微点与卡巴立体防御的体系比较-卡巴部分已经得到工程师确认无误
[align=center][b][color=indigo] 无限梦幻评测室出品(转载请注明)[/color][/b][/align][b][color=indigo][/color][/b][b][color=indigo]微点:智能HIPS(没有看到官方白皮书无法判断)+行为分析+白名单+病毒库+自我保护+防火墙(感谢指正)[/color][/b]
[b][color=#4b0082][/color][/b]
[b][color=#4b0082]PS:关于有网友质疑微点的云安全,经过核实软件本身和隐私声明微点没有云安全。[以隐私声明和官方白皮书为准][/color][/b]
[b][color=#4b0082][/color][/b]
[b][color=#4b0082]拥有云安全的厂商:[/color][/b]
[b][color=#4b0082]MCAFEE PANDA 趋势 SYMANTEC 金山 卡巴[/color][/b]
[b][color=darkred]KIS2009:智能HIPS(4D)+交互HIPS(4D)+PDM+病毒库+启发+沙盘+云安全+防火墙+隐私保护+反广告+家长控制+DNA基因扫描+扫描行为分析+运行行为分析+自我保护等[/color][/b]
[size=5][color=seagreen][b]注意:此贴内容不涉及谁好谁坏,仅是带领大家走入卡巴、微点的防御体系![/b][/color][/size]
[color=darkorchid][b]微点的智能HIPS与卡巴的智能HIPS是完全不一样的两个概念,虽然都是智能,但是其运作却大不一样。[/b][/color]
[b][color=olive]我们来看一下微点智能HIPS的判断机理:[/color][/b]
[b][color=olive]1,进行白名单核对,相同不拦截,不同则进行2。[/color][/b]
[b][color=olive]2,与病毒库特征进行对比---失败则进行3。[/color][/b]
[b][color=olive]3,行为分析,查杀本体与衍生物,并给予提示,被过的要不没有提示,要不拦截不完全)[/color][/b]
[color=red][b]这也是为什么微点的防御非常出色的原因(部分关键步骤已经省略)[/b][/color]
[b][color=olive]再来看一下卡巴的立体防御体系:[/color][/b]
[b][color=olive]1,进行病毒库、DNA库、不正常的混合壳和可疑程序核对,没有则进行2[/color][/b]
[b][color=olive]2,扫描启发分析,虚拟机在这里进行启发分析,具体可以见到的报法为Heur.Downloader等,没有则进行3[/color][/b]
[b][color=olive]3,扫描启发+扫描DNA启发分析,具体报法为Heur.Trojan.Generic、 Heur.Virus.Generic等,没有则进行4(1),4(2)[/color][/b]
[b][color=olive][/color][/b]
[b][color=olive]注:以下步骤按照自动模式下的智能HIPS(4d)分析[/color][/b]
[b][color=olive]4(1)、核对白名单和数字签名,没有则进行5(1)[/color][/b]
[b][color=olive]5(1)、自动分组(沙盘运行),并根据初步判断的danger index进行分析,使本体获得相应组别的权限。[/color][/b]
[b][color=olive]6(1)、有些病毒会释放衍生物,此时,每生成一个衍生物并激发运行,都会重复前几个步骤。这里有可能会随着衍生物的行为,使本体病毒的组别发生变化,例如从低受限---->高受限[/color][/b]
[b][color=olive]7(1)、生成的衍生物有些是可以通过1、2、3进行拦截的或者嵌入驱动等等。而有些则被过,此时进入动态行为启发分析,即与行为库中的某些病毒行为进行核对,详见的报法Behavior Similar Trojan xxxx[/color][/b]
[b][color=olive]8(1)、如果没有则会进行整体的最后核对以及评估,包括云安全机理都会在这里进行分析。[/color][/b]
[color=red][b]这也就是为什么卡巴的立体防御比较难过得原因(注意,有些关键步骤已经省略!)[/b][/color]
[color=red][/color]
[color=red][b]以上只是形象化描述,具体的比这个要复杂的多例如提升权限等等等等。[/b][/color]
