我觉得微点是“杀毒机器人”，不是什么hips

旭日东升

有人猜测的所谓微点智能HIPS的判断机理：
1，进行白名单核对，相同不拦截，不同则进行2。
2，与病毒库特征进行对比---失败则进行3。
3，行为分析，查杀本体与衍生物，并给予提示，被过的要不没有提示，要不拦截不完全）
这也是为什么微点的防御非常出色的原因（部分关键步骤已经省略）


上述微点判断机理实际上仅仅某些人的猜测，具体方案不可能这么简单，否则，所有杀软都能实现了。

[ 本帖最后由 旭日东升 于 2008-10-1 01:51 编辑 ]

旭日东升

原帖由 caolizhen 于 2008-9-30 22:37 发表
我看了你的回复很囧啊- -

微点的智能HIPS就是监控程序的动作，然后对其进行行为匹配啊，或者阀值毒库匹配。

也就是说它是以监控程序的动作为基础，也就是HIPS机理，而附加的功能就是行为匹配和病毒库匹配[:xi3 ...

相信专门从事反病毒技术研究的杀软公司都没有搞清楚微点的原理，否则杀软个个行为识别都已达到微点的水平了。不是专门从事反病毒研究的爱好者也就只有猜测的份了。为什么说只能是猜测，因为无法按照这种猜测编写的杀软，然后测试它的效果。如果，真的按照这种猜测编写的话，可能将会出很大的笑话。

旭日东升

原帖由 caolizhen 于 2008-9-30 22:23 发表
刚才看了看火鸟的帖子，防火墙如果是IPS也算HIPS的范畴

杀软的实时监控程序必须监控文件打开、关闭、创建等API，如果监控API就算HIPS，那么杀软也是。但是为什么大家就没有认为杀软是HIPS呢？
分析一个产品属于哪一类，必须了解它的原理和目的，如果连原理和目的都不同，就不能将其归成一类。
所以，微点不是HIPS。

旭日东升

原帖由 caolizhen 于 2008-9-30 22:34 发表
实时监控是特征码匹配，如何核对无误，那么就可以对操作进行拦截，但是能监控程序进行了怎么样的动作吗

IPS不知道是否应用在防火墙中，我不了解，但似乎应该是应用了，那么防火墙从广义上也叫HIPS

当然可以，打开文件时，进行扫描，就是监控到程序打开文件的动作时，所采取的处理方案
关闭文件时进行扫描，就是监控到程序关闭文件的动作时，所采取的处理方案。
差异是杀软监控的动作要比HIPS少。

caolizhen

原帖由 旭日东升 于 2008-10-1 01:17 发表
上述微点判断机理仅仅是凭空想象
首先微点不是根据单个动作查白名单，而是根据不同的程序，采用不同的监控方案；
其次，微点不是根据动作查病毒特征
第三，微点的行为分析是根据程序的系列动作进行分析，包括对程序组（即不仅仅是单个程序）的动作进行综合分析。

1可以对行为进行单项匹配，但是这是微点的弱点

2 是根据内存，根据代码

3 感觉你似乎在说废话，程序组就牵扯到分级了

caolizhen

其实这里是涉及到加载驱动等行为，你的那些行为都是R3层，直接用SSDT HooK就可以

caolizhen

一个explorer调用程序的动作，硬要算HIPS

旭日东升

原帖由 caolizhen 于 2008-10-1 01:50 发表
其实这里是涉及到加载驱动等行为，你的那些行为都是R3层，直接用SSDT HooK就可以

听微点的朋友说，微点不仅仅监控R3层，也监控R0层，所以微点对加载驱动并不报。

旭日东升

原帖由 caolizhen 于 2008-10-1 01:48 发表


1可以对行为进行单项匹配，但是这是微点的弱点

2 是根据内存，根据代码

3 感觉你似乎在说废话，程序组就牵扯到分级了

你怎么就知道微点没有分级呢？

旭日东升

原帖由 caolizhen 于 2008-10-1 01:52 发表
一个explorer调用程序的动作，硬要算HIPS

恰恰我认为它不算。我的本意是：不要一有动作监控就认为是HIPS。