MP主动防御的意义

九尾野狐

现在刘旭带的组每天的主要工作是排除误报……

呵呵

polly5771

微点比TF好用，就是强在白名单上。MP每天排除误报也是很正常的

至少，不用像很多HIPS那样，很多东西由用户来排除...

godhua

楼主分析的很好，从杀毒的成本考量，特征码入库显然是没有前途！

dn1234

不同意LZ的意见 我记得好像还没有磁碟机过微点的记录吧

SpeedDrift

原帖由 dn1234 于 2008-5-4 10:07 发表
不同意LZ的意见 我记得好像还没有磁碟机过微点的记录吧

昨天下了一个磁碟机的样本，测试了一下。双击运行setup.exe，IE马上出现异常情况，金山清理专家报警，并且要结束IE进程。1秒之后微点报警，发现未知木马，提示删除。删除之后，发现安全模式已被损坏，不过用清理专家能修复。

如此看来，微点是在系统已经被损坏之后才作出反应。虽然病毒已被删除，但是系统同样也已经遭到了破坏！

polly5771

磁碟机，现在过不了MP的
Xorer刚出来的时候，被过的不只是微点吧。HIPS区发过一个原理相同的测试程序x.exe，结果毛豆都挂了...

回滚不全的问题，在智能行为分析类安软里很多见，比如F-Secure的deepguard也存在同样问题...

yinqi190

今天我也是在病毒在释放后，微点提示杀毒的.NOD根本没报。 .微点要走的路还很长

jpzy

行为分析的特征，实际上也是一种变相的“特征码”，不过，辨别的途径不是代码而是行为而已~~~~

行为分析目前还不能说就一定能代替传统的特征码！毕竟，行为分析的可靠性不高，同样一个行为，可能是正常程序的，也可能是恶意程序的！在不能解决误报的问题以前，行为分析注定只能做辅助~~~~

046569

看到一个有价值的帖子不容易。微点区需要这样的帖子。
以前在微点区晃动的时候，一直在潜水，这个帖必须顶一下。
回滚不全的问题在扫描出现后就会得到解决，大家拭目以待吧！

polly5771

绝不是一下子“代替”，而是共同存在的过程中互相弥补，共同发展。你说的误报问题，白名单库可以有效地解决。目前微点的误报率并不高。

传统特征码也不可避免的误报，而且随着特征库不断增加，误报机率也会提高。它们也不时给我们一些惊喜（比如X星和explorer ）

至于谁为主，我已经说明了这个问题。成本