标题: 一个延伸规则库的想法 [打印本页]

---

作者: dsl5     时间: 2008-3-1 15:13    标题: 一个延伸规则库的想法

主动防御是以规律性进行防御，但是我们不要忘了规律性是在随机性的基础上总结出来的，规则是死的，人是活的，主动防御不是最终的解决办法，随着斗法升级，依靠规则库的主动防御难免陷入和特征库一样的尴尬境地。。。。

本帖主要是想听听大家的建议，如何能更加有效地走在木马前头？

其实有个想法不过不知道是否可行，假设一个恶意程序有6个动作：A、B、C、D、E、F，这6个动作微点都可以有效跟踪记录，根据其中的B、C、D微点将其拦截删除了，那么B、C、D就是一串规则，作者如果探到这条规则，那么他就会修改，去掉B或C或D，又或者使用其他手法打乱或绕过，这个时候绕过主动防御就变为可行！

但是如果加入规则库自动延伸功能呢？这个其实是特征库的自动提取给的启示，不过假如规则库自动延伸变为现实将无比强大！A、B、C、D、E、F根据其中的B、C、D拦截删除后，提取A、B、C或C、D、E或B、C、F或A、E、F等等，甚至如果想精细防止误报可以全提取A、B、C、D、E、F作为一条新的延伸规则，那么就算作者探到原来的规则，他想绕过也就难了很多。当然这样就不排除出现一些用户可以拦截一些用户不能的情况。

下面的朋友欢迎继续。。。。

---

作者: hellen     时间: 2008-3-1 15:36
有道理，不过我不太懂微点的规则原理！

---

作者: 046569     时间: 2008-3-5 23:28
楼主的想法不错。不过恐怕会出现大量误报，这就是主动防御的尴尬之处。
假设一个木马通过如下方式传播，释放驱动文件（a），加载驱动（b），调用IE下载木马（c），运行木马（d）四个步骤，微点根据这四个步骤判断，假设牧马者发现了这一规则，于是修改C动作。比如调用TFTP下载。这时按照楼主的想法进行规则拓展，行为判断规则就成了a、b和d（这里D为运行一个文件）。很多安全工具都有这样的动作，于是误报出现。
据我猜测，微点的报警还和父子进程有关，这个需要进一步的测试才能确定。
看了这么久论坛的帖子，终于有人愿意动脑子质疑了，很好。

---

作者: kihong     时间: 2008-3-9 17:12
其实微点应该是将重点锁在病毒发作上，这样不管病毒作者怎样伪装，除非他不让病毒发作，否则微点还是可以拦截到的。

---

作者: 046569     时间: 2008-3-10 19:21

Quote:

Originally posted by kihong at 2008-3-9 17:12: 其实微点应该是将重点锁在病毒发作上，这样不管病毒作者怎样伪装，除非他不让病毒发作，否则微点还是可以拦截到的。

微点只是一个软件，它不具有像人一样的高智商。楼上的想法虽好，但是根本无法实现。我们现在只能尽可能的增加它的识别率，不过这随之而来的是安装包开始变得臃肿。

---

作者: tomjohnjoan     时间: 2008-3-11 09:10
在这个网络世界，安全软件要面对的敌人实在太多了！

---

作者: mysh     时间: 2008-3-12 13:14

Quote:

Originally posted by 046569 at 2008-3-10 19:21: 微点只是一个软件，它不具有像人一样的高智商。楼上的想法虽好，但是根本无法实现。我们现在只能尽可能的增加它的识别率，不过这随之而来的是安装包开始变得臃肿。

至少几年内不会像特征值识别软件一样臃肿。

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn