微点研发 下一代主防 的必要性 （05-30更新）

angir

写在前面--
自从2005年至今，微点的主动防御软件从第一行代码，已经走过了5个年头了。这5年里，发生了许多事，对于微点来说，悲欣交集。
5年后的现在，微点主动防御软件1.2版本，已经略显落后了。病毒木马技术日新月异，反病毒厂商的竞争日益激烈。站立于病毒与反病毒之间这场较量中，微点的1.2版本，已经多少透露出少许力不从心的感觉了吧。。。。

必要的澄清：
1）请各位看官保持冷静和淡定。本人仅代表个人观点
2）请各位不要断章取义，请从整体角度评论这篇文章
3）虽然我写了几点必要性的存在，但是并不代表微点已经完全落后了。按照我的估计，微点只是在面对少部分实力极其强大的厂商有力不从心之势，对于其它总体研发实力较弱的厂商来说，微点还是保持着一定的技术优势的。
4）本文同时发布于卡饭论坛和微点官方论坛。请勿转贴

引子--
写成这篇帖子，并非一时心血来潮。记得我在去年开始，就已经在思索，微点 “下一代版本” 研发的必要性。
但是现在，情况已经变了，还变了很多。微点1.2，这款5年以前的软件，真的还可以继续独自面对一个个不同作者为了不同目的编写的不同malware吗？
或者说，可以
或者说，不可以
Whatever，这一款当年可以叱咤风云的反病毒软件，已经老了。

个人认为，微点 “下一代主防” 研发的必要性和紧迫性有以下几个方面：

1：反病毒厂商的长足发展
这个，是我认为“下一代主防”研发的根本原因。

在刘旭成功研发微点的第一个版本的时候，主动防御这个概念在当时，还是属于天方夜谭的。没有人会相信，刘旭成功了，他开创了一个主动防御的先河。所以，他成功了。他的软件可以遥遥领先他的竞争对手几年，甚至更远

但是，发生了某些事情，这里暂时和谐掉

所以，3年中，微点几乎没有任何的进步，只能不停地优化。这宝贵的3年，许多有实力的国际化大厂商开始顺着微点的足迹走，渐渐的，赶上来了

5年后的现在，各种反病毒手段五花八门，花样迭出。比如，全新的启发式检测，HIPS，行为分析系统，云安全。。。。

面对这些手段，微点还真的有当年的自信，能够屹立于反病毒领域，技术的潮头吗？

不能。
对，真的不能了
很简单，我就举几个例子吧：

1）卡巴斯基
目前，卡巴斯基的启发混合库更新速率越来越快，启发式的检测率越来越好。类似于微点行为分析的PDM模块，防御规则也在不断地更新中。云安全（KSN+UDS）发挥的作用越来越大。。。。

卡巴2011的BETA测试版反映出，卡巴2011资源占用问题得到了较好的解决，woc+HIPS可以提供更强大的系统保护。

2）Symantec
脉冲更新，及时防御全球病毒。SONAR，除了误报有点强大以外，不会比微点逊色多少。云安全，发挥的作用举足轻重

诺顿是全球最有实力的反病毒厂商，竞争力非常强大

3）瑞星
对，你没有看错，是它

2010版本的瑞星，可以说脱胎换骨般变化。类似于微点的未知木马行为分析模块做的有模有样。虽然各种说法层出不穷，但是不可否认的是，它很强大，配合瑞星的云安全，某种程度上可以与微点相抗衡。

瑞星是微点国内最大的竞争对手。技术上


综上所述，面对安全软件厂商越来越严厉的防御手段，微点的竞争力不可避免的受到了巨大的打击


2：病毒木马作恶技术的加强
这个就没有什么好怀疑的。

微点1.2版本推出那么多年，面对的免杀持续增长。现在很多灰鸽子在叫卖的时候，作者都会特别添加一句：免杀微点！

虽然在这件事，我们可以看出微点是多么先进，但是也要清醒的看见，微点已经越来越容易被制作免杀

任何的反病毒软件都有一定数量的免杀，微点也不例外。但是，面对免杀，微点没有快速反应的特征库可用，没有即时反馈的云安全可用，等到官方得到样本，经过长时间的分析后才能制作解决方案。这其中所耗费的时间，用户不能等！

微点是技术领域的领头羊，一旦真正被盯上，大量制作免杀，仅仅依靠行为分析，是没有办法做到完好防御的。而且，微点发布5年了，其代码已经被有实力的黑客（集团）分析够了，制作免杀虽然有难度，但是不困难

