标题:
主动防御误杀不可避免!!!!!
[打印本页]
作者:
天笑
时间:
2007-8-19 22:09
标题:
主动防御误杀不可避免!!!!!
接触微点是在去年,但到论坛来得少,发贴就更少了(几乎没有:P)。但是对网络安全,像杀毒软件防火墙等还算比较熟悉,用过的杀软和防火墙也挺多的。
大概从去年开始不少杀毒软件开始引入主动防御也就是行为判断法,关于主动防御行为判断法的原理概念也不需要我来作什么解释了,论坛里已经有不少高手谈到过。只想对大家说说关于误杀的问题。
既然是主动防御行为判断那么误杀就是不可避免的,原因就在于现在有不少正常软件本身有些行为特征跟病毒木马行为极为相似,如嵌入进程,后台截屏发信息等。而基于行为判断法的杀软对此类行为进行警告报杀等就再正常不过了。减少误报的方法就是细化行为判断规则,规则过于简单、细化不够其误杀率就相对要高一些。大家普遍反映卡巴斯基的误杀率高就有这方面的问题,因为卡巴斯基的行为判断过于简单,像金山词霸以及目前正在公测的网游壮志凌云等有类似嵌入进程的行为卡巴斯基就会误报,因为这些行为本身也是很多病毒木马常见的行为。
一款好的主动防御软件在对行为规则判断上一定要细化,综合考虑。如上面的进程嵌入也有很多正常软件会有,而如果仅仅以此就判定其为病毒或木马的话则太过。但是如果一个程序除了有进程嵌入的行为外同时还有后台发送信息,自动运行,自我复制的话那么十有八九就有问题了,所以对于程序运行行为规则上要充分细化,做到智能判断,准确判断。有些行为不一定是病毒木马行为(仍然以嵌入进程作例吧,因为这个出现的概率较大:D),那么我们就要对其进一步分析并加以判定;有些行为一条就足以断定其为病毒或木马,如大量的自我复制,感染改变系统EXE文件等。所以真正能将主动防御做好,做到不漏报少误报确实不易。
除主动防御外另外一项杀毒技术个人认为也相当不错,那就是虚拟机技术。虚拟机技术简而言之就是虚拟一个类WINDOWS的环境,让病毒自动运行,然后将其杀之,但由于病毒所运行的环境是杀毒软件虚拟出来的并非我们真正使用的系统也就不存在中毒的问题了,这一点对于加壳的病毒较为有效。
如果一款杀软能将主动防御,虚拟机技术,特征码扫描技术整合在一起那就牛了:D,像有些病毒或木马在电脑里即便不运行(这时主动防御就不会去查杀它了),但用户心理可能老觉得不爽,非得把它清掉才放心就需要用到特征码扫描和虚拟机技术了:P。但是真正能做到三者并重,而且每一项技术都真正做好确实不易(应该是相当不易非常的不易,哈哈)。
以上仅仅是写给新人们参考之用,另外顺便聊了下虚拟机技术等,在微点技术人员面前实在是有点班门弄斧:P,最后还是希望微点越做越好,为祖国的网络安全撑起一片纯净的天空!!!
软件业急功近利的实在不少,网络安全这一块更是如此,不少厂商由于急于发布新产品,将一些不成熟的问题软件放出来,实在是为祸不浅,在这方面希望微点能够继续稳打稳扎。慢工出精品,软件做好了,即便晚一点放出来总比那些早出来却满是BUG的软件要好得多。。。
[
Last edited by 天笑 on 2007-8-19 at 22:46
]
作者:
zayss
时间:
2007-8-20 08:14
楼主写的不错啊,金玉良言啊
作者:
qq2008444
时间:
2007-8-20 08:38
行为分析误报的情况是不可避免的
关键是如何要让行为分析判断出哪个是非法进程哪个是合法进程
用"主动防御不可完成的任务"里llcracker大哥举的例子:
"这些木马进程通过修改扩展名关联的方式来启动自己,比如像.lnk会启动一个叫rundll32.com和一个叫1.exe的木马进程,而启动ie时会启动一个叫iexplorer.com及资源管理器explorer.com与regedit.com这是通过可执行文件扩展名优先顺序来启动的,还有就是一个叫winlogon.exe跟windows的及像,另外一个我记不清楚叫什么名字了,好像开头的是exr...什么的一个可执行文件。大致情况就是这样,微点的确清除掉这几个木马进程及文件。但是唯独有一个进程微点无法清除,就是iexplorer.com,虽然能发现但无法杀掉进程及对应的程序文件。很奇怪!过不了多久系统会蓝屏,根据蓝屏信息会发现是一个叫aood.sys(应该叫这名) Driver引发的蓝屏。这个Driver从来没有见过,到系统Drivers目录下去找,没有这个Driver。于是蓝屏重启后,我尝试不运行ie,将微点先进行uninstall。然后再次重启,运行FileMon,再运行ie。哇噻!