原文:http://hk.top9999.net/thread-17433-1-1.html
先解釋一下微點分析,這是大陸用詞,台灣通稱腳本!
全文如下:
1、殺毒軟件
純個人理解,殺軟需具備三大要素:
病毒特徵庫、殺毒引擎、監控
通過掃描,將系統中文件的特徵碼與其病毒特徵庫的特徵碼進行比對,如果特徵碼相符,則被判定為病毒,並通過殺毒引擎清除或刪除。監控也是同樣道理。
總之,殺軟是基於病毒特徵庫的。
2、HIPS
HIPS也需要具備三大要素:(為了便於說明,後面對HIPS的規則處理假定為詢問)
規則、監控、攔截
若某個程序在運行過程中,觸發了HIPS設定的某個規則,則HIPS會予以詢問,並提示用戶操作,而不論這個程序是否有害。即使正常的程序,也有可能被詢問。
3、微點
微點的特徵非常明顯:
行為庫、監控、攔截,外加一個包過濾牆
所謂行為庫,是由程序的連串行為構成,病毒通常具有類似的連串行為,比如釋放驅動、改寫註冊表、釋放系統文件、自啟動等等,微點便是以這樣的方式來判斷病毒和木馬的,所以某些單一的行為或者未知的行為,不論有害還是無害,只要不觸發微點的行為庫,便會被放行。
二、舉例說明
僅僅說理論,可能大家聽不懂也很枯燥,這裡就舉個例子說明
假設一個潛逃的殺人犯,我們的三大警察是如何抓住他的
1、殺軟
通過識別犯人的相貌、身高、體重等特徵,以判斷他不是要找的犯人。如果犯人喬裝打扮,且易容手法高超,完全改變了原來的外在特徵,則殺軟很有可能抓不住他(這就是所謂的加殼、免殺)。如果犯人繼續作案,那麼殺軟會重新蒐集犯人的特徵,重新辨認(也就是更新病毒庫)。垃圾殺軟會將其當做一個新犯人,優秀殺軟卻可以識別犯人的基因特徵,除非犯人改變基因(這就是所謂的脫殼,真正脫殼能力強的沒幾個,蜘蛛可是算是最優秀的,脫殼依賴的是引擎)。
2、HIPS
如果犯人就此改過自新,不再犯案,那麼HIPS將會就此放過它。如果某一天,犯人繼續有了作案的動機,假設他是拿槍去殺人,首先,犯人伸手去衣兜里(不管是不是去掏槍),HIPS會提示,是否阻止它?如果你放行,犯人會進行下一個動作,把槍拿出來,HIPS繼續報警,是否阻止。如果放行,犯人接下來會瞄準目標,HIPS繼續詢問。再放行,犯人開槍殺死目標,系統崩潰,HIPS就此下課。
(還有一類特殊的HIPS,就是沙盤,比較有名的就是defensewall,就是它會虛擬一個環境,讓犯人在虛擬的環境中殺人,事實上,犯人並沒有真正殺死目標,一切都是南柯一夢。犯人的所有行為在虛擬環境中完成,不對真是系統構成威脅)
3、微點
如果犯人就此改過自新,不再犯案,那麼微點也會就此放過它,這和HIPS相同。但接下來的就不同了。犯人進行第一個動作,伸手去衣兜里,微點不予理會,因為這一動作本身無害,也許犯人不是掏槍,只是掏錢而已。如果接下來,犯人掏出的不是凶器,微點無視,如果犯人掏出的是槍,微點會在此時報警,這兩個動作加在一起才形成了威脅,只有在這種情況下,微點才會詢問。如果犯人掏出的是一種微點從未見過,且不知道否會構成威脅的東西,微點仍然放行,然後目標人物被幹掉
三、優劣比較
1、殺軟
他的優缺點很明顯,事前防禦和事後補救俱全。事前防禦是依靠病毒特徵碼,一切他所不知道的病毒或者因為加殼改變了代碼的病毒,均不會被識別。但一旦收集到新的特徵碼,殺軟仍可依靠強大的掃描能力進行查殺。
2、HIPS
事前防禦滴水不漏,但事事要求用戶決定是否放行,如果用戶基礎知識不足,錯誤放行,那麼病毒將會侵入系統,HIPS沒有查殺能力,也許可以繼續攔截病毒的行為,但不能殺滅病毒本身,更不能修復被感染的文件
3、微點
事前防禦根據病毒行為庫判定,並不會對所有單一行為報警,只有當連串行為構成危險並觸發其行為庫事,微點才會報警。但如果某程序的連串行為不在微點的行為庫之內,即微點無法識別這種行為是否有害事,系統被會病毒侵入,微點同樣不具備查殺的能力,最多只能攔截病毒的部分行為,而無法殺滅。
四、繼續舉例
假設手動更改.TXT的文件關聯,使其關聯到寫字板程序
微點不會報警,因為這一單一行為不會對系統造成威脅
而EQ、中網S3等典型的HIPS,如果對這一文件關聯設定了規則,則他們會提示這一修改,詢問你是否放行。如果設定的規則是禁止的,則他們會直接禁止,使你無法改動文件關聯。相對而言,EQ、中網的防禦更為嚴密,但對使用者的要求更高,你需要自行判斷某一程序的行為是否有害。
微點同樣有規則,它的規則是以行為庫(由程序的連串行為構成,病毒通常具有類似的連串行為,比如釋放驅動、改寫註冊表、釋放系統文件、自啟動等等,微點便是以這樣的方式來判斷病毒和木馬的)的形式體現,某個行為,無論是單一還是連串,無論有害還是無害,如果不在微點行為庫的範圍內,則不會被攔截。
五、總結
微點對某些廣告和流氓的攔截不是很好,對IE插件的加載也很少報警,因為這些廣告程序和插件,並不具備明顯的病毒連串行為,這些程序通常只是改寫一下註冊表劫持瀏覽器,甚至不會自啟動。
微點仍是建立在對已知行為的判斷的基礎上,對未知的病毒行為仍然毫無辦法。只不過病毒行為通常是類似的,通過很少的行為庫就能起到很好的防禦作用。從這個意義上說,微點仍是被動而不是主動。
而中網和EQ,如果你對系統註冊表關鍵位置進行了一些規則設定(EQ和中網內置的註冊表防護規則非常全面),這些廣告和流氓想劫持瀏覽器就成了不可能的事
殺軟則不是通過程序的行為來判斷,而是通過程序的特徵碼
最後一句話:
殺軟通過程序本身的代碼特徵來判定是否有害
HIPS通過程序的單一行為來判定是否有害
微點通過程序的連串行為來判定是否有害
另外一個特殊的沙盤,基本不作判定,任由程序在虛擬環境中運行,使其無法破壞系統
*************************************************************
以上提到的hips、微點分析(腳本)、沙盒再加上雲端技術,大概就是目前防毒軟體所能具備的主動防禦技術總和了,如果不比較殺毒技術的話,購買防毒軟體時記得先看一下是否具備上述技術!
留言列表