为什么微点主防的卡饭病毒包检测率越来越低？

jefffire

回复 60# angir


    我没说有大量病毒可以过微点，因为微点市场占有率不高，不是主要目标。
关于你这句话“微点的特性决定了要过它只有依靠行为。微点把这个类型的病毒的行为更新了你就得重新来一套行为，迟早都会累死”我不同意。现在过微点不需要在行为上花功夫，因为微点本身就有漏洞，这种漏洞会导致微点根本拦截不到程序的各种行为，你的判断机制再厉害再完善也没用

angir

回复 61# jefffire


    即使微点存在漏洞，补上就是了。过微点对于一般的只会修改特征码的黑客们来说是很难的，没有一定的功底呢永远也别指望过微点

而且，不论你怎么利用微点的漏洞也好，都有一个行为。只要你这个行为在微点的行为分析库里面你照样会被杀。一千个行为也是，一万个行为也是，只要你这个样本被截获了，这一个类型的样本就别指望过微点了

jefffire

回复 62# angir


    你没明白我的意思，打个比方吧微点就是个摄像监控系统，监控来往人群通过一定的判别机制来确定里面有没有小偷，可突然有一天发现这个摄像头失灵了，根本看不到人。在这种情况下你行为分析库再完善也没用，因为你一个行为也看不见。这是微点自身的驱动漏洞，而不是行为库的缺失。要完善必须对微点大动作，其工作量不比重编来的少。
再说一句，微点这种以拦截程序API调用为主要手段的技术，实质就是HIPS的变种，只不过HIPS是需要人工参与，或者人工制定规则，而微点是通过预置规则来判断。而这种拦截API为主的技术其本身就有不可避免的缺陷，一定会存在这样那样的绕过漏洞，驱动漏洞。你可以去看看，包括comodo，MD，DW，EQ在内的手动HIPS，在真正的安全技术人员面前时多么不堪一击，只要程序能够运行，哪怕其余动作都不允许也不能保证安全
  从理论上说只要攻击者的代码能够在目标机器上有所体现，那么任何系统都是不堪一击的

镜湖

回复  angir


    我没说有大量病毒可以过微点，因为微点市场占有率不高，不是主要目标。
关于你这句 ...
jefffire 发表于 2010-5-1 16:53

你这个“漏洞利用说”是听MJ说的，还是自己发现的……呵呵。

jefffire

回复 64# 镜湖


    我当然还没到这种水平，但是在看雪，debugman混了也有些时间了，这个漏洞到底有没有我当然清楚。MJ不过说了个大实话而已

angir

回复 63# jefffire


    首先，微点的漏洞经过5年的测试，已经变得少之又少。微点的软件开发工程师不是傻的，自己的软件有漏洞会不知道？

其次，在真正的高手面前没有任何的工具可以保证系统安全。所以，是不是就不要装安全软件了呢？

jefffire

回复 66# angir


    呵呵~~微点凭几个工程师，五年研究，漏洞就“少之又少”。微软真想哭了。

angir

回复 67# jefffire


    一个是系统，一个是软件。哪个的漏洞多啊？
按照你这个说法，是不是微点每一行代码都充斥着漏洞呢？

国家不是傻的，一款充满漏洞的软件还给奥运会用

zy373779171

这就是“局长”？

jefffire

回复 68# angir


    呵呵~~~我可以大胆的说，一定是微点的漏洞多。windows的漏洞不通过长期研究和fuzz根本是不可能发现的，即便你是高水平的技术人员也一样。而微点的漏洞哪怕是水平次点的人，研究个十天半个月也能发现问题，至于有多少人研究，研究出来了又有多少人公布那就另说了。
  一款软件只要不大范围使用，哪怕安全漏洞百出也在某种程度上是“安全”的。参加奥运的杀软多了去了，你自己去查查，主要还是symantec等国际大厂在参与，微点只是其中之一，并不是值得特别骄傲的事
   PS：不再和你争了，安全软件信则用，不信则不用，我不过说说实话，你能听则听不能听则54即可。