微点与卡巴立体防御的体系比较-卡巴部分已经得到工程师确认无误

syfwxmh

这个严重支持！！！

guanxiaolei111

微点有防火墙和“云安全”

syfwxmh

您好，这个防火墙我已经加入进去了，不过云安全不仅在微点程序中没有见到，也没有见到云安全的隐私声明。所以不予考虑。

guanxiaolei111

哦
但微点如果没有实时自动上报可疑文件并更新网络白名单，误报率绝对超过80%

syfwxmh

这个不算云安全~自动上报可疑文件虽然在云安全里有，但是这个在云安全出来之前几乎各个厂商都有这个~

而且没有见到白皮书、软件有相关说明或模块以及云安全都有的隐私提示说明，所以不予以考虑！

最后感谢你的指正！

guanxiaolei111

明白了，谢谢

syfwxmh

没事~微点如果按照现在的定位是不需要云安全作为技术支持的，有了反而是资源上的累赘！

挪威的冬天

微点讨巧在他的报法

他不会像卡巴一样说 一个 XXX 组程序试图运行 XXX 这个行为类似 XXX

而是发现可疑程序 发现未知XX 发现...

于是乎给人以智能的 "错觉"

挪威的冬天

所以逻辑上来说在微点的世界里对于一个程序只有 yes 或者 no

而卡巴会更加细分一点 对于一个程序你可以 block 你认为高危的动作而继续其他的...

caolizhen

微点用到了HIPS技术的  内制规则与触发点或者阀值的  病配合特征码  行为对比匹配 ，针对病毒的防御软件，所以感觉微点不能叫主动防御，因为涉及特征码。
微点的内制规则较严  ， 所以初期误报较多  ， 目前白名单比较完善  ，所以还行  ， 但是对于单步匹配还是弱项
分析目前病毒行为 ， 并依据病毒分类或者单个病毒进行病毒名定义   ，并与病毒行为进行挂钩   ，
当某个程序与某病毒全部规则匹配   就可以认定是病毒   ，部分匹配可以报 变种活未知病毒
但报未知病毒  里面有一部分是正常软件的行为与病毒行为重合  也报为  未知病毒，这就是误报的产生。
如果微点学TF不报未知病毒而报具有潜在威胁的行为呢？   那么误报这个词从何而来 ？  误报也只是针对 未知病毒这几个词而已。

KB2009
经过三层防御

1. 数字签证（或者白名单）

2. 检测文件特征码和内存特征码

3. 行为分析，过的话需要很好的思维能力（难度相对于特征码要难很多）

pass这三步就可以避开接下来的沙盘，但是基本不太可能

想到这我有无奈09对回滚的取消。。。。。


[ 本帖最后由 caolizhen 于 2008-8-14 12:04 编辑 ]