大宝(sodme)的Blog

人生如戏, 梦一场; 岁月似歌, 任逍遥.

日志

关于我

大宝(sodme)

执着, 务实, 勤于思考, 注重实效。我是大宝, 05年~11年2月在广州网易互动负责网游项目研发, 核心开发者, 网游行业六年从业经验, 主张并一直坚持实践研发+运营一体化产品观。工作内容涵盖：服务器研发/突发事件处理/产品技术攻坚、团队管理/培训、过程监控/改进、客服/运营管理等诸多方面。关注网游产品设计、研发、运营、市场完整流程构建和实践。现为创业公司项目合伙人。愿广结同道者, 共同进步。msn: sod_me@hotmail.com, mail&gtalk: sodme.dev@gmail.com

文章分类

LOFTER精选

八招诀窍，教你实力撩妹 >

网易考拉推荐

一个基于主动防御技术的杀毒软件

2005-11-06 22:22:05| 分类：默认分类 | 标签： |举报 |字号大中小订阅

下载LOFTER 我的照片书 |

这里是它的下载地址：http://www.micropoint.com.cn/download/，在论坛上，看过其他人的使用体会，除了占用内存20M这个问题外，暂时没发现什么重大BUG和错报。

我还没有安装，因为在杀毒软件这件事上，至今我还保留着只信任诺顿一家的原则，对于国内的杀毒软件，除了KV，其它的，皆没有多大的好印象。而这个微点，正好是我最鄙视的国内杀毒商瑞星的原研发人员作的，基于慎重的考虑，我选择暂时不安装它。

使不使用它，与研不研究它，两者之间没有必然关系，所以，还是想多说一点有关主动防御的问题。目前的杀毒软件，从功能上来说，它主要有两大功能：查毒和杀毒。查毒，是杀毒软件的首要功能。而查毒技术，又主要有两类：基于病毒特征库的查毒技术以及基于病毒行为判断的主动防御技术。目前市面上的杀毒软件，过了一段时间后，都会发布一个新的病毒库，这个便是它的病毒特征库，尽管如此，也不能说是市面上的这些杀毒软件是完全基于病毒特征库的，事实上，它们可能主要依赖的是特征码，但也会辅助以病毒行为判定上。

所谓的特征码，是说，每一种病毒其在运行时，在代码上，都会有一些属于它自己的特殊标志，就象人的指纹一样，杀毒软件本身要建立这样的一个特征数据库，记录下已经发现的病毒特征，将记录下它们各自的清除方法。显而易见，这种技术，最主要的缺点，就是防御本身的被动性，它总是在病毒出现之后才能杀除，为了尽可能早地发现病毒，各个杀毒公司，一般都会建立自己的杀毒防御体系和监控网络，当某个时间段时，多次出现了类似的新病毒特征报告后，便会对这种新病毒进行特征分析，寻找清除它的办法，然后更新杀毒特征库。

特征码判断，还有一种比较难对付的情况就是：病毒生产机。所谓的病毒生产机，是说病毒编写者为了让病毒更好的存活下去，它们会使用特定的方法让每次产生的病毒代码都不完全一样，这样就象制造了N多的新病毒一样，其实它们是由同一个生产机生产出来的。这样，当使用特征码去判断时，就会显得异常吃力。当然，杀还是能杀掉的，只是增加了查毒和杀毒的难度而已。

而主动防御技术，是基于对程序行为的判断，这种判断，将是更为直接的，那么，哪些行为会被认为是病毒行为呢？比如：一般的情况，可能不会一运行就去修改其它可执行文件的前面若干字节的跳转地址。而这一行为，却往往是病毒程序所要干的事。当这种危险行为出现的越来越多，超过一定的警戒线后，杀毒软件可能就会认定它是病毒程序。应该说，主动防御是杀毒技术的必然发展趋势，但它的主要缺点是：病毒行为认定的高复杂性以及由此引起的误报行为。

微点，这次既然敢公开发布这样的产品，应该是已经过了相当的测试，但它的准确性和效率到底如何，还有待时间来证明。

评论这张

转发至微博

阅读(76)| 评论(4)

