毒眼問題解答

英仔

毒眼怎么工作的（一）
我们来把电脑想象成一个城市，里面的每个文件想象成居民。毒眼就是警察局。

他首先是广布眼线，取证，能够知道电脑的一举一动，并且连续、完整地记录下来供日后任何时候查询（个人版保留在本机、企业版通过专用的设备可以长期保存）。

同时，他自动进行连续的均匀分析，从这些记录中找到暗中潜入这个城市的“害虫“，并根据纪录，顺藤摸瓜，将同案犯一网打尽。删除，同时关进“害虫监狱”。

然后他将这起事件中的受害者进行恢复（“事件恢复”技术）。因为他会机智地自动备份每一起案件的所有受害人，所以可以自动恢复。————在现实世界中，人死不能复生，受害人只能得到赔偿，失去的将无法挽回；但是在电脑这个世界中，人类是电脑的上帝，可以让受害者“死而复生”。

其四，有些敌人是来窃取秘密，而不是来杀人的，他们已经窃密得手后，再将他们干掉，秘密岂不是已经泄漏了，除非杀人灭口，没办法“恢复”。————别慌，毒眼最初设计中就有文件保险柜，体现“预设防御”的思路。用户的机密文件将会被保护起来，除非通过合适的规则，否则无法访问，确保不会泄密。至于窃取密码的程序，一般都必须潜伏一定的时间才有可能得手（不大可能你一进来，人家就正好在输入密码），在这段时间内，对电脑而言，已经如同经过了几个世纪一样长了，毒眼可能已经分析过多少万次了，他们能逃过这么多次分析的可能性并不大。所以也就不大可能得手。

第五，对于黑客远程攻击，毒眼同样通过分析程序的异常行为来识别，并将遭到攻击的线程阻断。然后分析攻击来源，找到攻击的发起地址，网络连接的关键数据等。使攻击者自以为得计，而实际一无所获，却暴露无遗。






毒眼怎么工作（二）：毒眼和其他安全产品的区别


毒眼是彻底地独创地、颠覆性设计理念（有的人已经要吐了，且慢，听我说完，你吐了实际是你的损失啊）

首先我们来问问：什么是安全，怎样才能做到安全？

几乎所有安全产品的回答都是：设一些围墙，围住，不让坏人进来。这就是安全。

  问题一、 要是进来了呢？  就坏了，另请高明吧————升级，或者用专杀工具。

  问题二、怎样知道拦谁防谁？ 答：面孔识别。坏人的面孔我们不断收集（所谓病毒库是也）。 人类的面孔据说终生改变很小，所以可以靠脸面指认坏人，可是电脑中的程序文件，功能相同，可以有一百万种写法，能靠特征识别吗？————只好经验主义，犹如中医。所以误杀在所难免。————去年几乎所有杀毒软件说都说毒眼程序是病毒程序，甚至什么病毒都说的有名有姓。简直滑天下之大稽！ 我们主动通报他们，有的改了，有的今天还报，有的昨天改了，今天又报！其实早晚还会报，铁定的！

  问题三、没有报毒，是不是就安全？ 答：不知道。————只是知道的、老实的（不会变脸的）坏人没有活动。到底有没有坏人呢?————不知道！！！

还有其他问题，就不“讨伐”了，给人家留点面子好了。

     ----------------------------------------------------------------------------------

