【个人谈点对微点先进技术的理解，兼麦咖啡的一些理念】

zhoubing

【个人谈点对微点先进技术的理解，兼麦咖啡的一些理念】
（转自安防论坛，个人感觉现在国产的杀软，也就是费尔和微点不错，最然最后选择了费尔但我还是很支持微点的，不属于同情刘旭的那种支持，纯粹的对国产优秀杀软的支持）
　　补充一下：我所说的下面这些文字，只是我自己的认识水平有限，个人看法而已。有错误请指出，非常感谢！

　　不怕丢人，我对微点不太熟悉，对麦咖啡更是一知半解。只能通过简单的说明进行对比，看看微点高在什么地方。这贴子不是为了吵架的，如果想吵架，请另找地儿开枪。
　　微点第一个特点（以下特点均是官方技术说明文字）：
①　创立动态仿真反病毒专家系统：对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库。模拟专家发现新病毒的机理，通过对各种程序动作的自动监视，自动分析程序动作之间的逻辑关系，综合应用病毒识别规则知识，实现自动判定新病毒，达到主动防御的目的。

　　据我理解，这一特点的主要意思是：用病毒识别规则知识库来判断某一文件是不是病毒。而这个病毒识别规则知识库是根据反病毒专家判定病毒的经验（对病毒行为规律分析、归纳、总结）而成的。

　　也就是说，某一程序，当它在系统中进行某一动作，而这一动作恰恰符合病毒识别规则知识库中的一种或一类，则微点就将其判定为病毒，进而制止它的犯罪行为。不知道我这么理解对不对？

　　如果我的理解没有错得太离谱，那么这一技术特点与麦咖啡相比好像并没有太大的优势。在我看来，所谓的病毒行为规律，不外乎就是修改文件（这里的文件概念包括注册表、可执行文件等所有的文件格式）、读取文件（包括密码等私密信息）、建立文件、删除文件（格式化也是删除的一种方式）等几种有限的方式吧？

　　打个简单的比方，反病毒专家可能认为：非法修改注册表往往是病毒的一种行为方式，只要非法修改注册表就触动了病毒识别规则知识库。那么，微点是通过某一程序是否非法修改注册表来判断它是否为病毒的（当然不只判断这一条）。而麦咖啡加一条规则，直接禁止对注册表进行操作（你自己指定可以修改注册表的程序除外）。

　　也就是说，微点病毒识别规则知识库中的所有病毒行为判断规则，在麦咖啡中都可以用一种更为极端的方式来实现。你认为它在系统文件夹下私自写文件改文件是病毒行为，那麦咖啡直接就禁止除了你指定的程序外不能动系统文件夹下的任何文件。哪个更极端？

②　自动准确判定新病毒：分布在操作系统的众多探针，动态监视所运行程序调用各种应用编程接口（api）的动作，自动分析程序动作之间的逻辑关系，自动判定程序行为的合法性，实现自动诊断新病毒，明确报告诊断结论；有效克服当前安全技术大多依据单一动作，频繁询问是否允许修改注册表或访问网络，给用户带来困惑以及用户因难以自行判断，导致误判、造成危害产生或正常程序无法运行的缺陷。

　　首先，我认为，越来越多的软件开始借鉴一些病毒的技术。在这种情况下，如果一款新软件像以往的病毒一样采用新的接口动作，微点如何判定这一新软件到底是不是病毒？尤其是，像一些涉及系统底层接口的软件，怎么判断？有没有误判的可能性？
　
　　第二，我们平常所用的软件基本是有数的。就算出现了新软件，对一个非新手来说，它的功能、需要的支持基本上也能断定。比如新出了一款浏览器，根据它的软件说明，我想作出一个大致的判断应该不难：需要通过80端口上网，需要对缓存区进行读写，需要支持HTTP和FTP下载支持等等。而这些东西，在麦咖啡里完全可以通过自定义规则中的排除来搞定，在这几条限定规则中把这款浏览器的进程给排除掉，就万事OK了。

