我觉得微点的扫描引擎应该是这样的。。

zyson11

怎样把微点的主动防御和扫描引擎有机的结合在一起。。。。。

行为分析和特征值扫描如何统一。。。。

本人对微点的即将推出的扫描引擎很感兴趣。。。。

而现在的问题是，我们必须要跳出扫描引擎就是病毒脱壳这一旧有模式。。。

我更相信的是这种行为分析扫描。。

首先判断是否符合微点用户共享的病毒特征值。。（以下有介绍）

符合就报，不符合的话，接着

建立一个受限空间，比如想沙盘那样的一个映像。。。

在此空间中分析病毒的运行过程，

结合微点的行为分析专家库。。。

就可以判定是否是病毒或木马。。。

将传统的特征值扫描，真正的替换为行为扫描。。。

这才是彻底的主动防御。。。呵呵

最后，可以将行为分析后的病毒提取出特征值。

因为每个用户的病毒扫描都是不一样的。。

将这些特征值实现网上共享。。

使用微点的所有用户都可以共享这些特征值。。

以后遇到同样的病毒，

监控就可以报了。。

行为分析再把最后的关。。。

呵呵，以后微点升级。。就是两部分

一部分是，微点官方服务器的程序更新和行为库更新

还有一部分就是所有用户扫描引擎分析后的病毒特征值共享。。。

这样就可以基本杜绝病毒和木马了。。。。
------------------------------------------------------------------------------------------------------------

有回复的朋友说，实现这样的功能技术上有困难。。。

我并不觉得困难。。

首先，如果把功能分割开的话，

每一部分都对应了现实存在的软件。。。

像系统映像空间，如存在 影子系统、sandbox、虚拟机（例外）等。。。。

微点的优势是已经成功做出了这样一个主动防御系统。。

现在的问题是如何将这个主动防御系统应用到这个受限空间的程序运行分析扫描。。这是关键。。

我相信必须要有一个优秀的引擎才能在内存有限，cpu运算合理的情况下构建起这么一个运行分析空间。。。

而这正是其中的难点。。。当然我们可能要接受扫猫时不能做其他事情的的尴尬。。。。

再者，如何提取特征值。。。也是值得考虑的。。。我相信每个防病毒厂商都有这方面标准的制定。。

而现实的问题是，对于内核相同，但却加过不同壳的病毒，传统的不同特征值定义就显得有些滞后和臃肿了。。

而主动防御提取特征值就有这方面的优势。。。它是针对你的内核定义而不是壳。。。。

所以，这样的定义方式就必要要不断的给旧有的特征值添加各种外壳信息的过程。。。已给监控扫描带来更大的方便。。。

不过，我现在开始怀疑了，这样的监控到底有没有必要。。。。是不是脱离了主动防御的初衷了。。。。呵呵

但是，至少从现在看来。微点是 特征值+主动防御 的。。。。

而本文的最初想法也是讨论  如何将扫描引擎、特征值、主动防御结合起来。。。



[ 本帖最后由 zyson11 于 2007-3-11 13:36 编辑 ]

Paxson

   没这么夸张吧 不过还是比较期待

zyson11

不是很夸张啊，技术上完全可以实现的。。。。。。

chinaren815

高　真是高　有想法有目标有实施才会有成果，楼主兄弟可以发到微点官方论坛的，很不错呀

cross118

野马

好象很合理！

barth

那个共享的功能借鉴了“美国微点”啊。。。

qyb179

这样倒是非常不错

kpantivirus

以前没有同类软件？

永远Ъù分手

支持