出数据时微点才杀，卡饭的病毒包有些是灰文件，微点不拦这个。微点的真实成绩不好测～

angir

陈识宇 发表于 2012-7-25 10:33
而到了现在，对于很多新出的病毒，微点也没有刻意去收集样本，却依然可以用行为分析查出来。有被过的， ...

先回复这贴好了。能不能提供白加黑的样本？网盘或者其他渠道。

陈识宇

angir 发表于 2012-7-25 10:42
先回复这贴好了。能不能提供白加黑的样本？网盘或者其他渠道。

我没有刻意去玩病毒。所以，没有样本。
但是，病毒区的同类样本有人不断连续发布多个，微点一直没有突出表现。据悉，有人（比如:真小读者）不断测试微点防御，并上报微点

angir

陈识宇 发表于 2012-7-25 10:25
这是个错误的看法。
1.微点主动防御，是要靠点击后的行为判断。如果能识别、能防住——防御率高，那就 ...

1.白加黑这个先不提，因为我没有测试过。
我没有否认特征码的重要性以及收集新样本的重要性。只是据我所知，微点样本分析组的分析方法是一个病毒A经过分析师1,2,3的分析过后才能入库（起码去年仍然如此）。
也就是说，如果按你所说下死力气去收集样本，因为微点没有高效率的机器自动分析系统，所以全部分析只能仰赖人工的分析。这样分析师就会累死，除非改变这种分析流程。
而且微点也没有必要把全部的样本都入库。有些行为明显的样本入库也只是让微点病毒库白白膨胀而已，个人觉得微点病毒库都是有针对性的，比如过行为分析的毒，或者病毒行为比较危险的那类。
因此我得出的结论就是微点没必要也不可能大力发展特征码。

2.官方宣传已经说明特征码为辅。一般而言特征码只是加快了效率，不必等待病毒慢慢施展行为再让微点摁掉

3.最后效果？你觉得特征码和行为分析只要查到了病毒，提供的不都是最终效果：发现病毒 吗？
特征当然也是一种防御，所以微点每天仍然有几百K的特征入库。否则微点大可以减少特征的入库。不得不承认微点其实也在渐渐加大对特征的依赖。
过了微点特征和主防就叫落后的话，那么前段时间NOD区有人用NOD4.2被盗20W，是不是说NOD落后了呢？微点的不足就是对于过微点的病毒反应不够快。这也是因为微点没有发展云安全的缘故。微点不发展云安全只是理念不同，不可以一棒子打死，微点就是落后。
如果微点落后，又为什么有那么多高端国家政府企业选择微点呢？