发现iexplorer.com一运行后,会动态生成一个 aood.sys,进行加载,完毕后再删除aood.sys driver文件名,并且它还应该清除掉了注册表中Services对应的键值,做到神不知鬼不觉。亏这些制造者也想得出来!最后,我进入到98系统中将这些木马程序手工删除掉。再次进入xp后,装入微点确定是否还有其它的木马进程。由于手工删除后,微点也没有再报了。但是我重新运行 BitComet0.63和Stock(一款股票分析软件)报出类似可疑程序的信息。我将其加入到可信任列表中,但是还有一个信息我不敢说是误报,一个由 rundll32.exe加载的dll,说是要访问远程端口,因为rundll32.exe是MS自己的,其以前机子上有,微点报出是否允许访问。由于这个rundll32.exe加载的dll我也不是很清楚是否为病毒或者其它的恶意程序,为了安全就禁止访问。"
传统是用HIPS技术进行记录,逮谁报谁看你同不同意放行.这种方法安全,但是对于没有一定知识的菜鸟来说就太麻烦了,容易误判
对于行为分析如何判定iexplorer.com是非法进程呢?因为他做的也是合法的.释放AOOD.SYS,然后LOAD
AOOD.SYS,这个本身也是合法的.因为没有一个合适的标准说明:什么程序行为是合法什么是不合法,开发者只能按照"经验",自然误报就会产生
作者:
神秘人
时间:
2007-8-20 08:42
主动防御要有微软的技术支持就好了,最好有一个标准就更好了。
作者:
zj163168
时间:
2007-8-20 09:22
微软,是微点的一个竞争对手更有可能~~``
微软已经出产杀毒软件,只是现在没有在中国登陆
作者:
qq2008444
时间:
2007-8-20 09:24
Quote:
Originally posted by
zj163168
at 2007-8-20 09:22:
微软,是微点的一个竞争对手更有可能~~``
微软已经出产杀毒软件,只是现在没有在中国登陆
微软最喜欢的不就是集大成吗?
作者:
zj163168
时间:
2007-8-20 10:01
微软CEO很牛逼的说,
哪里都在投资,
不过人家的核心业务,操作系统依旧出色~~`
不像偶们中国的,也是什么都搞,最后把核心业务都做砸了~
作者:
sidineyqiao
时间:
2007-8-20 13:45
Quote:
Originally posted by
天笑
at 2007-8-19 22:09:
接触微点是在去年,但到论坛来得少,发贴就更少了(几乎没有:P)。但是对网络安全,像杀毒软件防火墙等还算比较熟悉,用过的杀软和防火墙也挺多的。
大概从去年开始不少杀毒软件开始引入主动防御也就是行为判断 ...
支持。。
看来楼主对微点了解到不错哦。
作者:
我不是菜鸟
时间:
2007-8-20 20:40
是吗
作者:
落拓不羁
时间:
2008-2-9 17:44
不知道哦这种
作者:
qq2008444
时间:
2008-2-9 20:57
至于LZ言论中的“虚拟机”,也不是很靠得住的。虚拟技术作为一项非常有发展前途的技术,它的影响力不只限于业务连续性和灾难恢复领域,实际上它对各种应用程序都带来了极大的冲击。虚拟技术具有封装性、整合性、独立于硬件平台等特性。这种封装性作用于整个计算环境,包括操作系统、BIOS、应用程序、数据和虚拟化的硬件。它的上述特性使灾难恢复解决方案的可管理性和灵活性更强,也更节省开支。所以我认为虚拟机技术和行为判断分析技术联合是很有安全性能的
但是虚拟技术目前虚拟模式和现实本机模式相比依旧有一定差距,如果病毒发现这个差距而推迟运行,大家都明白杀软不会在同一个文件上耗很多时间,如果在一定时间里没有病毒行为,那么就会判断这个病毒并非病毒。。呵呵。。乱了套。。但是我依旧看好虚拟技术。。。虚拟技术的发展十分快速,迟早会克服这等不足
作者:
8383745687
时间:
2008-2-12 15:41
恩,同意楼主说的
作者:
palmerlee
时间:
2008-6-20 10:28
误报不要紧,只要服务好!
杀毒软件自己拿不准的就拦截下来给用户处理,这是必须的。用户不知道怎么处理就上报。买东西不仅买的是商品本身,同时买的还是他的服务。
有一次我装一款ie插件微点报是木马,我就用邮箱上报,很容易的。结果八分钟就给我回邮件了,问题解决了!这服务!我用的还是试用版,根本就不没花过钱!
相比之下不知道某些收费的杀软的服务怎么样。
作者:
nasdaq
时间:
2008-6-21 14:38
甚好,加分
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
