◆◆→360云主防真是云端黑白名单+单步HIPS判定？应该可以改进！【吹牛也打草稿】

悟心之道

【说在前面的话】小白我多年不编程了，想当年D版之风盛行，知识产权保护在电脑软件保护上很脆弱，于是觉得这行业没搞头（当初号称中国的盖次都不富裕），放弃了。说到这儿不得不说自己当年分析问题还是过于简单，没把软件产品，尤其是互联网用户产品与传统产品产生效益的差别搞明白，这也造就自己与风云人物难以同日而语的根本原因。当然也没后悔，毕竟就算认识对方向正确，最终做出卓越成绩的还是少数（自己在现本行内也算百里挑一，自己安慰下自己，要扔砖的也不要客气）。
思想水平的高低才是决定性因素，编程水平高低只是影响因素，同意观点的可继续看，不同意的不用看了，因为我怕浪费你宝贵的时间。
【1楼2011050710：03锁定，日志草稿，2楼相对正文修改完善】

悟心之道

1 从主动防御技术分析入手
1.1 微点主动防御技术基于程序行为的专家行为差别处理系统，是程序在微点监控下运行，当运行行为触犯微点规则，也可称底线时即被判断病毒或木马，进而采取回滚方式，清扫痕迹，并删除病毒或带病毒的文件，当然现在的微点主防软件已经结合了杀毒技术，逻辑顺序上可以先杀毒（删除病毒文件或被消毒）。道理不复杂，要实现难度在什么地方？
1.2 实现主动防御想法的技术核心应该就在“虚与实之间”（这是人家的核心技术，本人纯推测，如有雷同，纯属巧合，想好再展开）
1.2.1 虚实控制的基本方法和手段（20110508）
1、虚与实，虚与实如同太极中的阴与阳，是相对的，是对立统一的两面。讨论主动防御技术时，虚与实简述为：虚指一组正在被监控的程序行为和文件，是对处于被监控状态的一种描述；实是指经过主动防御技术规则判定安全而放行的，进而不再监控或暂时不监控的一种状态。虚与实状态会因程序活动而相互转换。
2、 虚实控制的基本方法和手段（20110509）
虚实控制的基本方法和手段是在控制环境中运行程序，记录执行过程关键环节，依据规则做出判断，实施虚实变化。
控制环境质量和层次决定：A、可靠程度决定了能对付最强病毒的层次；B、性能决定了效率；C、规则的准确性决定其对病毒木马行为鉴别和防御能力。
1.2.2 运行留迹
1、内存与虚拟内存占用（20110511）
微点进程有4个可见进程，分别是MPMon.exe,MPSVC.exe,MPSVC1.exe,MPSVC2.exe,内存占用比较稳，就在12M上下，但虚拟内存占用却波动很大，从近100M，最大有1G多，我实测的最大也到了814M。详见：◆◆→减少微点主动防御软件2.0的虚拟内存占用的方法【不同应用环境相差大】http://bbs.kafan.cn/thread-978537-1-1.html。
2、MPSVC2.exe所控制的虚拟内存有如“如来佛掌心”，“心念”却是MPSVC.exe,MPSVC1.exe，MPSVC2.exe。
1.2.3 优化虚拟内存占用的解决方案（20110512）
先说现状：电脑启动运行1、2小时，微点主防所用虚拟内存并不多，在这1、2小时中，我们电脑照样置于其同等力度的保护之下。
解决方式：打仗会有几道防线，CPU有分级缓存。从这个思路出发，完全可以把很可能要用的部分留于内存中（数量少，反应快），有可能要用部分放入虚拟内存中一个区域，用的可能性很小放入虚拟内存的另一区域，逐步将其（理论上虽不是100%用不着，但实际就是用不着的）释放，不再监控。思路重点就是分级控制，既能保证安全，也能有效控制虚拟内存使用量。
2 360云主防
2.1 原理简述（20110513）
云主防是以监控为手段，用被监控文件特征码（可理解为类似MD5）和云端海量文件特征码进行比对，依据对比结果在白名单中放行，在黑名单中拦截或清杀，不在已知名单中则启动行为防御，在本机执行半步，挂起，上传行为特征到云端，云端进行判断，没触犯规则放行，执下半步及下步的上半步，循环...直到被监控对象被判非法而终止或者被判合法得以完整执行，文件特征入库，未知变已知（引入半步有点不同）。
2.2 解释“半步”（20110514）
相信不少朋友已经明白我要说的“半步”的基本含义。第一层意思，一是一个小体系，这个体系就是两个半步构成的。第二层意思是“一步分虚实，半步定乾坤”，360云主防，不回滚，一步中只有完成后半步才能做实，不是“半步定乾坤”，又无回滚机制如何做到？！
PS 半步不是360云主防独有的，Windows防火墙有，HIPS有，云上传鉴定也有...。
2.3 例说不同安软件对未知文件处理方式的异同（待续，处理方式不是决定安软品质的唯一因素，同样的方式完善程度是关键，如果有违版规或版主不同意就不在这儿比较了，拟以微点主防、金山毒霸、360为例，厂商不愿意也可以先提出来）
2.4 简析单步行为云端干预的优缺点（20110516）
优点：在能判断准确的情况下，在本地尚未真正执行，也未留下痕迹时即可终止危险行为。
缺点：首先作为行为判断的已知条件输入明显少于（非云）主动防御技术，依据其所做判断有依据欠充分之虑。如果只以行为特征为输入依据，则以不同组合方式当作判断条件可以是前面行为特征输入的任意组合，每增加一步并不是只单纯增加一个判断条件（不算复杂的数学概念）。其次如果一未知程序执行第N步才被判定为病毒和木马，不回滚，如何消除前N-1步所造成的不利影响？（不想在完成前被锁贴，2.3见日志）
3 云主防能否改进？
3.1 简述基本原则（20110517）
其他相同的条件下：
1、本地优于云。
2、已知条件越多判断越准。
3、智能优于非智能。
4、速度快优于慢。
5、资源占用低优于高（安装包、安装、内存、虚拟内存、CPU占用等）。
6、误报低。
7、对感染性病毒的解毒能力。
（只列七宗，七宗罪就表示很多了）
引用“一个杀软的好坏不是只看扫描的，还包括误报（误报的频繁程度和危害程度），监控，资源占用，主动防御，上报反应速度，兼容性，可操控性，对感染性病毒的解毒能力，对嵌入其他进程的病毒不通过辅助工具删除能力等方面”
3.2 数字云主防存在的问题和改进余地（201106117：58）
云端比对+单步行为判断距真正“智能”尚有很大差距；
即使按HIPS要求，云主防也还有HIPS能实现它不能实现的功效。如HIPS可以对指定目录、文件进行保护，防止误删除、修改、也可拒绝访问，云主防做不到的。
《★★☆→360安全软件如何设置可避免如图所示情况发生？》
http://bbs.kafan.cn/forum.php?mo ... &fromuid=513112

