专业路过
中级用户
积分 375
发帖 373
注册 2009-2-15
|
#11
真是悲哀........
虚拟机是模拟执行程序的,所有代码操作的不过是一块内存,模拟过程中根本不会对计算机进行实际IO,病毒不可能通过虚拟机组件提权,对真实系统无任何影响,但是分析速度太慢.总体效率极低
沙盒是真实执行,识别一定得风险因素拒绝执行并返回执行成功或者将对计算机造成的风险因素销毁或还原,条件模拟难度大,受系统局限性大,存在真实IO,分析速度较快.总体效率低.病毒有很大几率欺骗沙盒系统获取计算机控制权,对真实系统危险度较大,天底下你想不到的构思多了,不要认为自己是天才.
行为分析同样是真实执行,识别一定风险因素并让其继续执行后台记录行为,直到行为累加出发阀值报警,回滚所记录的风险因素,完全真实IO,不存在分析速度问题,不存在条件模拟问题,总体效率高,对真实系统风险度最大,被过等同于沙箱被穿结果
至于MD5与数字签名的区别,懒得打字了,楼上去弄明白RSA,SHA,DES,MD5这些算法的概念再来讨论不迟
[ Last edited by 专业路过 on 2011-6-14 at 00:16 ]
| |
※ ※ ※ 本文纯属【专业路过】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
偶木有文化,不要嘲笑偶哦。 |
|
|
2011-6-13 23:29 |
|
mumaniu
高级用户
积分 664
发帖 658
注册 2008-12-6
|
#12
扫描以小红伞卡巴斯基诺顿等为代表,技术已经特别好了,在AV测试中检出率60%左右。这让用户怎么放心?花钱买个不放心的软件?如果虚拟机不行沙盒不行这个不行那个不行,不如用主动防御扫描引擎实机测试病毒包,测试完毕有绝对把握最好,如果没有绝对把握,附加系统还原把电脑操作系统还原到测试病毒包以前的状态。卡巴斯基加入了虚拟系统沙盒浏览器,微点加入点新技术也是应该的
| |
※ ※ ※ 本文纯属【mumaniu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2011-6-14 09:09 |
|
879428722
注册用户
积分 93
发帖 93
注册 2010-10-14
|
#13
你用过虚拟机么? 所有操作可不是仅执行在内存中. 如果虚拟机中毒感染U盘. 那么.明白了吧.
-----------------------------------------------------------------------
请你仔细看我前面说的. 我已经把虚拟机/蜜罐/沙箱分开了. 只是考虑到资源所以只说了个沙箱.
------------------------
行为分析的特点我不知道. 但是根据你说的. 如果加入权限分配会怎样?
-------------------------------------------------------------------------
md5和数字签名的区别我知道. md5是文件独有的身份证号. 数字签名是颁发给项目组的证明. sha和md*是签名的根证书算法. rsa和des不知道.
-----------------------------------------------------------------------------------
反病毒做得再好不如自己会用几项工具. 启动/驱动/加载的dll/签名/删除/虚拟机for沙箱/一个云端扫描器/脱壳虚拟机.
会用这些比用什么反病毒强多了.
| |
※ ※ ※ 本文纯属【879428722】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2011-6-14 18:41 |
|
专业路过
中级用户
积分 375
发帖 373
注册 2009-2-15
|
#14
| Quote: | Originally posted by 879428722 at 2011-6-14 18:41:
你用过虚拟机么? 所有操作可不是仅执行在内存中. 如果虚拟机中毒感染U盘. 那么.明白了吧.
-----------------------------------------------------------------------
请你仔细看我前面说的. 我已经把虚拟 ... |
|
果然是高手~~!
不过虚拟机是分两种的,你说的是硬件虚拟机,他负责模拟hardware object,将虚拟机内操作系统的请求转向这个模拟出来的object,实现不与真实计算机设备I/O,就像wmware/vpc这样;另一种虚拟机是软件虚拟机,通俗一点就是指令虚拟机,由dos时期一直沿用到现在,这种虚拟机出于安全考虑是不能够执行特权指令的,所以可以很安全的运用在反病毒软件的仿真器中,你要说那种技术最好,我想没有最好的,能够把这几种方式全部运用别且控制的到位得当,那样效率和速度才是一流的,但是单单扫描中仅仅就是一个静态的过程,即使会运用到一些动态的方式,那也必须通过模拟使之在真实计算机上保持静态,不然就很可能发生意想不到的不安全因素,这些是对于一个安全爱好者必须清楚的东西
| |
※ ※ ※ 本文纯属【专业路过】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
偶木有文化,不要嘲笑偶哦。 |
|
|
|
2011-6-14 20:38 |
|
|
