微点要上市了！虚拟机+启发式技术

Nblock

原帖由 virusman 于 2008-5-7 19:58 发表
“其实真要脱，什么壳都能脱，只不过资源占用上付出的代价太大而已”，

你编过虚拟机吗，就下什么壳都能脱的结论？杀软的虚拟机和商用虚拟机的机理完全不同，杀软虚拟机不仅API需要模拟，而且必须对每条硬件指令进行模拟，而商用虚拟机则只需模拟API。程序在杀软虚拟机中运行，虚拟机要决定什么时候终止，什么条件终止，如果是脱壳，它必须知道什么时候已完成脱壳。不仅如此，杀软的虚拟机还需要对程序中的反跟踪和异常处理用软件进行模拟，如果模拟或处理有问题，就可能导致脱壳失败。为了较好地脱壳还有其它许许多多的难题需要解决。因此，杀软的虚拟机水平实际上相差很大。以常用的商用壳ASProtect（与ASPack相同，出自同一家公司）为例，几乎现有的杀软都不能很好脱这个壳。这绝对不是效率问题，而是虚拟机的技术问题。

微点能脱 太牛了

kuririn

哈哈  跟我說的一樣

就說掃描引擎(包括監控(未運行))要搞成虛擬機啟發的才有意義啊

因為啟發的規則早有啦  就是那個行為庫啊  不用白不用

不過只有 未運行 才能用到虛擬

運行 還是用實機回滾比較好  用虛擬反而麻煩

Nblock

微点肯定解决了很多的难题！ 不然不会说有重大突破
启发式是不是像NOd32的 虚拟机+启发王+主动防御技术 微点还有什么功能快快增加吧

polly5771

不管宣传如何，我只看实效。客观的评价微点，而不是带着感情色彩。不光是微点，对其他的杀软也是。
行为分析技术不是首创，但是，微点行为分析却达到了相当的高度！
微点有缺点不假。回滚不全，拦截率还不够高（非可执行文件）

虽然饱受质疑，但还是要再次提出“两个唯一”
目前唯一可以单用的行为分析类安软（比较理想的活病毒拦截率，自带防火墙，无需其它任何安软配合）
唯一无需用户参与的行为分析类安软（披着杀软外衣的智能HIPS.像杀软一样，告诉我“是毒”，而不是危险等级。其他的TF,Mamutu,NAB哪个能做到？？）

[ 本帖最后由 polly5771 于 2008-5-7 20:36 编辑 ]

爱·妖姬

“其实真要脱，什么壳都能脱，只不过资源占用上付出的代价太大而已”，你编过虚拟机吗，就下什么壳都能脱的结论？杀软的虚拟机和商用虚拟机的机理完全不同，杀软虚拟机不仅API需要模拟，而且必须对每条硬件指令进行模拟，而商用虚拟机则只需模拟API。程序在杀软虚拟机中运行，虚拟机要决定什么时候终止，什么条件终止，如果是脱壳，它必须知道什么时候已完成脱壳。不仅如此，杀软的虚拟机还需要对程序中的反跟踪和异常处理用软件进行模拟，如果模拟或处理有问题，就可能导致脱壳失败。为了较好地脱壳还有其它许许多多的难题需要解决。因此，杀软的虚拟机水平实际上相差很大。以常用的商用壳ASProtect（与ASPack相同，出自同一家公司）为例，几乎现有的杀软都不能很好脱这个壳。这绝对不是效率问题，而是虚拟机的技术问题。

非常赞同

kuririn

原帖由 polly5771 于 2008-5-7 20:31 发表
告诉我“是毒”，而不是危险等级。

既然是毒為什麼還有允許的選項

微點是不錯  但問題也不少  尤其是誤報

國內的還好解決 國外的呢

靠白名單的還算智能嗎  還好微點也沒說過自己智能
算了 不說了

polly5771

1.杀软还有忽略呢.误报不是微点的专利

2.做好国内就不错了。

我的实验已经阐述了，白名单是必要的。在较严的行为分析基础上减少干扰，追求低误报和低漏报的统一
如果还没意识到白名单的必要性，
http://dzh.mop.com/topic/main/readSubMain_8021095_0.html

kuririn

我當然知道白名單很好  甚至hips有白名單也可以很好用啊

問題這樣叫智能嗎

polly5771

是智能的必要条件

否则或者高误报(TF)或者高漏报（NAB）

所谓智能,就是依据一定的规则进行分析.白名单和行为库一样，都是智能分析的知识库，为什么不是智能？难道只有纯粹的依据行为判断才是么？

[ 本帖最后由 polly5771 于 2008-5-7 21:12 编辑 ]

jpzy

再次无视关于微点“报毒”的说法~！

微点报的“未知木马”不过是其它行为分析工具，X级威胁的另一种表述而已~~~