转自中天论坛的一高手的精彩文章!!!!

zqd6789 收藏 3 602
导读:转自中天论坛的一高手的精彩文章!!!!

【个人谈点对微点先进技术的理解,兼麦咖啡的一些理念】


补充一下:我所说的下面这些文字,只是我自己的认识水平有限,个人看法而已。有错误请指出,非常感谢!



不怕丢人,我对微点不太熟悉,对麦咖啡更是一知半解。只能通过简单的说明进行对比,看看微点高在什么地方。这贴子不是为了吵架的,如果想吵架,请另找地儿开枪。


微点第一个特点(以下特点均是官方技术说明文字):


① 创立动态仿真反病毒专家系统:对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼成病毒识别规则知识库。模拟专家发现新病毒的机理,通过对各种程序动作的自动监视,自动分析程序动作之间的逻辑关系,综合应用病毒识别规则知识,实现自动判定新病毒,达到主动防御的目的。


据我理解,这一特点的主要意思是:用病毒识别规则知识库来判断某一文件是不是病毒。而这个病毒识别规则知识库是根据反病毒专家判定病毒的经验(对病毒行为规律分析、归纳、总结)而成的。


也就是说,某一程序,当它在系统中进行某一动作,而这一动作恰恰符合病毒识别规则知识库中的一种或一类,则微点就将其判定为病毒,进而制止它的犯罪行为。不知道我这么理解对不对?


如果我的理解没有错得太离谱,那么这一技术特点与麦咖啡相比好像并没有太大的优势。在我看来,所谓的病毒行为规律,不外乎就是修改文件(这里的文件概念包括注册表、可执行文件等所有的文件格式)、读取文件(包括密码等私密信息)、建立文件、删除文件(格式化也是删除的一种方式)等几种有限的方式吧?


打个简单的比方,反病毒专家可能认为:非法修改注册表往往是病毒的一种行为方式,只要非法修改注册表就触动了病毒识别规则知识库。那么,微点是通过某一程序是否非法修改注册表来判断它是否为病毒的(当然不只判断这一条)。而麦咖啡加一条规则,直接禁止对注册表进行操作(你自己指定可以修改注册表的程序除外)。


也就是说,微点病毒识别规则知识库中的所有病毒行为判断规则,在麦咖啡中都可以用一种更为极端的方式来实现。你认为它在系统文件夹下私自写文件改文件是病毒行为,那麦咖啡直接就禁止除了你指定的程序外不能动系统文件夹下的任何文件。哪个更极端?


② 自动准确判定新病毒:分布在操作系统的众多探针,动态监视所运行程序调用各种应用编程接口(api)的动作,自动分析程序动作之间的逻辑关系,自动判定程序行为的合法性,实现自动诊断新病毒,明确报告诊断结论;有效克服当前安全技术大多依据单一动作,频繁询问是否允许修改注册表或访问网络,给用户带来困惑以及用户因难以自行判断,导致误判、造成危害产生或正常程序无法运行的缺陷。


首先,我认为,越来越多的软件开始借鉴一些病毒的技术。在这种情况下,如果一款新软件像以往的病毒一样采用新的接口动作,微点如何判定这一新软件到底是不是病毒?尤其是,像一些涉及系统底层接口的软件,怎么判断?有没有误判的可能性?


第二,我们平常所用的软件基本是有数的。就算出现了新软件,对一个非新手来说,它的功能、需要的支持基本上也能断定。比如新出了一款浏览器,根据它的软件说明,我想作出一个大致的判断应该不难:需要通过80端口上网,需要对缓存区进行读写,需要支持HTTP和FTP下载支持等等。而这些东西,在麦咖啡里完全可以通过自定义规则中的排除来搞定,在这几条限定规则中把这款浏览器的进程给排除掉,就万事OK了。


也就是说:微点能做到的,麦咖啡也能做到,只是对使用者的技术水平要求不同而已。


③ 程序行为监控并举:在全面监视程序运行的同时,自主分析程序行为,发现新病毒后,自动阻止病毒行为并终止病毒程序运行,自动清除病毒,并自动修复注册表。


发现新病毒后自动阻止病毒行为,对一款防/杀毒软件来说都是必要的。问题是,杀软的进程优先级比较麻烦。如果病毒进程的优先级高于杀软,想把它干掉恐怕不太可能。微点在没有系统底层代码的前提下,能保证这种情况不会发生吗?要知道,几家国际知名杀软可大多拿到了微软公布的部分底层代码。


④ 自动提取特征值实现多重防护:在采用动态仿真技术的同时,有效克服特征值扫描技术滞后于病毒出现的缺陷,发现新病毒后自动提取病毒特征值,并自动更新本地未知特征库,实现“捕获、分析、升级”自动化,有利于对此后同一个病毒攻击的快速检测,使用户系统得到安全高效的多重防护。


特征值扫描确实滞后于病毒的出现。我理解微点的这一技术特点,应该是:通过行为判断技术判定病毒,接着在本机直接提取特征值加入本地未知特征库,从而避免变种损害,以及官方升级病毒特征的麻烦。


这一点非常好,严重支持。麦咖啡能达到的程度是:即使知道你是病毒,即使我不想杀毒,并且直接手动启动该病毒,也无法运行。记得剑盟某牛人发过一条麦咖啡的规则,开启之后计算机处于“无敌”状态,任何操作都不能进行,除非你手动指定哪个程序是良民(包括系统本身极其重要的一些进程,比如SVCHOST)。孰优孰劣,自行判断。


⑤ 可视化显示监控信息:对所监控程序行为的信息可视化显示,用户可随时了解计算机正在运行哪些程序,其中哪些是系统程序,哪些是应用程序,还可进一步了解程序是何时安装,什么时候运行,运行时是否修改了注册表启动项,是否生成新的程序文件,程序是否具有自启动,程序由谁启动执行,程序调用了哪些模块,以及当前网络使用状况等等。用户直观掌握系统运行状态,并依据其分析系统安全性。既可用作系统分析工具,又可作为用户了解计算机系统的学习工具。


非常赞同的一点是:可视化显示监控信息,可以作为用户了解计算机系统的学习工具。因为这种可视化显示,有N多的进程查看软件可以做到。如果是为了看这个,我想,也并没有必要一直开着它占用系统资源,需要看的时候打开看一下就行了。对新手来说,这个特点着实不错。


总而言之,我的看法:微点开辟了一条杀毒防毒的新路子,可喜可贺。国产杀/防软件为有微点应该可以长出一口气了。


但是,诸位,请不要由此就声称微点天下无敌,因为这并不是事实。可能对某些用户来说,微点直观、聪明,但并不代表它的功能别的软件就无法企及。从另一个层面上来说,如果熟用了麦咖啡,自己配置规则,除了那个可有可无的可视化监控信息化,其它的统统不在话下。



形象点说,

微点是:发现谁在做坏事,制止并将其投入大牢或枪毙,完好地解决他带来的一切后果。

麦咖啡是:一套详细的制度,保证任何想犯法的人都没有犯法的机会。


此文是转自中天论坛remcn的文章, 只想给大家提供更宽的视野,绝无它意,请不要揣测!!!!


1
回复主贴

相关文章

更多 >>
聚焦 国际 历史 社会 军事

猜你感兴趣

更多 >>
3条评论
点击加载更多

发表评论

更多精彩内容

经典聚焦

更多
发帖 向上 向下
广告 关闭