标题:
一个所谓“【主动防御】”响当当的名字!
[打印本页]
作者:
御剑临风.
时间:
2009-7-30 18:37
标题:
一个所谓“【主动防御】”响当当的名字!
而真正超越特征码扫描的反病毒技术,我看也就是行为识别了。有道是“条条大路
通罗马”,编写病毒的人,可以通过很多种手段,不同的代码可以达到同样的编写
目的,每一种不同的编写方法,就是一种新病毒!但是他的编写目的无非那么几
种:键盘记 录,远程控制,修改文件数据,注入进程至系统进程,映像劫持等
等,只要了解病毒作者的编写目的,针对病毒的“行为”归类总结,并研究出应对
方法,就能够以 不变应万变。行为识别的优点有:无需扫描,无需升级特征码,
对新病毒的查杀率高,加壳,改特征段等常规免杀手段对于行为识别来说是无效
的。 安全厂商给行为识别技术起了一个响亮的名字“主动防御”。
【主动防御的致命缺陷】
但是行为识别的难度是很大的,国际上还没有统一的标准。既然要识别病毒的“行
为”就需要让病毒运行,如何在病毒造成危害前阻断病毒继续运行也是个大问题,
主动防御显得有些被动。
而且行为识别还有着使用难度大的困扰,常见的行为识别类软件如HIPS,会对软
件的动作进行预警,但是这就造成频繁报警,让用户无法适从,因 为HIPS只告
诉用户程序做了什么,是不是病毒要用户自己判断,而真正熟悉病毒行为的人有
几个?有能力判断程序行为是不是病毒的又有几个?
为了避免频繁报警的问题,HIPS都应用了“规则”,但是规则的定义又很麻烦。定
义严了吧,容易造成错误判断,定义松了呢,又无法保证系统的安全性,所以
说,HIPS在不同的人手中的效果,是天差地别的,甚至有人说HIPS是高手的玩
具。
而墨者,发扬墨家积极防御的思想“守城者以亟伤敌为上。“墨者抓住了危险可疑
程序的要害--权限。
墨者应用先进的权限防护原理,几乎没有误报现象,而且还保证正常程序的运
行。
当然离尽善尽美还有很长的一段路要走,第一是用户体验,很多非病毒木马的
程序也需要系统权限,对于这类软件墨者只能依靠白名单技术来提权,而对于一
些病毒木马,虽然革离术可以阻革在外面,对系统不能造成危害, 被阻隔后的
残废文件仍也需要趋势配合来删除,这也是墨者需要改进的地方
==================================
眼下不少安全厂商都提出了主动防御的概念,都声称自己有主动性,但是主动是
什么呢,按照平常的思维主动防御就是主动杀毒,主动防毒于本机之外,主动保
护系统被篡改等。
但是,现实是主动防御还有漫漫之路要走,而且前途充满着人们怀疑甚至谩骂,
但是本人相信一项新事物的产生必然是在怀疑和不解的氛围中生长的,而又壮大
的。
作者:
zzzp
时间:
2009-7-30 21:42
墨者太烦了,弄个东西就要提权,:cool:
作者:
qq2008444
时间:
2009-7-30 22:54
= =可以把它当广告么?
墨者我只试用过7天之后就卸载了。感觉实际价值实在不大 。
作者:
御剑是我弟弟
时间:
2009-7-31 08:41
生当做人杰,死亦为鬼雄。
弟弟,你想活在别人的传说中,是吗?:cool:
作者:
yeahyeah
时间:
2009-8-3 09:02
主动防御软件就是误报多,瑞星老总也曾这样说过,事实上微点误报也挺多的,你看几乎每天都有微点误报正常文件出现,做好正确报警就ok啦。
作者:
御剑临风.
时间:
2009-8-3 10:50
Quote:
Originally posted by
yeahyeah
at 2009-8-3 09:02:
主动防御软件就是误报多,瑞星老总也曾这样说过,事实上微点误报也挺多的,你看几乎每天都有微点误报正常文件出现,做好正确报警就ok啦。
不过换言之说:微点的误报已经很小了。
比如安装一个正常文件加载驱动微点没什么提示
但是如果别的杀毒软件(号称有主动防御的)那提示多了。。。
驱动正在加载问你允许吗? 呵呵(让我判断了?)
智能性上微点更好点
[
Last edited by 御剑临风. on 2009-8-3 at 10:51
]
作者:
tustin
时间:
2009-8-3 11:23
主动防御的误报是不可避免的,自己稍加判断就可以了
作者:
浅寂1988
时间:
2009-8-3 12:18
规则这个东西~~~
不如加入点网络的判断,看是否连接网络~~~
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
