我看微点特征库（仅限微点主动防御版本）

angir

前言：
1：本文是主要叙述微点主动防御软件的特征库，不涉及微点杀毒软件的特征库。由于二者的设计原理不同导致特征库的容量也不同
2：我的电脑水平很差（你问问小羽就知道了)，说出来的东西可能乱七八糟，毫无头绪，缺乏依据。希望各位大大看完后不要耻笑我
3：转载，请联系本人。
4：保留所有权利
5：进入目录

目录：
1：什么是特征值扫描
2：特征码的应用
3：微点特征库的现状
4：微点特征码的优势
5：微点特征码的劣势
6：微点特征码的未来发展



1：什么是特征值扫描？
根据微点官方的定义，特征值扫描的内容为

特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库，杀毒软件将用户计算机中的文件或程序等目标，与病毒特征库中的特征值逐一比对，判断该目标是否被病毒感染。

就是说，特征值依赖于得到病毒样本。在没有得到病毒样本之前，是没有这个特征值的存在

2：特征码的应用
根据微点官方论坛Legend的回复

微点主动防御软件保留了传统杀毒软件的特征码扫描技术，比如文件在被复制、传输、打开时，微点主动防御软件依据病毒特征码进行过滤，快速拦截已知病毒。

可以看出，在微点主防版中，特征值主要应用为快速拦截已知病毒，起辅助的作用，与传统的反病毒软件不同

3：微点特征库的现状
1）：大小

截止到今天，微点主防版的特征库大小为72.2MB，特征版本为1.6

2）更新次数
目前为每天2~3次，每次更新大小不定。有时是60kb一次，有时是20kb一次，有时是2kb一次

3）特征库数量
不明，微点官方列为保密事项

4）分析流程
根据和一个微点客服的聊天记录

我们会对用户上传的样本进行反复的分析测试，并按照用户的反馈的先后依次分析，所有一般需要三天左右。一般需要进行多次分析，以保证分析结果的准确性。

就是说，1个病毒样本A，要经过反病毒分析师1，2，3的共同分析后才能添加特征值。这样的优势和劣势在下面说明

4：微点特征码的优势
1）定义好
微点由于分析流程的特殊性，所以对于特征码的定义也是做得非常好的。很多情况下，对于2~3个变型病毒，其他反病毒软件都是通过2~3条特征码进行查杀，而微点则是一条特征码就杀了这2~3个变型病毒（当然，这是在没有针对微点修改特征码的前提下）例子嘛……自己去样本区转两天就知道了


2）误报少
这个确实。虽然说安全软件有严格的反误报测试和白名单，但是特征码的误报还是时有发生。反观微点，虽然行为分析的误报还是没有办法得到有效根治，但是起码特征码误报这方面，微点可以说几乎是最少的。细究原因，估计还是和分析流程有关吧……

5：微点特征码的劣势
只有一个：慢
在剑盟的样本区有一个优势：大部分的新鲜样本都是直接给出链接，至于下不下载是你的事。由于这些挂马的生命周期短，一般2~3周特征码就变成化石码了，所以及时上报提取特征码入库查杀就显得很重要。虽然微点不依赖特征码，特征码也仅仅是一个辅助手段，但是及时的特征码更新还是显得很重要。一般来说，如果你上报1个样本，微点在1天内就回复；10个样本就要将近2天了。我上次上报100多个样本，足足等了4天……这4天，微点把特征码全部加入特征库时，足够病毒木马更新2次了……
太慢了。这样的速度， 微点杀毒软件 根本就不存在特征码优势啊……

6：微点特征码的未来发展
1）保持优势
这个最重要。主要就是保持定义好和误报少的优势

2）增加特征码更新次数
这个也很重要。以微点慢悠悠的更新频率，很难对于一些有意针对微点的样本进行有效防御；用户某种心理也是希望见到特征报警多一点，”未知XX“出现的少一点（在必须报警的情况下）。即使微点是以主防为主，特征为辅，还是必须重视这个辅助的方法。不贪多，一天4次就足够了……

3）适当时候进行精简工作
这个嘛，毕竟微点的特征库已经72MB了（当然还包括白名单），对于一款主动防御为主要手段的反病毒软件来说，多少显得不合理吧？而且费尔/卡巴/红伞这些软件，都经常进行特征库的精简工作，也没有听说过因为这些工作导致检测率下降啊！精简工作，还是希望微点可以慎重考虑一下吧……

结尾：
不知道怎么结尾了……
如果你知道的话，就在回帖中说明吧。如果结尾好的话，可以得到RQ奖励哦~



ps：这么烂的文章还是不要转载为好，免得Legend笑死……

镜湖

angir同志，干嘛要用那么多五彩斑斓的颜色，看着反而有点累。

angir

回复 2# 镜湖


    因为如果颜色单调会更累

镜湖

有一个细节不知道angir有没有注意到：对于微点主防收集到的病毒，也就是已知病毒，只要将鼠标移动到病毒样本上，主防就会报警。

这是怎么做到的？其他杀软有这种技术吗？

angir

回复 4# 镜湖


    这个啊，有时候会这样，有时候不会
这个的话估计是为了节省系统资源吧……
其他安全软件的话，据说RX在经过设置（还是默认？）也会这样

白羊座

回复 4# 镜湖


    过滤预读取句柄，目前市面上绝大部分杀毒软件的事实监控都可以

镜湖

这样啊。

angir

版聊收费

镜湖

回复 8# angir

上次你和红烧大豆也在我的帖子里版聊，我可没问你们收费哦。

做人要厚道。

葱葱.Com

不错    安哥码字辛苦    不过这头像   雷得我外焦内嫩