前言:
我是一名电脑业余爱好者,从2005开始使用微点,为了微点的进步,尽其所有,提出自己个人的一些观点和想法.
最近一些网友在论坛中强烈要求微点尽快出扫描引擎,我并不认为这是好事.靠特征值的扫描引擎只能对已知病毒有作用,对于未知病毒一点作用都没有,微点开发出来干什么?依靠特征值的扫描已没有什么发展空间,微点应另辟蹊径,要开发一种新技术超越依靠特征值的扫描引擎.这样才能真正与微点的主动防御能力相适应.
为了适应一些网友的要求,让电脑里没有激活的病毒能被微点扫描,确实是一件难事,一些论坛为了测试微点的威力,手工一个一个样本去运行,确实是件苦差事,回想2006年,为了测试微点的主动防御,每天要花上二三个小时来运行病毒样本,一年多的时间都在干这个苦差事,如果微点出了扫描引擎,但只能查杀已知病毒,对于微点的主动防御功能一点作用都没有发挥,没有激活的未知病毒照样在电脑里睡大觉,心里依旧不清静,心里也不会舒服些。
微点应该是集大成于一身的顶尖高手,有了主动防御的绝招,如果能在扫描引擎上再能开发出一种与主动防御相适应的引擎,就可以在世界杀毒市场上占有一席之地.我设想的这种引擎关键是要与主动防御相匹配,不光能查杀已知病毒,还能查杀未知病毒,那就是"触发式"查杀引擎.微点的主动防御就是一个比依靠特征值的病毒库大得多的病毒库,这个病毒库的最大一个亮点就是利用微点智能分析判定病毒的机制为病毒库,想想,这是多大的一个病毒库.远远超越现在微点开发的病毒库.
基本原理:
我所设想的“触发式”扫描,核心就是让病毒运行起来,再配合微点主动防御,就能查杀。以前杀毒界的想法就是要抑制或杀死病毒,并不想病毒发作,如果在主动防御技术使用前期,一个人想把病毒运行起来再查杀,大家绝对都会认为是个疯子,包括一些所谓的专家。可是主动防御必须让病毒运行起来,与特征值的扫描引擎的宗旨背道而驰,主动防御最大的问题就是病毒不运行,你无法查杀它,只要病毒运行起来了,什么都好说。
病毒知识介绍:
传染性是病毒的基本特征,是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,计算机病毒就会入驻内存运行。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
基本设想:
2006年,我在用病毒样本测试微点的过程中,发现一些现象,比如,我下载的压缩病毒样本包,微点当然不查杀,当我解压后,一些病毒发作,微点拦截,还有一些,当我打开文件夹时病毒才发作,微点拦截。可见,解压,打开文件夹等都成了触发病毒发作的条件,如果能开发出一款让病毒能激活的“触发式”引擎,配合微点的主动防御,相信微点能上一个台阶。
结束语:
现在,趋利性病毒攻击已成网络最大危害,象这类病毒,它们的激活条件很单一,并不复杂,要激活它们是很轻松的事,微点可以以流行广,触发条件简单的病毒群作为研究对象,然后逐步加入更加复杂的、特殊的触发条件的病毒。
以上仅是个人的初步想法,还不成熟,希望批评指正。
[ 本帖最后由 tcjgdw 于 2008-10-23 15:49 编辑 ] |
发表于 2008-10-23 15:00:30
