這里首先說一下，之所以把微點單獨拿出來比較，是因為它既不同于傳統殺軟，又不同于通常意義的HIPS，從我個人的理解，微點不具備殺毒引擎，所以是絕對不能歸類為殺軟的，它更傾向與HIPS，不過更為智能化。今天作這個比較，是想讓大家清晰認識三者的區別和各自的優劣 一、總論 1、殺毒軟件純個人理解，殺軟需具備三大要素： 病毒特征庫、殺毒引擎、監控 通過掃描，將系統中文件的特征碼與其病毒特征庫的特征碼進行比對，如果特征碼相符，則被判定為病毒，并通過殺毒引擎清除或刪除。監控也是同樣道理。 總之，殺軟是基于病毒特征庫的。 2、HIPSHIPS也需要具備三大要素：（為了便于說明，后面對HIPS的規則處理假定為詢問） 規則、監控、攔截 若某個程序在運行過程中，觸發了HIPS設定的某個規則，則HIPS會予以詢問，并提示用戶操作，而不論這個程序是否有害。即使正常的程序，也有可能被詢問。 3、微點微點的特征非常明顯： 行為庫、監控、攔截，外加一個包過濾墻 所謂行為庫，是由程序的連串行為構成，病毒通常具有類似的連串行為，比如釋放驅動、改寫注冊表、釋放系統文件、自啟動等等，微點便是以這樣的方式來判斷病毒和***的，所以某些單一的行為或者未知的行為，不論有害還是無害，只要不觸發微點的行為庫，便會被放行。 二、舉例說明 僅僅說理論，可能大家聽不懂也很枯燥，這里就舉個例子說明 假設一個潛逃的殺人犯，我們的三大警察是如何抓住他的 1、殺軟 通過識別×××的相貌、身高、體重等特征，以判斷他不是要找的×××。如果×××喬裝打扮，且易容手法高超，完全改變了原來的外在特征，則殺軟很有可能抓不住他（這就是所謂的加殼、免殺）。如果×××繼續作案，那么殺軟會重新搜集×××的特征，重新辨認（也就是更新病毒庫）。垃圾殺軟會將其當做一個新×××，優秀殺軟卻可以識別×××的基因特征，除非×××改變基因（這就是所謂的脫殼，真正脫殼能力強的沒幾個，蜘蛛可是算是最優秀的，脫殼依賴的是引擎）。 2、HIPS 如果×××就此改過自新，不再犯案，那么HIPS將會就此放過它。如果某一天，×××繼續有了作案的動機，假設他是拿槍去殺人，首先，×××伸手去衣兜里（不管是不是去掏槍），HIPS會提示，是否阻止它？如果你放行，×××會進行下一個動作，把槍拿出來，HIPS繼續報警，是否阻止。如果放行，×××接下來會瞄準目標，HIPS繼續詢問。再放行，×××開槍殺死目標，系統崩潰，HIPS就此下課。 （還有一類特殊的HIPS，就是沙盤，比較有名的就是defensewall，就是它會虛擬一個環境，讓×××在虛擬的環境中殺人，事實上，×××并沒有真正殺死目標，一切都是南柯一夢。×××的所有行為在虛擬環境中完成，不對真是系統構成威脅） 3、微點 如果×××就此改過自新，不再犯案，那么微點也會就此放過它，這和HIPS相同。但接下來的就不同了。×××進行第一個動作，伸手去衣兜里，微點不予理會，因為這一動作本身無害，也許×××不是掏槍，只是掏錢而已。如果接下來，×××掏出的不是兇器，微點無視，如果×××掏出的是槍，微點會在此時報警，這兩個動作加在一起才形成了威脅，只有在這種情況下，微點才會詢問。如果×××掏出的是一種微點從未見過，且不知道否會構成威脅的東西，微點仍然放行，然后目標人物被干掉 三、優劣比較 1、殺軟 他的優缺點很明顯，事前防御和事后補救俱全。事前防御是依靠病毒特征碼，一切他所不知道的病毒或者因為加殼改變了代碼的病毒，均不會被識別。但一旦收集到新的特征碼，殺軟仍可依靠強大的掃描能力進行查殺。 2、HIPS 事前防御滴水不漏，但事事要求用戶決定是否放行，如果用戶基礎只是不足，錯誤放行，那么病毒將會侵入系統，HIPS沒有查殺能力，也許可以繼續攔截病毒的行為，但不能殺滅病毒本身，更不能修復被感染的文件 3、微點 事前防御根據病毒行為庫判定，并不會對所有單一行為報警，只有當連串行為構成危險并觸發其行為庫事，微點才會報警。但如果某程序的連串行為不在微點的行為庫之內，即微點無法識別這種行為是否有害事，系統被會病毒侵入，微點同樣不具備查殺的能力，最多只能攔截病毒的部分行為，而無法殺滅。 四、繼續舉例 假設手動更改 .TXT的文件關聯，使其關聯到寫字板程序 微點不會報警，因為這一單一行為不會對系統造成威脅 而EQ、中網S3等典型的HIPS，如果對這一文件關聯設定了規則，則他們會提示這一修改，詢問你是否放行。如果設定的規則是禁止的，則他們會直接禁止，使你無法改動文件關聯。相對而言，EQ、中網的防御更為嚴密，但對使用者的要求更高，你需要自行判斷某一程序的行為是否有害。 微點同樣有規則，它的規則是以行為庫（由程序的連串行為構成，病毒通常具有類似的連串行為，比如釋放驅動、改寫注冊表、釋放系統文件、自啟動等等，微點便是以這樣的方式來判斷病毒和***的）的形式體現，某個行為，無論是單一還是連串，無論有害還是無害，如果不在微點行為庫的范圍內，則不會被攔截。 五、總結 微點對某些廣告和流氓的攔截不是很好，對IE插件的加載也很少報警，因為這些廣告程序和插件，并不具備明顯的病毒連串行為，這些程序通常只是改寫一下注冊表劫持瀏覽器，甚至不會自啟動。 微點仍是建立在對已知行為的判斷的基礎上，對未知的病毒行為仍然毫無辦法。只不過病毒行為通常是類似的，通過很少的行為庫就能起到很好的防御作用。從這個意義上說，微點仍是被動而不是主動。 而中網和EQ，如果你對系統注冊表關鍵位置進行了一些規則設定（EQ和中網內置的注冊表防護規則非常全面），這些廣告和流氓想劫持瀏覽器就成了不可能的事 殺軟則不是通過程序的行為來判斷，而是通過程序的特征碼 最后一句話： 殺軟通過程序本身的代碼特征來判定是否有害 HIPS通過程序的單一行為來判定是否有害 微點通過程序的連串行為來判定是否有害 另外一個特殊的沙盤，基本不作判定，任由程序在虛擬環境中運行，使其無法破壞系統

轉載于:https://blog.51cto.com/minshao/924609

總結

以上是生活随笔為你收集整理的杀毒软件、HIPS与微点 分析三者区别的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。