所以，研发“下一代主防”，又显得迫在眉睫

3：微点软件自身的缺陷
由于微点开创了“主动防御”的先河，所要面对的技术难题很多，包括一些API HOOK啊，涉及系统内核的东西啊，等等。。。

因此，微点要面对最多的技术难题，处理最多的系统兼容问题。

由于微点是第一个走“主动防御”这条路的安全软件，所以，它自身的bugs以及由此带来的不兼容问题，也是最多的

这样，就可以理解为什么微点导致的系统冲突/系统蓝屏问题层出不穷。

某个人曾经说过，如果微点的用户群在极短的时间内快速增加，技术支持组的人员可能要为处理bugs和处理兼容问题忙个半死

现在看来，虽然有些夸张，但是不无道理。

另外，微点的特征库大小程度有点不符合逻辑。小红伞和ESET也是以查杀未知病毒为名的，数据库大小才30多MB。可是看看我们的微点，安装目录下的MP3文件夹是数据库。目前的大小已
经逼近75MB了，还在不断膨胀中。

这很大一部分是因为微点的误报问题所添加的白名单。微点如果不处理好误报问题，那么还是需要不停地更新白名单，最终受害的，还是用户的硬盘。

因此，微点需要好好压缩一下特征库，或者，好好做一次特征库优化

4：某些固有的防御真空
微点诞生于2005年，所以对于最近一些年兴起的某些malicious作恶手段，是天生的防御短板。

1：最近一两年流行起来的startpage类型的流氓病毒，由于行为危害不大，微点一直都不可以通过行为分析进行处理，只能通过上报和其他安全辅助软件进行“事后诸葛亮”。虽然很多其他安全软件也有同样的问题，但是要知道，它们是传统的特征码安全软件，微点是全新的行为分析主动防御软件，理应做的比传统的好。

2：对于一些ADWare（广告软件）以及相应的捆绑安装文件，微点的防御也是非常有限。对于很多的ADWare来说，微点也是只有特征码防御这一种单调的滞后的方法，很少有相应的行为分析规则进行前摄性防御。

3：对于ARP攻击，微点的防火墙虽然提供有限的ARP保护，但是却需要用户自己进行全部的设置，非常不智能。

4：对于这两年的最新木马传播方式--网页挂马，微点一直都不能从挂马的源头--被挂的url进行防御，只能等待网马成功被下载后运行，才能通过特征码或者行为分析进行防御。既然名为“主动防御软件”，那么就有必要从源头进行防御。虽然微点去年更新了网页防挂马功能，但是只支持极其少数的IE内核浏览器，不能全方位的保护上网的安全。


4个原因。前面2个，是外部因素。后面两个，是内部因素。
但是，都是微点前进路上的绊脚石。都可以让微点狠狠摔下来。


所以，点饭们，祝福微点吧。期望微点主动防御软件的全新蜕变版，尽早出现在我们眼前。届时，我们将看见的，不仅仅是一款软件，更是一个传奇！

红烧大馋豆

希望官方能够看到，呵呵~观点新颖，独特~
打开后加分~

angir

Open

lll714775117

占楼慢慢看.........

aimt

站位、、、慢慢看、、、


LZ的思维很新颖、、、

微点1.2确实改升升版本了、、都记年了、、、、

望微点官方能认真看完本文、、、

豆豆加分加魅力加经验、、、让暴风雨来得更猛烈点吧、、、


此文必火、、、广告位招租、、、[:27:]

cook123

比如最近流行的startpage病毒，典型的流氓行为，微点防御不了
比如ARP攻击，微点不能智能防御，还要用户手动设置
比如一些不属于典型恶意行为的ADWare，微点还是防御不了


这个好多别的杀软也不见得好到哪儿去吧。还有微点蓝屏没有那么夸张吧

angir

回复 6# cook123


    起码其它安全软件是依靠特征码防御，微点是依靠行为分析规则防御，本身就应该比其它安全软件提供更好的防御

另外，微点的蓝屏是有点严重，特别是当你的电脑情况比较复杂的时候，说不准就blue了

葱葱.Com

慢慢看

uiw5r

观点不错，支持下，期待微点下一版有质的飞跃。

yujiakun

微点现在的技术面对国内病毒足矣，何况没多少人愿意对其免杀，这个难度大吧，免杀后的东东也不一定能碰上装微点的机子，免杀的性价比太低