[color=navy][b]注:以下步骤按照交互模式下的智能HIPS(4d)分析[/b][/color]
[color=navy][b]4(2)基本类似于自动模式,但是有些步骤需要人工干预,包括提升权限,联网提示等多方面提示。[/b][/color]
[b][color=#000080][/color][/b]
[b][color=red]经过7月份的测试结果我们可以看出(大家可以去置顶帖去看7月每天详细的数据)[/color][/b]
[b][color=#ff0000]卡巴立体防御成绩基本在97%-100%之间(7月抛去一天HIPS未测试)[/color][/b]
[b][color=#ff0000]微点防御成绩基本在90%-100%之间(不包括个别跳水,基本很稳定)[/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000]这个数据完全可以表明,两种防御体系都可以应对最新的病毒,都是主动防御的领头羊。同样是出色的软件![/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000]PS:纠正几个观点[/color][/b]
[b][color=#ff0000]1、微点的HIPS比卡巴HIPS好[/color][/b]
[b][color=#000080]防御体系不一样,根本无法对比,而且与版规不符![/color][/b]
[b][color=#000080][/color][/b]
[b][color=red]2、卡巴的立体防御比微点好[/color][/b]
[b][color=#000080]防御体系不一样,根本无法对比,而且与版规不符![/color][/b]
[b][color=#000080][/color][/b]
[b][color=red]3、KIS=KAV+半个微点[/color][/b]
[b][color=#000080]严重错误,KIS从整体水平肯定是超过微点(按照7月成绩说话),但是微点同样优秀!主动防御这块几乎是伯仲之间![/color][/b]
[b][color=#000080][/color][/b]
[b][color=red]4、卡巴交互模式天下无敌[/color][/b]
[b][color=#000080]严重错误,天下没有密不透风的墙,关键在于自己的习惯![/color][/b]
[b][color=#000080][/color][/b]
[b][color=#000080]最后给各个fans的话:[/color][/b]
[b][color=red]卡巴、微点的fans不管怎样,请大家互相帮助双方的软件,不要因为个别人而引发口水,发现对方的BUG可以通过官方的信箱进行上报,口水的讨论是无法解决问题的。不管最后谁获胜,高兴的人总是那些 XX 杀毒软件公司。俗话说得好,螳螂捕蝉黄雀在后。这恐怕就是杀毒界的潜规则![/color][/b]
[b][color=#000080][/color][/b]
[b][color=#000080][/color][/b]
[b][color=#ff0000]如有纰漏欢迎指正,如果口水谢绝回复!谢谢![/color][/b]
[b][color=#ff0000][/color][/b]
[[i] 本帖最后由 syfwxmh 于 2008-8-14 16:01 编辑 [/i]] 抢完沙发慢慢看
[[i] 本帖最后由 killerwhale 于 2008-8-14 10:56 编辑 [/i]]
回复 2楼 killerwhale 的帖子
下次我自己把沙发抢过去~[:xi56:] [quote]原帖由 [i]syfwxmh[/i] 于 2008-8-14 10:55 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4487660&ptid=306178][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]下次我自己把沙发抢过去~[:xi56:] [/quote]
嘿嘿 吃一堑长一智 幸好我不怎么发帖 你没有sf抢哈 厄~你就气我吧[:09:] ~~这个月MS BD王的称号没有落入你的手里啊[:14:] 学习了,不错的说。 我的观点:卡巴09和微点的差别,更多的是在扫描引擎上。
微点测试我也关注过。官方说99%拦截有所夸张,但扫描区的成绩显然低估了微点的实力。
因为,DZ发的样本是活的,但不保证在任何环境下都是可运行的。真正造成危害并过微点的很少。而卡巴09具备强大的扫描引擎,这就是另外一回事了。
