微点交流论坛 - 主动防御 - 白加黑病毒的主动防御技术建议

微点交流论坛 » 主动防御 » 白加黑病毒的主动防御技术建议

bjhzdfy
新手上路

积分 2
发帖 2
注册 2014-4-7

#1 白加黑病毒的主动防御技术建议

建议参考费尔的主动防御科普，简洁明了，卡饭论坛有费尔的详细主防科普资料
费尔智能黑盒类似于飞机的黑匣子，它会对电脑中的每个程序单位行为进行精准而细致的记录，它不仅可以追踪程序的文件、注册表访问，还包括线程、内存，对象的操作等等。而且它的最小追踪单位可以精确到 CPU 的执行片断，以及事件的每一个参与者。比如：一个系统服务线程在这个时间段为正常程序 A 服务，而下一个时间段被病毒 B 嫁接并为其服务，此时发生的破坏行为仍然会被准确定位到 B 而不波及整个服务线程。再如：当发生一个删除文件的事件，此时被追踪的不仅仅是删除此文件的进程，还包括参与此次行动的所有模块以及内存，甚至包括父进程、父线程都会被一并追踪。正是这一全新的追踪架构可以准确定位目前让主防头痛的白加黑木马。另外，虚拟黑盒具备持久记忆功能，不会随电脑的重启而归零，即使重启电脑目标程序曾经发生的行为仍然会被持续的记录在案，这样当遇到一种把自己的行为故意打散、分时段来组合完成的潜伏威胁时仍可以准确侦测，从而有能力处理多步式或延时发作的后门、木马，并对其进行彻底的清除和回滚。
确实主要是动态防御技术的功劳。其实白+黑并不是它的破坏行为多隐蔽其他主防查不到，而是因为一般主防查到它有危害时只追踪到它是来源于主exe不再细分，exe有合法数字签名，一般杀软为避免误报只能放弃报警。而白+黑正是利用这一点来逃脱被查杀。费尔独特的地方是它在发现危害动作时可以定位到危害真正来源自于黑dll而不是白exe，化解欺骗从而只报警黑dll。是这种全新的主防追踪机制和架构起到了最关键的作用。
科普杀白加黑的只有2家，费尔是比较通俗易懂的

※ ※ ※ 本文纯属【bjhzdfy】个人意见，与【微点交流论坛】立场无关※ ※ ※

2014-4-7 22:08

hfsdwangyan
新手上路

积分 1
发帖 1
注册 2011-7-15

#2

虽然不懂但是觉得这样的话一旦系统有问题打包上报的时候也有利于工程师分析，赞一个

※ ※ ※ 本文纯属【hfsdwangyan】个人意见，与【微点交流论坛】立场无关※ ※ ※

2014-4-9 09:08

caesarl
新手上路

积分 1
发帖 1
注册 2014-5-13

#3

支持win8！！下一个试试！谢谢提供这信息了~微点，你真是逼走我了啊

※ ※ ※ 本文纯属【caesarl】个人意见，与【微点交流论坛】立场无关※ ※ ※

2014-5-13 16:20

xiaolong41555
新手上路

积分 5
发帖 5
注册 2011-11-4

#4 这个是个问题。

360也无法彻底解决这个问题，云端白名单太多，双刃剑。费尔吧，费尔感觉跟属于专业人士用，弹框太多，误报也略多。金山反而对付白加黑有一套。微点150版本也进行了加强。

※ ※ ※ 本文纯属【xiaolong41555】个人意见，与【微点交流论坛】立场无关※ ※ ※

2014-5-27 15:55

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号