简析对于行为分析的误解

taiw_1144

看到这样一种说法“当病毒活动了，机器也就染毒了，微点同时才出现，好象不如先清除了好，所以建议微点应该加入扫描技术”，这种想法应该说代表了很多网友的真实想法。我们分两部分来详细讨论一下。
1.“好象不如先清除了好，所以建议微点应该加入扫描技术”
这个提法很对，从程序效率上讲，在病毒加载前杀毒确实比病毒加载后杀毒的效率要高。道理很容易懂，特征码只扫描几个点，而病毒加载是要读取全部程序并进行初始化，所以单论处理速度的话，行为判断必然要低于特征码扫描。所以说微点在监控中加入了特征码判断来提高整体程序的运行效率和杀毒效率。而采用实时行为引擎的意义，不用多说了，大家都明白，特征码对“未知病毒”无能为力，所以行为监控是必须的。结合到微点主动防御系统上，就是我们目前看到的形态，已知特征扫描、未知特征扫描、行为判断三部曲。
在实时监控上微点的技术原理架构和实际效果绝对是目前最出色的。我和某些朋友想法不太一样，我觉得一个完善的实时监控系统是保护系统安全最重要的途径，如果实时监控比较完善，那么扫描可以说是多余的。因为只有在实时监控漏报的情况下，扫描才有价值。所以我个人对微点以后将推出的扫描引擎并不是很热衷。不过，每个人都有不同的使用习惯和想法，我不需要并不等于别人不需要。微点能虚心接受用户的建议，努力满足用户的需要，这点还是值得鼓励的。
PS：有的朋友觉得 主动防御==行为分析，我个人不太赞同这个提法，我觉得主动防御>>行为分析，主动防御是一种综合性架构体系，至少包括特征扫描、行为分析、本地特征自动提取、系统辅助分析功能（主要是工具和日志）等等。鉴于微点主动防御架构的先进性，所以心随风落那篇中天第一热帖《微点与其他杀软对三大论坛的样本测试报告》中出现的悬殊差距也是很必然的了。我个人最期待的是卡巴、江民、McAfee把它们的“手动防御”尽快升级为主动防御，然后来一场真正意义的比拼低误报的PK。目前只有微点一个主动防御产品，想不给微点封老大都不行。。。
2.“当病毒活动了，机器也就染毒了，微点同时才出现”
这个提法是不科学的，但是大家这样想也是很正常的，因为学过编程懂得程序运行机理的人只是少数。为什么说这个提法有问题呢？因为在Windows下，程序其实是不能真正意义直接运行的，程序运行实际上是通过API接口通知Windows内核，由Windows负责真正的执行。
我理解微点的监控部分是工作在应用程序和系统内核之间，而微点的执行层则嵌入windows内核，这样就实现了微点目前的形态，实时监控程序行为，在发现异常时以系统内核权限强行中止病毒进程。也就是说在病毒发挥破坏作用前的一刹那微点报警发挥作用，由于微点阻止了病毒把破坏行为传递给windows内核，所以实际上在微点报警并拦截病毒的那一刹那，病毒并没有真正意义上的执行，破坏性为、染毒也就无从谈起。
所以说微点的行为监控，貌似惊险，但是技术原理上是绝对安全的。

野马

偶都快一年了，还没倒下！

taiw_1144

楼上的用了一年了，如果早点知道我就不需要重装那么多系统了，我才用两个月，去年用过江民，但当时班上病毒流行基本每隔几天就要装次系统，没办法，中毒后系统慢得要死，又找不到好的杀毒软件，今年年初刚买电脑时用瑞星，QQ号被盗后换金山，金山扫出五六个木马。用了四个月吧，感觉金山也不错了。后来无意间在网上看到瑞星和微点的丑闻，就把金山御了装上了微点，装了微点后刚开机时FP使用直接由原来用金山时的220M降到170M呀，现在优化后160M，并且微点四个进程CPU使用为零，所以微点给我的第一感觉就非常好，后来因为下载绿色版的软件微点拦截过未知后门程序，流览网页时拦截过未知木马，逛过几次样本区，喜欢上了微点，其中在网上看过说nod32和小红伞好，专门下过和微点对比，还是觉得微点资源占用少且系统流畅，且红伞误率高，微点虽然也会误报，但很低了，现在上网都会看看关于微点的帖子和消息。

GBUser

特征码扫描是唯一可能在威胁本地运行前就检测到它的

GBUser

SO，支持微点加入扫描功能

winddxr

2.“当病毒活动了，机器也就染毒了，微点同时才出现”
这个提法是不科学的，但是大家这样想也是很正常的，因为学过编程懂得程序运行机理的人只是少数。为什么说这个提法有问题呢？因为在Windows下，程序其实是不能真正意义直接运行的，程序运行实际上是通过API接口通知Windows内核，由Windows负责真正的执行。
我理解微点的监控部分是工作在应用程序和系统内核之间，而微点的执行层则嵌入windows内核，这样就实现了微点目前的形态，实时监控程序行为，在发现异常时以系统内核权限强行中止病毒进程。也就是说在病毒发挥破坏作用前的一刹那微点报警发挥作用，由于微点阻止了病毒把破坏行为传递给windows内核，所以实际上在微点报警并拦截病毒的那一刹那，病毒并没有真正意义上的执行，破坏性为、染毒也就无从谈起。
所以说微点的行为监控，貌似惊险，但是技术原理上是绝对安全的。

这段话太不专业了.....................
就目前的微点而言,是离不开特征码识别的..........................

taiw_1144

微点目前也有特征码识别吧，比如打开一个文件夹，如果文件夹中有个微点的已知病毒，微点就能把它在运行之前咔嚓掉。
当然在一个未知病毒面前，只有未知病毒运行了后微点才能根据其一系列行为作出判断并拦截。理论貌似好深奥了，了解不是很深，呵呵！！
但我个人认为平时我们上网一般都好少感染到病毒的，网上挂的好多后门程序也是要通过漏洞才能起作用。
微点扫描据说在内测中，期待它快点出来吧，到时微点集扫描和主动防御为一身，就不会留人以话柄了，呵呵！！！

GBUser

对一步到位的恶意行为，行为判断是没什么用的，还是要提交给用户判断
对这种东东，特征码扫描还是最有效的

dsl5

请允许我做一个不太贴切的比喻:

系统内核就像一台钢琴,钢琴上的按键就是API,无论是病毒还是其它程序,它要执行就肯定要利用系统的API转化为CPU指令集!也就是说它要通过按这一系列按键才能发音,那么如果在这些按键上面布上探针,记录一个程序(一个演奏者)按了哪些按键,把每个按键的风险值加起来,超过某个极限就报警,一些特殊的可以独立判断风险的行为(黑色那些按键),直接赋予高的风险值或者允许独立报警!

taiw_1144

楼上正解!!!

[ 本帖最后由 taiw_1144 于 2007-11-7 00:59 编辑 ]