第二个问问：上述根本思路————要么拦住不放，要么放过不管(或者问用户放不放？)。有哪家安全公司说他们不是这样的呢？

————除了毒眼，更有何人？

  __________________________________________________

第三个问题：毒眼是什么思路呢 ？回答一下什么叫安全、怎样才安全。
在毒眼看来，安全至少包括下面5个要点：

   第一、透明性：知道发生的所有细节，随时可以追查和分析；什么都知道，才是真安全。主人一无所知，光听仆人们说形势大好，多半不会太好吧。

   第二、可恢复：对发生的损失，不能是“赔偿”，而是还原，要起死回生，不要再生一个。

   第三、可控制：就是能够‘控制住任何敌人（有能力镇压一切敌人），不是被他们破坏（所谓“过”了）；另一含义就是 能够控制住自己的机密信息，使敌人无法窃取。

   第四、可实证：对任何文件、任何事件可以详细“举证“。对电脑是否安全可以举证，实现“可实证的安全”。

   第五、可依赖：不能动不动就得“另请高明”，而是自己一肩抗到底。

毒眼怎么工作（三） 毒眼的技术难点和实现


续前贴。
根据毒眼的安全标准和对安全的理解。毒眼经过长期的探求，已经完整的实现了上述标准。

虽然问题还有，至今仍然在进步中，但是，作为首创和先驱者，一步做到完美没有可能————那只可能是抄袭者。（感谢长期坚定的支持我们的朋友）

这一贴专门讲讲毒眼的技术难点，是来回击那些有意或无意信口开河的家伙

他们的说法并没有多少想象力，汇集起来也就这么几点：

第一种： 毒眼就是一个七拼八凑弄出来的一个东西，是一个“山寨”杀毒软件；

    如果看过了前贴，您一定知道我们的感受，要是把这些鱼虫的人的话都当真，我们要吐血了。———我们要做的和已经做到了的，哪里是这些人能够想象的呢。
   ————如果不明白我们为啥这么愤怒，看看前一贴。

第二种： 毒眼“太好过”了，就是一个什么、什么hook而已；


           ————实际上拿得出东西来吗？

第三种： 毒眼是用了“xx”的技术作的;

  毒眼的思想，处理过程，产品形态（4.4M）那一处不是独创？跟谁有半点相似？  又有谁有脸来跟我们讲道理？

  ————如果不理解我们的义愤，那就请原谅我的尖锐。  

  --------------------------------------------------------------------------------------------------------------------------------

说了这么多，毒眼到底有什么技术难点呢：下边简单列举几个，我们认为很难，也许你觉得一点不难，我们向你学习。

第一：控制力。  跟其他围墙式思路不同，毒眼是让你“还手“的。围墙有个好处，就是不给敌人出手机会，毒眼是让所有人充分活动的，那就有“政变”的危险。毒眼怎样才能保证控制局面，制服敌人？ 维护“稳定“呢？

     解决这个问题，涉及到多个方面的技术：
     1。家族识别 保证将敌人同党一网打尽，才能实现真实的控制；
     2。害虫监狱 传统安全产品对付敌人的手法就是“杀”，对付刀枪不入的敌人无可奈何（所谓破甲技术并不能保证破任何甲）。我们用关杀并举的技术，保证制服任何敌人；
     3。固化和虚化技术： 将系统有些地方固化（不可修改），有些地方虚化（修改无效），以阻止敌人对系统可能的破坏；

第二、事件恢复技术。 毒眼实现的是针对事件的恢复，将本次事件中的受害者还原。这个技术同样是我们的专利：包括：
    1。自动备份技术。能将必要的信息自动进行备份

    2。事件分析技术。能从“汪洋大海"中抽取和识别事件相关纪录。为恢复准备；

    3。事件恢复过程控制技术。需要分析和判断恢复的时机、事件的交叉和清理等一系列逻辑。


毒眼的使用

毒眼的设计同时坚持了两个标准 : 0操作标准 和  无限操作标准.

0操作标准：对普通用户
          毒眼设计为“四不”标准  不用常升级、 不用扫描、不用注册、不用回答问题；一切来犯之敌人由毒眼完全自动搞定。


无限操作标准：对专业用户
         完全掌控电脑：能力无限大。借助毒眼，您可以：

    1。掌握和分析整个电脑中任何文件、进城的所有运行细节；

    2。可以通过害虫监狱强力控制任何程序的运行。保证制服任何敌人；

    3。通过命令行参数方式调用毒眼的程序，可以将毒眼改造成你需要的功能；

    4。通过开发接口，可以二次开发，借助毒眼的日志和分析，实现你需要的功能；

    5。通过文件保险柜对任何文件或文件夹设定访问规则、告警规则和备份规则；确保相应的文件只能在特定的条件下访问，在设定的访问发生时告警（告警方式包括短信告警、EMAIL和本地或远程终端告警等）；备份可以同时放在本机受保护的毒眼目录，或分块备份在远端控制中心上。




害虫监狱 和 病毒隔离区 的区别


不少新朋友听说毒眼的害虫监狱，马上说，这就是杀毒软件的 病毒隔离区啊，干嘛故弄玄虚呢？

其实 ，毒眼的 害虫监狱 跟杀毒软件的“病毒隔离区”是风马牛不相及的，毫不相同的。区别如下：

其一：目的和作用不同
        害虫监狱目的是就地锁定某个文件以及他们的同案犯（关联文件家族），以确保便控制这些程序的运行和访问，从而制服他们。对被监禁的文件本身没有任何修改；