推荐转载

历史上的今天

this.p={  m:2,
              b:2,
              loftPermalink:'',
              id:'fks_082075083094080070080074083071083094081067',
              blogTitle:'一个基于主动防御技术的杀毒软件',
              blogAbstract:'<div\>这里是它的下载地址：<a rel=\"nofollow\" href=\"http://www.micropoint.com.cn/download/\"  \>http://www.micropoint.com.cn/download/</a\>，在论坛上，看过其他人的使用体会，除了占用内存20M这个问题外，暂时没发现什么重大BUG和错报。</div\> <div\> </div\> <div\>我还没有安装，因为在杀毒软件这件事上，至今我还保留着只信任诺顿一家的原则，对于国内的杀毒软件，除了KV，其它的，皆没有多大的好印象。而这个微点，正好是我最鄙视的国内杀毒商瑞星的原研发人员作的，基于慎重的考虑，我选择暂时不安装它。</div\> <div\> </div\> <div\>使不使用它，与研不研究它，两者之间没有必然关系，所以，还是想多说一点有关主动防御的问题。目前的杀毒软件，从功能上来说，它主要有两大功能：查毒和杀毒。查毒，是杀毒软件</div\>',
              blogTag:'',
              blogUrl:'blog/static/547800200510610225756',
              isPublished:1,
              istop:false,
              type:0,
              modifyTime:1317471889797,
              publishTime:1131286925756,
              permalink:'blog/static/547800200510610225756',
              commentCount:4,
              mainCommentCount:4,
              recommendCount:0,
              bsrk:-100,
              publisherId:0,
              recomBlogHome:false,
              currentRecomBlog:false,
              attachmentsFileIds:[],
              vote:{},
              groupInfo:{},
              friendstatus:'none',
              followstatus:'unFollow',
              pubSucc:'',
              visitorProvince:'',
              visitorCity:'',
              visitorNewUser:false,
              postAddInfo:{},
              mset:'000',
              mcon:'',
              srk:-100,
              remindgoodnightblog:false,
              isBlackVisitor:false,
              isShowYodaoAd:false,
              hostIntro:'执着, 务实, 勤于思考, 注重实效。我是大宝, 05年~11年2月在广州网易互动负责网游项目研发, 核心开发者, 网游行业六年从业经验, 主张并一直坚持实践研发+运营一体化产品观。工作内容涵盖：服务器研发/突发事件处理/产品技术攻坚、团队管理/培训、过程监控/改进、客服/运营管理等诸多方面。关注网游产品设计、研发、运营、市场完整流程构建和实践。现为创业公司项目合伙人。愿广结同道者, 共同进步。msn: sod_me@hotmail.com, mail>alk: sodme.dev@gmail.com',
              hmcon:'1',
              selfRecomBlogCount:'0',
              lofter_single:'<iframe width="140" height="560" style="overflow:hidden;" src="http://www.lofter.com/mailEntry.do?blogad=1&blog" frameBorder="0"></iframe>'
            }

{list a as x}
    {if !!x}
    <div class="iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
      {if x.visitorName==visitor.userName}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        {if x.moveFrom=='wap'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/wapblog.html?frompersonalbloghome"><span title="来自网易手机博客" class="iblock wapIcon"> </span></a>
        {elseif x.moveFrom=='iphone'}
          <a class="noul pnt" target="_blank"><span title="来自iPhone客户端" class="iblock iphoneIcon"> </span></a>
        {elseif x.moveFrom=='android'}
          <a class="noul pnt" target="_blank"><span title="来自Android客户端" class="iblock androidIcon"> </span></a>
        {elseif x.moveFrom=='mobile'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/emsblog.html?frompersonalbloghome"><span title="来自网易短信写博" class="iblock wapIcon"> </span></a>
        {/if}
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
          ${fn(x.visitorNickname,8)|escape}
        </a>
      </div>
    </div>
    {/if}
    {/list}

<#--最新日志，群博日志--> <#--推荐日志-->

<p class="fc06">推荐过这篇日志的人：</p>
    <div>
      {list a as x}
      {if !!x}
      <div class="iblock nbw-fce nbw-f40">
        <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
        <img alt="${x.recommenderNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.recommenderName)}"/>
        </a>
        <div class="cwd thide">
          <a class="fc03 m2a" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
            ${fn(x.recommenderNickname,6)|escape}
          </a>
        </div>
      </div>
      {/if}
      {/list}
    </div>
    {if !!b&&b.length>0}
    <p  class="fc06">他们还推荐了：</p>
    <ul>
    {list b as y}
      {if !!y}
        <li class="rrb"><span class="iblock">·</span><a class="fc03 m2a" target="_blank" href="http://blog.163.com/${y.recommendBlogPermalink}/?from=blog/static/547800200510610225756">${y.recommendBlogTitle|escape}</a></li>
      {/if}
    {/list}
    </ul>
    {/if}

<#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇，下一篇--> <#-- 热度 -->

{list a as x}
    {if !!x}
    <div class="hotItem iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
      {if x.publisherUsername==visitor.userName}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
          ${fn(x.publisherNickname,8)|escape}
        </a>
      </div>
      <a class="f-myLikeIcons hottype {if x.type==1} js-liketype{elseif x.type==2} js-reblogtype{elseif x.type==3} js-sharetype{else}{/if}" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/"> </a>
    </div>
    {/if}
    {/list}

<#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->

页脚

我的照片书 - 博客风格 - 手机博客 - 下载LOFTER APP - 订阅此博客

大宝(sodme)的Blog

导航

日志

一个基于主动防御技术的杀毒软件

历史上的今天

最近读者

热度

评论

页脚