微点交流论坛 - 主动防御 - 主动防御VS系统虚拟化

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 主动防御VS系统虚拟化

2/2

nasdaq
版主

版主

积分 1140
发帖 1118
注册 2006-4-6

#11

虚拟化对于工业来讲可以提高硬件资源利用率，从而降低成本，这一点应该是最重要的意义。

但是虚拟化对于反病毒来说，我个人感觉局限性太大了。很多人都在说一种所谓的完美病毒分析方案——在杀毒软件里面用虚拟机先把病毒虚拟执行然后根据行为的总体记录来判断是否病毒，这样既保证实体机安全又可以高效查杀。我个人不大能认同这种观念，结构上的缺陷太大，缺乏实用意义，太容易被人绕过。

随便举两个例子：
1.延时发作，虚拟机检测毕竟是有时间限制的，随便一个病毒延时10分钟发作，应该可以轻易躲过所有的虚拟机行为分析吧。
2.改变病毒行为流程，盗号木马运行后先检测是否存在QQ或网游进程，进程存在才去执行盗号行为。虚拟机里面可能模拟有大量的QQ和网游进程么？我不敢说不可能，但是现实是实现的难度几乎不可想象。所以既然没有网游进程，那么盗号木马不做病毒行为，自然就可以轻易躲过所有的虚拟机行为分析吧。

主动防御的一个优点就是完全利用了病毒作者的心理，一个病毒之所以称之为病毒，就意味着这个病毒程序必须要在实体机中实现破坏行为。所以主动防御根本就不用去考虑虚拟机所面临的所谓行为真实性的难题。

※ ※ ※ 本文纯属【nasdaq】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-4-20 17:46

苹果小柚子
注册用户

积分 154
发帖 152
注册 2007-3-15

#12

微点+影子

你可以鄙视现在的病毒了！

※ ※ ※ 本文纯属【苹果小柚子】个人意见，与【微点交流论坛】立场无关※ ※ ※

个人主页：

[URL]http://hi.baidu.com/80age[/URL]

2008-4-24 14:14

micropen
注册用户

积分 61
发帖 61
注册 2007-1-18

#13

Quote:

Originally posted by ballpointpen at 2008-4-17 09:37:
虚拟化可以还原系统，因此能够解除病毒木马对系统的伤害（理想情形下）；但无法防范病毒木马的小偷大盗行为，而且在虚拟还原之后，证据即被[color=Red ...

你可以把安全日志转移到另一个地方,不就安全了吗?

我在一个公司一直用影子+微点,效果不错,大家可以试试.

※ ※ ※ 本文纯属【micropen】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-4-24 17:58

rainsun
新手上路

积分 3
发帖 3
注册 2007-12-9

#14

当虚拟化遇上GHOST,我会选择GHOST,虚拟化毕竞是不能防毒的,在个人电脑上用虚拟化没那个必要.

※ ※ ※ 本文纯属【rainsun】个人意见，与【微点交流论坛】立场无关※ ※ ※

sunpig.cn

2008-4-25 09:25

林克
新手上路

积分 21
发帖 21
注册 2006-7-9

#15

好东西啊~~看看

※ ※ ※ 本文纯属【林克】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-4-25 10:35

zhaojh117
注册用户

积分 55
发帖 55
注册 2007-6-2

#16

虚拟化对硬件的危害有多大啊，还请赐教

※ ※ ※ 本文纯属【zhaojh117】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-4-25 20:24

asdsdl
注册用户

积分 67
发帖 67
注册 2008-4-17

#17

影子系统用这很烦啊，我用过一段时间，更新的时候要关，要重启，
装程序的时候也是，这样，安全性也降低了，因为软件里面可能会捆绑些东西，所以个人认为主动防御好点，而且就向楼上说的，对木马没防御，盗号一样盗，还销毁信息。。。。
恐怖

※ ※ ※ 本文纯属【asdsdl】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-4-26 00:35

2/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号