微点的优势在哪里??我认为,微点和F-secure主防的易用程度,是高于卡巴09的。卡巴09需要用户参与略多一些,而且分组的正确率还不够。微点在解决HIPS软肋上尤其出色(安装问题,反复提示导致的“狼来了效应”),报警十分准确,误报率可与传统杀软媲美了。
卡巴09的优势在于全面。拥有更为专业的防火墙,IPS,提供了完善的HIPS模块,以及反广告,保护隐私功能。KIS可以全方位的保护电脑,无须其他安软协助。
单纯讨论行为防御部分,微点的白名单显然更加完善,更加易用。而卡巴的灵活性,安全性更高。
总结:微点和卡巴各有千秋,都是很好的安软,都能有效保护我们的电脑,是高安全性和高易用性统一的体现,使得绝大多数用户不必在DIY上花费大量时间,同时可以享受HIPS带来的好处。前途是很光明的。 [size=4][color=blue][b]在这里扔个砖头:我们欢迎技术上的探讨。但是,
如果有人发布没有依据的负面评价,无论是对那个安软,都将加重处罚。[/b][/color][/size]
[size=4][color=red][b]
[color=blue]特别提醒[/color][u]某些打擦边球,冷嘲热讽,骚扰版区的某些狂热粉丝。[/u][color=blue]不管是微点的,还是..... [/color][/b][/color][/size]
[size=4][color=red][b][color=blue][/color][/b][/color][/size]
[size=4][color=red][b][color=blue]最好注意一些,学会互相尊重,照顾别人的感受。[/color][/b][/color][/size]
[[i] 本帖最后由 polly5771 于 2008-8-14 11:15 编辑 [/i]] 微点现在所差的就是营销能力和市场了,其实在技术层面上,微点无疑是国内最好的
回复 7楼 polly5771 的帖子
恩~各有特色~防御都很强没必要为了这点事情来回吐口水~
回复 8楼 polly5771 的帖子
这个严重支持!!![:09:] 微点有防火墙和“云安全”回复 12楼 guanxiaolei111 的帖子
您好,这个防火墙我已经加入进去了,不过云安全不仅在微点程序中没有见到,也没有见到云安全的隐私声明。所以不予考虑。 哦但微点如果没有实时自动上报可疑文件并更新网络白名单,误报率绝对超过80%[:07:]
回复 14楼 guanxiaolei111 的帖子
这个不算云安全~自动上报可疑文件虽然在云安全里有,但是这个在云安全出来之前几乎各个厂商都有这个~而且没有见到白皮书、软件有相关说明或模块以及云安全都有的隐私提示说明,所以不予以考虑!
最后感谢你的指正! 明白了,谢谢[:13:]
回复 16楼 guanxiaolei111 的帖子
没事~微点如果按照现在的定位是不需要云安全作为技术支持的,有了反而是资源上的累赘! [color=purple]微点讨巧在他的报法他不会像卡巴一样说 一个 XXX 组程序试图运行 XXX 这个行为类似 XXX
而是发现可疑程序 发现未知XX 发现...
于是乎给人以智能的 "错觉" [color=purple]所以逻辑上来说在微点的世界里对于一个程序只有 yes 或者 no
而卡巴会更加细分一点 对于一个程序你可以 block 你认为高危的动作而继续其他的... [b]微点用到了HIPS技术的 内制规则与触发点或者阀值的 病配合特征码 行为对比匹配 ,针对病毒的防御软件,所以感觉微点不能叫主动防御,因为涉及特征码。[/b]
[b]微点的内制规则较严 , 所以初期误报较多 , 目前白名单比较完善 ,所以还行 , 但是对于单步匹配还是弱项[/b]
[b]分析目前病毒行为 , 并依据病毒分类或者单个病毒进行病毒名定义 ,并与病毒行为进行挂钩 ,
当某个程序与某病毒全部规则匹配 就可以认定是病毒 ,部分匹配可以报 变种活未知病毒[/b]
[b]但报未知病毒 里面有一部分是正常软件的行为与病毒行为重合 也报为 未知病毒,这就是误报的产生。[/b]
[b]如果微点学TF不报未知病毒而报具有潜在威胁的行为呢? 那么误报这个词从何而来 ? 误报也只是针对 未知病毒这几个词而已。[/b]
[b]KB2009[/b]
[b]经过三层防御[/b]
[b]1. 数字签证(或者白名单)[/b]
[b]2. 检测文件特征码和内存特征码[/b]
[b]3. 行为分析,过的话需要很好的思维能力(难度相对于特征码要难很多)[/b]
[b]pass这三步就可以避开接下来的沙盘,但是基本不太可能[/b]
[b]想到这我有无奈09对回滚的取消。。。。。[/b][:08:]
[:08:]
[[i] 本帖最后由 caolizhen 于 2008-8-14 12:04 编辑 [/i]]