　　也就是说：微点能做到的，麦咖啡也能做到，只是对使用者的技术水平要求不同而已。

③　程序行为监控并举：在全面监视程序运行的同时，自主分析程序行为，发现新病毒后，自动阻止病毒行为并终止病毒程序运行，自动清除病毒，并自动修复注册表。

　　发现新病毒后自动阻止病毒行为，对一款防/杀毒软件来说都是必要的。问题是，杀软的进程优先级比较麻烦。如果病毒进程的优先级高于杀软，想把它干掉恐怕不太可能。微点在没有系统底层代码的前提下，能保证这种情况不会发生吗？要知道，几家国际知名杀软可大多拿到了微软公布的部分底层代码。

④　自动提取特征值实现多重防护：在采用动态仿真技术的同时，有效克服特征值扫描技术滞后于病毒出现的缺陷，发现新病毒后自动提取病毒特征值，并自动更新本地未知特征库，实现“捕获、分析、升级”自动化，有利于对此后同一个病毒攻击的快速检测，使用户系统得到安全高效的多重防护。

　　特征值扫描确实滞后于病毒的出现。我理解微点的这一技术特点，应该是：通过行为判断技术判定病毒，接着在本机直接提取特征值加入本地未知特征库，从而避免变种损害，以及官方升级病毒特征的麻烦。

　　这一点非常好，严重支持。麦咖啡能达到的程度是：即使知道你是病毒，即使我不想杀毒，并且直接手动启动该病毒，也无法运行。记得剑盟某牛人发过一条麦咖啡的规则，开启之后计算机处于“无敌”状态，任何操作都不能进行，除非你手动指定哪个程序是良民（包括系统本身极其重要的一些进程，比如SVCHOST）。孰优孰劣，自行判断。

⑤　可视化显示监控信息：对所监控程序行为的信息可视化显示，用户可随时了解计算机正在运行哪些程序，其中哪些是系统程序，哪些是应用程序，还可进一步了解程序是何时安装，什么时候运行，运行时是否修改了注册表启动项，是否生成新的程序文件，程序是否具有自启动，程序由谁启动执行，程序调用了哪些模块，以及当前网络使用状况等等。用户直观掌握系统运行状态，并依据其分析系统安全性。既可用作系统分析工具，又可作为用户了解计算机系统的学习工具。

　　非常赞同的一点是：可视化显示监控信息，可以作为用户了解计算机系统的学习工具。因为这种可视化显示，有N多的进程查看软件可以做到。如果是为了看这个，我想，也并没有必要一直开着它占用系统资源，需要看的时候打开看一下就行了。对新手来说，这个特点着实不错。

主动防御与反病毒软件通用的病毒特征值扫描技术的区别
    微点主动防御软件属于防病毒软件，但完全区别于目前市场上的防病毒软件。   
    当前杀毒软件多采用特征值扫描技术，即由专业反病毒人员在反病毒公司对已可疑的程序进行人工分析研究，人工判断该程序是否是病毒；如果该程序是病毒，由反病毒工程师人工提取该病毒的特征码，再通过升级的方式更新用户计算机上杀毒软件的病毒特征库，此时用户计算机上的杀毒软件才能判断某个程序是病毒。也就是说，如果用户不升级，用户计算机上的杀毒软件就不能防范新出现的病毒。这也就是防病毒公司始终强调用户要实时升级的原因。可以这样说，病毒总是出现在杀毒软件更新病毒特征码之前的，因此，传统的杀毒软件对新病毒的防范始终滞后于病毒的出现。
   
微点主动防御软件建立了动态仿真反病毒专家系统，能够自动准确判定新病毒，并且能够自动提取特征值，自动更新本地特征值库，实现对病毒的主动防御。简单来讲，微点主动防御软件不是依赖于病毒特征码的判断，是依靠动态仿真反病毒专家系统根据病毒程序运行的行为进行判定，就像一个专业反病毒人员人工判断病毒一样，但微点实现了程序的自动化；
   
微点主动防御软件与当前流行杀毒软件的主要区别：微点主动防御软件依靠动态仿真反病毒专家系统的病毒识别规则知识库自动准确判定新病毒，当前流行杀毒软件依赖于专业反病毒人员手工判断提取的病毒特征码。在防范新出现病毒的时间上，微点主动防御软件是实时发现新病毒，当前流行杀毒软件需要等待防病毒公司更新病毒特征码后才能发现病毒。

