杀毒软件、HIPS与微点 分析三者区别
生活随笔
收集整理的這篇文章主要介紹了
杀毒软件、HIPS与微点 分析三者区别
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
| 這里首先說一下,之所以把微點單獨拿出來比較,是因為它既不同于傳統殺軟,又不同于通常意義的HIPS,從我個人的理解,微點不具備殺毒引擎,所以是絕對不能歸類為殺軟的,它更傾向與HIPS,不過更為智能化。今天作這個比較,是想讓大家清晰認識三者的區別和各自的優劣 一、總論 1、殺毒軟件純個人理解,殺軟需具備三大要素: 病毒特征庫、殺毒引擎、監控 通過掃描,將系統中文件的特征碼與其病毒特征庫的特征碼進行比對,如果特征碼相符,則被判定為病毒,并通過殺毒引擎清除或刪除。監控也是同樣道理。 總之,殺軟是基于病毒特征庫的。 2、HIPSHIPS也需要具備三大要素:(為了便于說明,后面對HIPS的規則處理假定為詢問) 規則、監控、攔截 若某個程序在運行過程中,觸發了HIPS設定的某個規則,則HIPS會予以詢問,并提示用戶操作,而不論這個程序是否有害。即使正常的程序,也有可能被詢問。 3、微點微點的特征非常明顯: 行為庫、監控、攔截,外加一個包過濾墻 所謂行為庫,是由程序的連串行為構成,病毒通常具有類似的連串行為,比如釋放驅動、改寫注冊表、釋放系統文件、自啟動等等,微點便是以這樣的方式來判斷病毒和***的,所以某些單一的行為或者未知的行為,不論有害還是無害,只要不觸發微點的行為庫,便會被放行。 二、舉例說明 僅僅說理論,可能大家聽不懂也很枯燥,這里就舉個例子說明 假設一個潛逃的殺人犯,我們的三大警察是如何抓住他的 1、殺軟 通過識別×××的相貌、身高、體重等特征,以判斷他不是要找的×××。如果×××喬裝打扮,且易容手法高超,完全改變了原來的外在特征,則殺軟很有可能抓不住他(這就是所謂的加殼、免殺)。如果×××繼續作案,那么殺軟會重新搜集×××的特征,重新辨認(也就是更新病毒庫)。垃圾殺軟會將其當做一個新×××,優秀殺軟卻可以識別×××的基因特征,除非×××改變基因(這就是所謂的脫殼,真正脫殼能力強的沒幾個,蜘蛛可是算是最優秀的,脫殼依賴的是引擎)。 2、HIPS 如果×××就此改過自新,不再犯案,那么HIPS將會就此放過它。如果某一天,×××繼續有了作案的動機,假設他是拿槍去殺人,首先,×××伸手去衣兜里(不管是不是去掏槍),HIPS會提示,是否阻止它?如果你放行,×××會進行下一個動作,把槍拿出來,HIPS繼續報警,是否阻止。如果放行,×××接下來會瞄準目標,HIPS繼續詢問。再放行,×××開槍殺死目標,系統崩潰,HIPS就此下課。 (還有一類特殊的HIPS,就是沙盤,比較有名的就是defensewall,就是它會虛擬一個環境,讓×××在虛擬的環境中殺人,事實上,×××并沒有真正殺死目標,一切都是南柯一夢。×××的所有行為在虛擬環境中完成,不對真是系統構成威脅) 3、微點 如果×××就此改過自新,不再犯案,那么微點也會就此放過它,這和HIPS相同。但接下來的就不同了。×××進行第一個動作,伸手去衣兜里,微點不予理會,因為這一動作本身無害,也許×××不是掏槍,只是掏錢而已。如果接下來,×××掏出的不是兇器,微點無視,如果×××掏出的是槍,微點會在此時報警,這兩個動作加在一起才形成了威脅,只有在這種情況下,微點才會詢問。如果×××掏出的是一種微點從未見過,且不知道否會構成威脅的東西,微點仍然放行,然后目標人物被干掉 三、優劣比較 1、殺軟 他的優缺點很明顯,事前防御和事后補救俱全。事前防御是依靠病毒特征碼,一切他所不知道的病毒或者因為加殼改變了代碼的病毒,均不會被識別。但一旦收集到新的特征碼,殺軟仍可依靠強大的掃描能力進行查殺。 2、HIPS 事前防御滴水不漏,但事事要求用戶決定是否放行,如果用戶基礎只是不足,錯誤放行,那么病毒將會侵入系統,HIPS沒有查殺能力,也許可以繼續攔截病毒的行為,但不能殺滅病毒本身,更不能修復被感染的文件 3、微點 事前防御根據病毒行為庫判定,并不會對所有單一行為報警,只有當連串行為構成危險并觸發其行為庫事,微點才會報警。但如果某程序的連串行為不在微點的行為庫之內,即微點無法識別這種行為是否有害事,系統被會病毒侵入,微點同樣不具備查殺的能力,最多只能攔截病毒的部分行為,而無法殺滅。 四、繼續舉例 假設手動更改 .TXT的文件關聯,使其關聯到寫字板程序 微點不會報警,因為這一單一行為不會對系統造成威脅 而EQ、中網S3等典型的HIPS,如果對這一文件關聯設定了規則,則他們會提示這一修改,詢問你是否放行。如果設定的規則是禁止的,則他們會直接禁止,使你無法改動文件關聯。相對而言,EQ、中網的防御更為嚴密,但對使用者的要求更高,你需要自行判斷某一程序的行為是否有害。 微點同樣有規則,它的規則是以行為庫(由程序的連串行為構成,病毒通常具有類似的連串行為,比如釋放驅動、改寫注冊表、釋放系統文件、自啟動等等,微點便是以這樣的方式來判斷病毒和***的)的形式體現,某個行為,無論是單一還是連串,無論有害還是無害,如果不在微點行為庫的范圍內,則不會被攔截。 五、總結 微點對某些廣告和流氓的攔截不是很好,對IE插件的加載也很少報警,因為這些廣告程序和插件,并不具備明顯的病毒連串行為,這些程序通常只是改寫一下注冊表劫持瀏覽器,甚至不會自啟動。 微點仍是建立在對已知行為的判斷的基礎上,對未知的病毒行為仍然毫無辦法。只不過病毒行為通常是類似的,通過很少的行為庫就能起到很好的防御作用。從這個意義上說,微點仍是被動而不是主動。 而中網和EQ,如果你對系統注冊表關鍵位置進行了一些規則設定(EQ和中網內置的注冊表防護規則非常全面),這些廣告和流氓想劫持瀏覽器就成了不可能的事 殺軟則不是通過程序的行為來判斷,而是通過程序的特征碼 最后一句話: 殺軟通過程序本身的代碼特征來判定是否有害 HIPS通過程序的單一行為來判定是否有害 微點通過程序的連串行為來判定是否有害 另外一個特殊的沙盤,基本不作判定,任由程序在虛擬環境中運行,使其無法破壞系統 |
轉載于:https://blog.51cto.com/minshao/924609
總結
以上是生活随笔為你收集整理的杀毒软件、HIPS与微点 分析三者区别的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 病毒主动即时升级 反病毒软件如何应对
- 下一篇: Cognex Visionpro-9.5