我还没有安装,因为在杀毒软件这件事上,至今我还保留着只信任诺顿一家的原则,对于国内的杀毒软件,除了KV,其它的,皆没有多大的好印象。而这个微点,正好是我最鄙视的国内杀毒商瑞星的原研发人员作的,基于慎重的考虑,我选择暂时不安装它。
使不使用它,与研不研究它,两者之间没有必然关系,所以,还是想多说一点有关主动防御的问题。目前的杀毒软件,从功能上来说,它主要有两大功能:查毒和杀毒。查毒,是杀毒软件的首要功能。而查毒技术,又主要有两类:基于病毒特征库的查毒技术以及基于病毒行为判断的主动防御技术。目前市面上的杀毒软件,过了一段时间后,都会发布一个新的病毒库,这个便是它的病毒特征库,尽管如此,也不能说是市面上的这些杀毒软件是完全基于病毒特征库的,事实上,它们可能主要依赖的是特征码,但也会辅助以病毒行为判定上。
所谓的特征码,是说,每一种病毒其在运行时,在代码上,都会有一些属于它自己的特殊标志,就象人的指纹一样,杀毒软件本身要建立这样的一个特征数据库,记录下已经发现的病毒特征,将记录下它们各自的清除方法。显而易见,这种技术,最主要的缺点,就是防御本身的被动性,它总是在病毒出现之后才能杀除,为了尽可能早地发现病毒,各个杀毒公司,一般都会建立自己的杀毒防御体系和监控网络,当某个时间段时,多次出现了类似的新病毒特征报告后,便会对这种新病毒进行特征分析,寻找清除它的办法,然后更新杀毒特征库。
特征码判断,还有一种比较难对付的情况就是:病毒生产机。所谓的病毒生产机,是说病毒编写者为了让病毒更好的存活下去,它们会使用特定的方法让每次产生的病毒代码都不完全一样,这样就象制造了N多的新病毒一样,其实它们是由同一个生产机生产出来的。这样,当使用特征码去判断时,就会显得异常吃力。当然,杀还是能杀掉的,只是增加了查毒和杀毒的难度而已。
而主动防御技术,是基于对程序行为的判断,这种判断,将是更为直接的,那么,哪些行为会被认为是病毒行为呢?比如:一般的情况,可能不会一运行就去修改其它可执行文件的前面若干字节的跳转地址。而这一行为,却往往是病毒程序所要干的事。当这种危险行为出现的越来越多,超过一定的警戒线后,杀毒软件可能就会认定它是病毒程序。应该说,主动防御是杀毒技术的必然发展趋势,但它的主要缺点是:病毒行为认定的高复杂性以及由此引起的误报行为。
微点,这次既然敢公开发布这样的产品,应该是已经过了相当的测试,但它的准确性和效率到底如何,还有待时间来证明。
评论