改进把现在做不到的做到，已经可能做到的做得更好，体现在提高“智能”，增加有用功能上。

特别欢迎！

Tron 发表于 2011-5-7 19:47
说的就是思想水平，太低了。

表现出更高的思想水平，批评指正文中原则性错误与不足！ 如果TA的回复就只这句话，那我只看到孩子气与不成熟。
出处：http://bbs.kafan.cn/forum-redirect-goto-findpost-ptid-976937-pid-19031528-fromuid-513112.html
【以下引用 Tron 高见有兴趣的都学着点，感谢！】

saga3721

不是网络征婚吧

langsileaa

开发企业最缺乏的人才是优秀的系统设计师、分析师、架构师，至于底层代码程序员一抓一把。

kmelon

对了，思想家和大师比高手重要得多……

悟心之道

langsileaa 发表于 2011-5-7 07:50
开发企业最缺乏的人才是优秀的系统设计师、分析师、架构师，至于底层代码程序员一抓一把。

我想也是。

langsileaa

回复 6楼 悟心之道 的帖子

  这个不用想，对应建筑图纸设计师和盖楼工人就行。底层代码程序员就如盖楼工人。

悟心之道

1 从微点主动防御技术分析入手
微点主动防御技术基于程序行为的专家行为差别处理系统，是程序在微点监控下运行，当运行行为触犯微点规则，也可称底线时即被判断病毒或木马，进而采取回滚方式，清扫痕迹，并删除病毒或带病毒的文件，当然现在的微点主防软件已经结合了杀毒技术，逻辑顺序上可以先杀毒（删除病毒文件或被消毒）。道理不复杂，要实现难度在什么地方？

langsileaa

回复 8楼 悟心之道 的帖子

微点最大的问题是架构上不太好改变，就如盖房浇筑好的大框架，大框架是不能随意动的。
多步判断的缺点是恶意程序如果进入R0级，底层对抗上微点未必占优，所以回滚机制就可能
失败。1.2版本是不拦截驱动加载的，不知道2.0版是否有部分改观。至少个人知道，微点对
2年前爆出的一个驱动方面过微点的方法：将自身程序加入微点的白名单，到新版都未修复。

悟心之道

langsileaa 发表于 2011-5-7 07:55
回复 6楼 悟心之道 的帖子

  这个不用想，对应建筑图纸设计师和盖楼工人就行。底层代码程序员就如盖 ...

对应说法，我很赞成