对于微点是不是HIPS的一点个人理解

JAY-Z

首先说下HIPS。HIPS中文名为主机入侵防御系统又叫系统防火墙，功能主要分为AD，RD，FD。
AD(Application Defend)应用程序防御体系，主要监测API调用。
RD(Registry Defend)注册表防御体系，主要监测注册表信息更改。
FD(File Defend)文件防御体系 主要监控文件的变更，移动，增减。

再说一下微点的工作原理：
1。系统探测：利用系统中密布的微点探针来监视API调用，注册表变化，文件的变更，移动，增减。这和HIPS没什么区别。
2。行为判断：经过反病毒专家对上万例病毒的研究总结出的病毒行为特征，并利用人工智能技术使这种判断自动化。可以比喻为医生分析病情的能力。
3。特征码识别：传统杀毒软件扫描功能的简化。可以比喻为典型症状的判断手册。
4。黑白名单：对微点可以识别的正常程序放行，对于一些文件名，MD5，CRC32哈希值固定的恶意软件进行识别。可以比喻为病历和家族性遗传病史。黑名单只是个人猜测，目前没有发现微点有黑名单。但是白名单我认为是有的。
5。智能防火墙：可以比喻为口罩之类的防病工具。（其实我还想说套套的......）
6。其他功能。略。

当HIPS发现系统发生变化，会提示用户，让用户进行操作，这就好比HIPS是X光，CT，体温计，血压计之类的器械，它可以告诉用户“病人”有什么特殊症状，但是判断到底是不是有病，有的是什么病就需要用户来判断了，因为器械没有判断功能。

微点和HIPS相同的地方就是都有对系统变动的监控能力，如果说HIPS是一整套医疗检查器械的话，那么微点也有一套相同或者相似的器械。

但是微点和HIPS的不同之处在于，它不仅可以发现系统的变动，还可以判断变动的原因，并对这种变动下一个结论。他的行为判断能力就相当于给医疗器械搭配一个医生。

我说的够明白了吧？HIPS之所以叫HIPS不叫杀毒软件，就是因为它本身没有判断能力，只是单纯的监测工具。

而微点之所以叫杀毒软件，就因为它能判断程序是否为病毒且拥有杀灭病毒的能力。

医疗器械不是医生。
医生不是器械。
拥有一套医疗器械的医生还是医生。

按第一篇提到的医生和器械的对比，咱们继续往下说。

医院选医疗器械除了价格外，最注意的是医疗器械的精度，同样是超声波，B超能检查出2X2CM的肿块，彩色多普勒超声波能查出来1X1CM甚至更小的肿块，所以彩超比B超贵，而且贵的有价值。

其次，医疗用的化验设备另外两个主要性能指标是“敏感度（灵敏度）”和响应速度，免得病人心跳停止了他的心电图还在跳。

所以，HIPS和医疗器械相似，也有着精度高，敏感度高，响应快的优点。一款优秀的HIPS，会让任何系统变动都逃不过它的监视。

不过有时候优点也是缺点，频繁的报警，难懂的提示报告让新手无法判断。

就好比血尿酸监测，每个人的血液里都有尿酸，低于一定值就是正常的，但是高了就会引起痛风病。

在检验仪器眼下，所有的血液都有尿酸，所以都会报告，但是医生会根据尿酸数值和其他症状来判断是不是痛风，这就是仪器和医生的区别。

系统的所有变动HIPS都会报警，那么啥都别干了，不停的判断点"放行“”禁止“，烦都烦死了。所以HIPS普遍引入了规则。一般情况下，尿酸高于400单位就是危险的，所以仪器可以设置成“尿酸高于400单位则报警”，与HIPS类比，这就是规则的制定。

但是很多人尿酸高于400单位也没得痛风，也有少数病人虽然尿酸低于400单位，也有痛风症状。所以说，一个固定的，过于精确的规则，可能并不能解决所有的实际情况。

所以总结一下HIPS的特点：
优点：精确，敏感，响应快
缺点：规则判断智能度低，灵活性差。

再说医生

现在的医生大多是西医，没有什么望闻问切的本事，判断疾病的本事主要依赖仪器和病人发病的特征。

而微点主动防御属于”拥有一套医疗器械“的医生，那么，对系统变更的监视”精度“还是有保证的。

对于”仪器“上报的数据，医生会进行一定的取舍，比如在尿检中发现了极少量的血细胞，并不一定会以此来判定病人是否得了肾病，医生可能会忽略这个症状，所以说，医生的敏感度要次于仪器。

病人把化验报告交给医生，医生靠自己的经验判断后在给病人处方，有一个逻辑判断的过程，所以，医生的诊断要滞后于仪器的报告。

当然，微点这位医生是靠GHZ级别的CPU判断的，处理的速度要快于真人亿万倍，但是延迟还是有的，所以微点主动防御无法和HIPS比拼报警速度。

但是微点这位医生在很大程度上，弥补了HIPS这一医疗仪器的缺点，那就是智能度。很多让HIPS频繁报警的程序，在微点这并不会报，而且，一个真正的病毒摆在那里，HIPS绝对不会报它是病毒，只能报这个软件有什么什么动作，而微点会直接报它是病毒。

但是，在诊断病人的过程中，可能病人得症状极其轻微，医生不认为它有病，或者某人的本属于正常，但是和某种疾病的症状十分相似被医生误诊为有病。比如小东过微点主防的方法，就是尽量”减少“病毒动作，并让病毒动作”正常化“，于是造成”症状不明显“被微点这位医生漏诊了。*PS.微点现在已经修正这个错误。
再比如人剧烈运动后，体温肯定会高于正常值，那么医生诊断其为发烧就是误诊了。而一些正常的软件，也可能会有比较”特殊“的动作，可能会让微点”误诊“。

再次拿剧烈运动后的高体温举例，体温计的示数高于正常值，那是肯定的，那不是误报，所以以此类推，在一般情况下，HIPS不存在误报。

而如果你大夫认为高温就是发烧，就有可能是误诊了，所以主动防御存在误报。

我想说的就是这些。

总结一下。
HIPS
优点：精确，敏感，响应快
缺点：规则判断智能度低，灵活性差。
不存在误报不误报的问题。

微点主动防御
优点：高度智能化，对程序判断比较灵活，很大程度上省去了用户的判断。
缺点：敏感度和响应时间较HIPS略差，可能存在少量误报。[/quote]

这个话题没意义。。。关键看好不好用。。。要是好用你叫他病毒我也会用。。。

JAY-Z

回复 2# 单身熟男


    那你觉得微点好用么？

那你觉得微点好用么？

没用过。。这要问点饭了。。不过应该都是“好用”

xzc7781608

想不通  是与不是有什么关系吗？  无聊的很

wanzhende

楼主所言还不错...
通常大家所讨论的微点是不是HIPS的意思是：微点是不是基于HIPS...
某些粉丝不懂装懂，在他们眼里XX即不是这，又不是那，而是一种未知的技术(这里是后面隐含一个基于)...

於陵闲云

写的还是很形象的

a256886572008

微點真的智能嗎？

就來測試這個安裝包看看吧

-------------------------------------------------
http://dx.yx85.com/yx/Empires.exe

請用迅雷下載，42.4MB
----------------------------------
上傳免費空間備份

http://www.megaupload.com/?d=VTE5JVAK

註明一下，他不是捆綁型，本身無病毒。

而是用另一種方式，害你中獎

深秋

这个比喻很形象。

luoyou1988117

比喻很不错，但是这个问题好像争论已久，有人说是，有人说不是，反正各种声音都有吧