简析对于行为分析的误解

a445441

简析对于行为分析的误解
  看到这样一种说法“当病毒活动了，机器也就染毒了，微点同时才出现，好象不如先清除了好，所以建议微点应该加入扫描技术”，这种想法应该说代表了很多网友的真实想法。我们分两部分来详细讨论一下。
    1.“好象不如先清除了好，所以建议微点应该加入扫描技术”
     这个提法很对，从程序效率上讲，在病毒加载前杀毒确实比病毒加载后杀毒的效率要高。道理很容易懂，特征码只扫描几个点，而病毒加载是要读取全部程序并进行初始化，所以单论处理速度的话，行为判断必然要低于特征码扫描。所以说微点在监控中加入了特征码判断来提高整体程序的运行效率和杀毒效率。而采用实时行为引擎的意义，不用多说了，大家都明白，特征码对“未知病毒”无能为力，所以行为监控是必须的。结合到微点主动防御系统上，就是我们目前看到的形态，已知特征扫描、未知特征扫描、行为判断三部曲。
      在实时监控上微点的技术原理架构和实际效果绝对是目前最出色的。我和某些朋友想法不太一样，我觉得一个完善的实时监控系统是保护系统安全最重要的途径，如果实时监控比较完善，那么扫描可以说是多余的。因为只有在实时监控漏报的情况下，扫描才有价值。所以我个人对微点以后将推出的扫描引擎并不是很热衷。不过，每个人都有不同的使用习惯和想法，我不需要并不等于别人不需要。微点能虚心接受用户的建议，努力满足用户的需要，这点还是值得鼓励的。
PS：有的朋友觉得 主动防御==行为分析，我个人不太赞同这个提法，我觉得主动防御>>行为分析，主动防御是一种综合性架构体系，至少包括特征扫描、行为分析、本地特征自动提取、系统辅助分析功能（主要是工具和日志）等等。鉴于微点主动防御架构的先进性，所以心随风落那篇中天第一热帖《微点与其他杀软对三大论坛的样本测试报告》中出现的悬殊差距也是很必然的了。我个人最期待的是卡巴、江民、McAfee把它们的“手动防御”尽快升级为主动防御，然后来一场真正意义的比拼低误报的PK。目前只有微点一个主动防御产品，想不给微点封老大都不行。。。
     2.“当病毒活动了，机器也就染毒了，微点同时才出现”
     这个提法是不科学的，但是大家这样想也是很正常的，因为学过编程懂得程序运行机理的人只是少数。为什么说这个提法有问题呢？因为在Windows下，程序其实是不能真正意义直接运行的，程序运行实际上是通过API接口通知Windows内核，由Windows负责真正的执行。
     我理解微点的监控部分是工作在应用程序和系统内核之间，而微点的执行层则嵌入windows内核，这样就实现了微点目前的形态，实时监控程序行为，在发现异常时以系统内核权限强行中止病毒进程。也就是说在病毒发挥破坏作用前的一刹那微点报警发挥作用，由于微点阻止了病毒把破坏行为传递给windows内核，所以实际上在微点报警并拦截病毒的那一刹那，病毒并没有真正意义上的执行，破坏性为、染毒也就无从谈起。
所以说微点的行为监控，貌似惊险，但是技术原理上是绝对安全的

zhagjun

沙发，很好

WeeVee

有点眼熟

jefffire

google一搜索我懂了
https://www.ggssl.com/search?hl= ... i=&aql=&oq=

a445441

呵呵   

dong7010

已阅，分析得唔错。

-oAo-

谢谢分享

色色仙人

回复 4楼 jefffire 的帖子

哎...别人的就是别人的...哪怕就是骂的毫无道理...

色色仙人

还是整点自己的吧...没有什么实际意义...

jiao轩

”我个人最期待的是卡巴、江民、McAfee把它们的“手动防御”尽快升级为主动防御“
文章的意思是卡巴等主防是单步的，不属于主动防御？
这个不太理解……