我怀疑微点不是多步智能hips。

请高手测试一下，或者说说是智能hips的证据也可。

我想了一个办法，不知可不可以这样测呢？

首先运行一个病毒（要微点未知的，或者把微点的病毒库删除后测），当微点报警时停住，用其它方法测试到是哪一步报警。

用另一个文件名一样的程序执行微点报警那一步，如果微点一样报警，可以初步认为微点是单步报警的，不是智能的，如果微点不报警，可以认为微点是多步报警的，是智能的。

再用另一个病毒来试，试得越多，越能证明其真实性。

微点当然是智能的了，很多软件都有动作，HIPS很频繁动地报动作，但微点就不是，总是很安静。这就足以证明微点是智能的了

文件名一样，行为不一样，不触动行为规则微点是绝对不会报警的，其实这个测试在虚拟机中很容易测试，安装微点不用注册即可，病毒样本区一大堆，微点不是360！！

[ 本帖最后由 taiw_1144 于 2008-8-16 21:59 编辑 ]

引用:

原帖由 wtgzc 于 2008-8-16 21:57 发表
微点当然是智能的了，很多软件都有动作，HIPS很频繁动地报动作，但微点就不是，总是很安静。这就足以证明微点是智能的了

这是不能说明的，因为hips也可以比微点安静。只需hips的规则宽松一些就可以了。

微点是回滚么？

引用:

原帖由 taiw_1144 于 2008-8-16 21:58 发表
文件名一样，行为不一样，不触动行为规则微点是绝对不会报警的，其实这个测试在虚拟机中很容易测试，安装微点不用注册即可，病毒样本区一大堆，微点不是360！！

我说的是多步智能，如果只触动一条规则就报警，就不是智能了。

你可以把测试结果发来看看吗？

后发制人----探索智能HIPS

从现象到本质----探索智能HIPS的回滚

智能HIPS的软肋

这里面清楚地反映了微点的工作流程，也包括其他的，TF，NAB，Mamutu。

分别对应 拦截时机，回滚，高危单步操作拦截。

微点只对直接破坏系统高危行为立即响应。这里不是多步分析。

对于其他，看第一个实验，是在修改注册表服务相关项时报警的。
而你用一个RD测试就知道。单纯的修改注册表行为，微点不会报警。因此这类测试基本都是失败。

这样足以说明微点是多步行为分析了。

顺便强调，微点对很多单步行为不拦截，是智能HIPS的本质决定的，并不影响它的使用效果。反映智能HIPS能力，只有用病毒样本测试。具体请查看扫描区测试。6-8月测试结果都列在置顶帖里

http://bbs.kafan.cn/viewthread.p ... hlight=%2Bpolly5771

看看微点区斑斑的帖子吧！

想问问
《后发制人----探索智能HIPS》
里第8步 微点出手 微点写的是生成 dll，应该和第5.向系统目录写病毒dll      对应，版主是为什么认为会是第 8步写注册表造成微点报警的呢？

多步智能的！～～