      病毒隔离区 是对带毒文件进行杀毒前进行的备份，也就是将带毒文件先拷贝一份放到杀毒软件设定的某个特别目录下，以便万一杀错了可以再手工拷贝回来（恢复）。为了防止这个备份又被杀毒软件杀毒（因为他是带毒文件），所以备份必须进行一些变形（可以理解为加密），使文件内容变成了加密后的内容，这样杀毒软件根据病毒特征扫描时，就不会认为这个文件有毒了，也就不会再处理他，从而保证当用户想要恢复时他还在原地呆着没变。


其二：实现的技术完全不同

     害虫监狱实现的是文件控制技术，关在监狱中的文件不可访问，即不能运行，也不能被任何工具读出或者修改;

    病毒隔离区 只是一个文件备份目录罢了，可以被修改或者删除（也许后来的杀毒软件们修改了这一点，我不知道————我们不研究别人，哈哈）。

其三：价值不同  

    病毒隔离区 是所有杀毒软件均有的东西，没有任何新鲜技术可言；

    害虫监狱 是毒眼独有的技术，尤其是我们独创的家族分析技术，同案犯标定等。目前而言，天下只此一家。————我们说独创的，一定是真正独创的，有些小朋友们喜欢“吐”，那你就继续吐吧，说不定能吐出象牙来！

应该说，毒眼的 害虫监狱 跟杀毒软件的“病毒隔离区” 毫不相干，不是 故弄玄虚！



关于"毒眼分析"

     毒眼分析是对文件行为的分析，不是分析它的内容。

     毒眼像摄像头一样连续地、完整地记录了整个电脑中所有文件的创建、修改、运行、删除、改名等过程，生成了一个支持标准sQL查询的数据库。从库中可以查到最近3个月内几乎任何文件的创建、运行和变迁过程。生成一个详细的分析报告。这就是毒眼分析。

    因此，毒眼分析就是去查找毒眼的日志数据库中某个特定文件的所有纪录 ，将他在您电脑上的一举一动全部列举出来，以便您可以看清这个文件是怎么来的，干了什么事情，他有哪些关联文件等等，以便一网打尽。如果是安装毒眼之前已经存在的文件，并且它在毒眼安装后没有运行，毒眼数据库中就没有记录，因此就无法分析。

      毒眼分析不会分析文件的内容，不管它是脚本、PE文件或其他文档，只管查找这个文件的来龙去脉、一举一动。如果他是病毒、木马等，你借助毒眼分析报告，就可以知道他的一举一动，所以说，“毒眼，看得见病毒的眼睛”。


   





[ 本帖最后由 英仔 于 2009-11-23 01:23 编辑 ]

苍茫

篇幅好长。楼主这么晚辛苦发帖

405016

不知效果怎么样，什么时候试试

枪稿鉴定家

都遗忘了，还有这么个东西，楼主嫌疑

avast!

看了3分之1.9，耐不住要回一下贴。

脑子有点转不过来。不知道是不是因为非纸张读物的原因，凡是上电脑的我理解起来就费劲，智商去了一半。

所以说了解知识还是看书更有效。。。说远了、

avast!

这里就有个问题了：

是否可以把毒眼归为 threatfire / 微点 称为什么第三代防毒软件的一类中？

是不是应该就像系统最好只安装一个杀毒软件不应安装多个那样的原理——

安装了 threatfire或微点，更或者其他什么hips软件的话，就不适合再安装毒眼？

[ 本帖最后由 avast! 于 2009-11-23 02:19 编辑 ]

英仔

threatfire,微点,毒眼。
選其一

8684hongchen

这个玩意儿就不试了，听说和费尔托斯特一样，试用了以后会在硬盘的某个角落留下痕迹的。

七宝

只有一个月的试用期，是不是短了点？微点还90天呢。。

yhjtj

lz说完了理论，该来点实际的东西了！
1、比如实战几个著名病毒（这是小菜），2、安装几个国产流行软件（虚拟机vm也不错，特别是绿化版的，使用bat安装驱动服务的），国产都爱往系统目录放东西，都爱底层写，都爱安装全局钩子（加大难度）3、干脆在毒眼监控下安装杀毒软件试试，看看毒眼能分清有病毒行为的杀软是好人么？（最大难度，安装包才4.4M，估计白名单稀缺，可以杀软报误报仇哦 ）