Alpha_Boy
中级用户
积分 235
发帖 225
注册 2008-5-17
|
#1 转载及建议:微点最好也搞个自动搜集用户所“选择”的处理方式并加以反馈的功能
——用户选择百分比反馈值(或者叫做“社区建议”系统)
在转载后面的正文之前,我先说一下,后面所附的那个被戏称为“马马屠”的智能化HIPS的一大优点:
它能搜集“先行”的第一批用户在面对一个可疑文件时所做出的选择,并把它记录在服务器中的一个百分比列表内(他们官方管这个功能叫做“社区建议”)。
比如5%的用户选择放行、30%的用户选择拒绝、65%的用户没有反馈任何信息(它们没有运行过该可疑程序)。
这样,当“后来”的其它用户在运行同一个可疑文件时,就可以通过“马马屠”去调用那个百分比列表,从而帮助自己作出决定。
这个功能有什么作用呢?就是帮助用户在运行一些“小众非标准软件”时,不用去依赖“马马屠”的技术人员去搞人工分析,
而只要去参考一下其它用户做出的选择,就能立刻排除“嫌疑”,马上就能用上那个他们想要用的小众程序了。
比如说,我这里有个名为“OCX_REG.exe”的小程序,先运行它,往系统中添加一些类似VB的运行库组件,之后我才能往我的巴比伦词典上打上一个第三方出的真人语音库发声补丁。
但是“OCX_REG.exe”在运行时会在系统盘中删除及创建一些文件,这就会被微点报“可疑”了。
我上报给微点,等两天,微点的工程师才能反馈说该文件是“非病毒”程序。
然后我再去运行“OCX_REG.exe”,结果微点还是报可疑——可见,对于一些“小众非标准软件”,
微点是不可能单独为它们进行规则上的“细化”,或者创建单独的放行规则,或者把它们添加到白名单误报特征库中去的。
可是,互联网长尾效应确实存在,一个“小众非标准软件”(各种汉化补丁、不涉及版权问题的单机游戏修改器、虚拟光驱程序、甚至干脆就是注册机、破解补丁等等),
可能也会有成千上万人会去使用,如果哪天有第二个、第三个用户去运行那个“OCX_Reg.exe”呢?
他再去上报一次吗?那不就给微点的工程师造成了额外的重复劳动。
他去选择阻止?那么他可能就错过了一个有用的小工具。
如果他直接选择放行,那么就是在用他自己的机器做赌博了(没有影子系统的话,这么玩是很危险的)。
此时,这种用户选择百分比列表,不就派上用场了吗?
它可以做为“误报库”的补充技术而为用户带来更快的信息反馈,更多的便利。
[在360里,与我说的这个功能类似的一个模块好像叫“恶评插件”卸载,他们搜集的都是各种用户的“恶评”,因此可算是一种病毒库的补充了。
嗯,不过该功能的建立有两大前提:更大的服务器管理成本,以及更大的用户基数……]
------
转载:原帖好像来自卡饭——智能HIPS软件:MAMUTU v1.7(告别繁琐设置)
[特别说明:马马屠是收费软件,未付费前只能用一个月,听说可以通过反复注册来一直使用下去。
它的汉化补丁可以去以下页面下载(仅限深度论坛的注册会员):
http://soft.deepin.org/read.php?tid=713787
卡饭论坛也许也能下载到它的汉化补丁,不过我没去搜过,大家自己找吧。]
智能HIPS软件:MAMUTU v1.7 告别繁琐设置
EMISISOFT出品了最新的行为拦截软件公测版,名称MAMUTU。
MAMUTU是基于A-SQUARED ANTI-MALWARE技术的MALWARE-IDS(恶意软件入侵检测系统)。但是增加了很多新的特别的适用于行为拦截的扩展和附加功能。
MAMUTU能够辨别并报警以下各种行为:
后门相关行为
间谍相关行为
劫持相关行为
蠕虫相关行为
拨号者相关行为
键盘记录相关行为
木马下载者相关行为
代码注入其它程序行为
程序控制行为
隐藏安装软件行为
不可见ROOTKIT进程
安装服务和驱动
创建自启动项
操纵HOST文件
修改浏览器设定
在系统中安装调试器
MAMUTU不含有任何用于检测的病毒码。它能够取代任何基于病毒码的反病毒方案。因此你将一直得到完美的对抗“0day”的保护。
Mamutu确实是较好的智能HIPS(即使没有开智能分析选项)它的安全系数较高。其他HIPS会报一些FD,RD之类的,需要一定的系统知识才能看懂,菜鸟们并不易理解。而Mamutu直接指出了行为的目的,一看就懂,一用就会,其人性化程度很高。
个人非常喜欢这样的做法
其实,未出现用户界面就向系统目录写exe,dll,sys等,偷偷安装驱动,都是典型的病毒行为。正常安装文件没有这样的行为。希望其他HIPS也能加上类似简单的行为分析,这样不影响安全性或增加误报。
另外MAMUTU的询问框中有社区建议模块 对于某种被拦截的行为 能够给出一些选择的建议 并且还会直观的提供别的使用MAMUTU的网友在遇到这种拦截动作时 选择允许和阻止的百分比 十分直观 方便用户判断和选择
MAMUTU的社区建议系统总的来说对用户的参考价值还是很大的,是对用户判断操作很好的引导补充,可惜的是由于MAMUTU在国内没有用户,所以这个社区建议对国内软件(排除在国际上比较知名的)没有进行任何数据收集,另外可能是因为开发没有多长时间,对国外病毒的数据还没有收集完善,所以遇到病毒基本都是没有建议。
社区建议系统已经有一些安软在做,是个不错的思路,虽然不能保证绝对正确,但是能给普通用户有价值的参考,希望能够越来越好。
Mamutu 1.7(官方下载):http://download3.emsisoft.com/MamutuSetup.exe
[ Last edited by Alpha_Boy on 2008-7-26 at 10:49 ]
| |
※ ※ ※ 本文纯属【Alpha_Boy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
