微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 一个所谓“【主动防御】”响当当的名字!  

作者:
标题: 一个所谓“【主动防御】”响当当的名字!
御剑临风.
禁止访问





积分 625
发帖 659
注册 2009-4-10
#1  一个所谓“【主动防御】”响当当的名字!

而真正超越特征码扫描的反病毒技术,我看也就是行为识别了。有道是“条条大路

通罗马”,编写病毒的人,可以通过很多种手段,不同的代码可以达到同样的编写

目的,每一种不同的编写方法,就是一种新病毒!但是他的编写目的无非那么几

种:键盘记 录,远程控制,修改文件数据,注入进程至系统进程,映像劫持等

等,只要了解病毒作者的编写目的,针对病毒的“行为”归类总结,并研究出应对

方法,就能够以 不变应万变。行为识别的优点有:无需扫描,无需升级特征码,

对新病毒的查杀率高,加壳,改特征段等常规免杀手段对于行为识别来说是无效

的。 安全厂商给行为识别技术起了一个响亮的名字“主动防御”。



【主动防御的致命缺陷】


但是行为识别的难度是很大的,国际上还没有统一的标准。既然要识别病毒的“行

为”就需要让病毒运行,如何在病毒造成危害前阻断病毒继续运行也是个大问题,

主动防御显得有些被动。

而且行为识别还有着使用难度大的困扰,常见的行为识别类软件如HIPS,会对软

件的动作进行预警,但是这就造成频繁报警,让用户无法适从,因 为HIPS只告

诉用户程序做了什么,是不是病毒要用户自己判断,而真正熟悉病毒行为的人有

几个?有能力判断程序行为是不是病毒的又有几个?  

为了避免频繁报警的问题,HIPS都应用了“规则”,但是规则的定义又很麻烦。定

义严了吧,容易造成错误判断,定义松了呢,又无法保证系统的安全性,所以

说,HIPS在不同的人手中的效果,是天差地别的,甚至有人说HIPS是高手的玩

具。
  
而墨者,发扬墨家积极防御的思想“守城者以亟伤敌为上。“墨者抓住了危险可疑

程序的要害--权限。

墨者应用先进的权限防护原理,几乎没有误报现象,而且还保证正常程序的运

行。

 当然离尽善尽美还有很长的一段路要走,第一是用户体验,很多非病毒木马的

程序也需要系统权限,对于这类软件墨者只能依靠白名单技术来提权,而对于一

些病毒木马,虽然革离术可以阻革在外面,对系统不能造成危害,    被阻隔后的

残废文件仍也需要趋势配合来删除,这也是墨者需要改进的地方


==================================

眼下不少安全厂商都提出了主动防御的概念,都声称自己有主动性,但是主动是

什么呢,按照平常的思维主动防御就是主动杀毒,主动防毒于本机之外,主动保

护系统被篡改等。

但是,现实是主动防御还有漫漫之路要走,而且前途充满着人们怀疑甚至谩骂,

但是本人相信一项新事物的产生必然是在怀疑和不解的氛围中生长的,而又壮大

的。

※ ※ ※ 本文纯属【御剑临风.】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-30 18:37
查看资料  发送邮件  发短消息   编辑帖子
zzzp
新手上路





积分 40
发帖 40
注册 2007-11-25
#2  

墨者太烦了,弄个东西就要提权,

※ ※ ※ 本文纯属【zzzp】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-30 21:42
查看资料  发送邮件  发短消息   编辑帖子
qq2008444
银牌会员

职业潜水艇


积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
#3  

= =可以把它当广告么?
墨者我只试用过7天之后就卸载了。感觉实际价值实在不大 。

※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟……
2009-7-30 22:54
查看资料  发送邮件  发短消息   编辑帖子
御剑是我弟弟
新手上路





积分 24
发帖 24
注册 2009-4-9
#4  

生当做人杰,死亦为鬼雄。

弟弟,你想活在别人的传说中,是吗?

※ ※ ※ 本文纯属【御剑是我弟弟】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-31 08:41
查看资料  发送邮件  发短消息   编辑帖子
yeahyeah
银牌会员

微点灌水区水师提督(退休)


积分 1520
发帖 1512
注册 2009-6-13
来自 浩瀚的宇宙
#5  

主动防御软件就是误报多,瑞星老总也曾这样说过,事实上微点误报也挺多的,你看几乎每天都有微点误报正常文件出现,做好正确报警就ok啦。

※ ※ ※ 本文纯属【yeahyeah】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-3 09:02
查看资料  发送邮件  发短消息   编辑帖子
御剑临风.
禁止访问





积分 625
发帖 659
注册 2009-4-10
#6  



  Quote:
Originally posted by yeahyeah at 2009-8-3 09:02:
主动防御软件就是误报多,瑞星老总也曾这样说过,事实上微点误报也挺多的,你看几乎每天都有微点误报正常文件出现,做好正确报警就ok啦。

不过换言之说:微点的误报已经很小了。

比如安装一个正常文件加载驱动微点没什么提示

但是如果别的杀毒软件(号称有主动防御的)那提示多了。。。

驱动正在加载问你允许吗? 呵呵(让我判断了?)

智能性上微点更好点

[ Last edited by 御剑临风. on 2009-8-3 at 10:51 ]

※ ※ ※ 本文纯属【御剑临风.】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-3 10:50
查看资料  发送邮件  发短消息   编辑帖子
tustin
版主




积分 5092
发帖 5067
注册 2007-3-10
来自 重庆
#7  

主动防御的误报是不可避免的,自己稍加判断就可以了

※ ※ ※ 本文纯属【tustin】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

Micropoint微點——克服滯后殺毒缺陷 開創主動防御時代
2009-8-3 11:23
查看资料  发送邮件  发短消息   编辑帖子
浅寂1988
新手上路





积分 1
发帖 1
注册 2009-8-3
#8  

规则这个东西~~~
不如加入点网络的判断,看是否连接网络~~~

※ ※ ※ 本文纯属【浅寂1988】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-3 12:18
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号