　　总而言之，我的看法：微点开辟了一条杀毒防毒的新路子，可喜可贺。国产杀防软件为有微点应该可以长出一口气了。

　　但是，诸位，请不要由此就声称微点天下无敌，因为这并不是事实。可能对某些用户来说，微点直观、聪明，但并不代表它的功能别的软件就无法企及。从另一个层面上来说，如果熟用了麦咖啡，自己配置规则，除了那个可有可无的可视化监控信息化，其它的统统不在话下。

形象点说，
微点是：发现谁在做坏事，制止并将其投入大牢或枪毙，完好地解决他带来的一切后果。
麦咖啡是：一套详细的制度，保证任何想犯法的人都没有犯法的机会。

最后，祝微点越走越好。
建议：计算机水平比较高的用户，不妨试试麦咖啡企业版。对参数、进程名、规则不耐烦的朋友，微点、费尔绝对是最佳的选择。

费尔和微点相同点和不同点(转自绅博)
微点和费尔的相同点都是有主动防御
不同的地方是:
微点是主动防御为主，病毒特征库为辅。
费尔是病毒特征库为主，主动防御为辅 。

费尔的动态防御部分是属于行为性的判断，费尔是以静态病毒特征库为主、主动防御为辅的，凭借着比较庞大的病毒库，再加上主动防御技术，来防御。由于行为性特征来动态判断活动程序是否具有风险，所以费尔的动态防御中特别加入许多防误判机制进行控制，还加入了在线扫描功能来帮助用户进一步确定被报警文件的安全性，以缓解这方面的茅盾。

还有需要提醒的一点是：费尔和微点同时装上，看似好象没有冲突，其实是错误的。
费尔和微点同时开机启动，只要你运行病毒或者木马样本，基本都是费尔报警，微点没反应，也不提示有病毒木马，默默无闻的。如果把费尔关了，微点才会有反应才会报警。

红心王子

偶现在对微点和费尔报有很高的期望值
楼主转载的这篇文章很典型

baerzake

微点能做到的，麦咖啡也能做到，只是对使用者的技术水平要求不同而已。

这个就是区别 。微点是尽量做到无干扰，无需设置。而咖啡就需要用户自己设置规则。和HIPS没多大区别。微点是通过对象的一系列动作综合判断是否是病毒，而咖啡是对单个动作的阻止，如禁止修改XX目录下文件等。微点和咖啡的区别其实就是微点和HIPS的区别。微点防毒比不上规则严厉的咖啡，但是微点的优势在于它把易用性和安全性都提高了，达到了比较完美的平衡。

PS：微点还是有培养前途滴

[ 本帖最后由 baerzake 于 2007-12-31 09:27 编辑 ]

chenrui19930

也许吧,我对它期望很高的

剑指七星

费尔和微点同时开机启动，只要你运行病毒或者木马样本，基本都是费尔报警，微点没反应，也不提示有病毒木马，默默无闻的。如果把费尔关了，微点才会有反应才会报警。

过了费尔的话，微点拦截   
顺便带一句，费尔的监控确实很灵敏

剑指七星

原帖由 baerzake 于 2007-12-31 09:22 发表

这个就是区别 。微点是尽量做到无干扰，无需设置。而咖啡就需要用户自己设置规则。和HIPS没多大区别。微点是通过对象的一系列动作综合判断是否是病毒，而咖啡是对单个动作的阻止，如禁止修改XX目录下文件等。 ...

在现阶段，hips难以大面积推广，只适合具备一定基础的人使用
微点在保障安全的同时（安全系数，很不错），提高了易用性（基本上无需设置）
所以，推广微点要比hips容易（仅从普及性来看，不考察其他方面）

[ 本帖最后由 剑指七星 于 2007-12-31 10:00 编辑 ]

clovedsm

咖啡那种……要说没有可以突破咖啡的木马也不见得，照样突破，而且咖啡的hips是不会自动升级的，微点发现了突破其主防的杀软，马上会进行升级，咖啡的话，要你自己写规则了，这个易用性差的不是一点点……

kasper

买了费尔，没用~~~说明什么~~~~~

Solala

难道永远用外国的杀软吗?
也该有自己的了
国内也就微点和费尔比较上进
支持

自由

我装微点基于2点。
1.我是懒人。
2.我是菜鸟。
安全性对于一般人我想足够了。但要走的路长着呢。

[ 本帖最后由 自由 于 2007-12-31 13:20 编辑 ]