标题:
卡巴斯基的主动防御
[打印本页]
作者:
chinadyj
时间:
2009-8-20 19:20
标题:
卡巴斯基的主动防御
下面是卡巴斯基的主动防御,很详细,微点都没有这么详细的描述.而且看上去,卡巴的主动防御在理论上也很好,为什么微点的主动防御会比别人的好呢??微点的动态仿真又是什么东西来的
卡巴斯基反病毒软件防御已知威胁和应用数据库中没有的新威胁。通过专门的开发组件保证 - 主动防御。
主动防御的需要随着恶意程序传播速度以超过反病毒更新发布的速度的增长而增长。反病毒防御基于的响应技术需要新威胁至少感染一台计算机而且还需要时间分析恶意代码,将其增加到应用数据库中,并更新用户计算机的数据库。此时,新威胁已经造成重大损失。
卡巴斯基反病毒主动防御提供了预防技术能够在损害计算机前避免时间的损失并控制新威胁,这是如何做到的?比较响应技术,分析应用程序数据库纪录的代码, 防御技术根据某些程序执行的操作序列识别计算机上的新威胁。该程序包括确定程序行为危险的标准集合。如果对操作序列进行分析使程序可疑,卡巴斯基反病毒软件采取该行为类型指派的规则的操作。
根据程序操作总集合确定危险行为。例如,当检测到的操作,如:拷贝到网络资源程序, 开始文件夹或系统注册表,发送拷贝,该程序有相当高的可能是蠕虫。危险行为包括:
对文件系统的改变
其他进程中嵌入模块
系统中的掩码处理
微软Windows系统注册表键的改变。
主动防御追踪和阻止所有危险操作。
操作期间,主动防御使用包括规则的集合,还有用户定义规则。 规则是定义可疑行为范围的标准集合和卡巴斯基反病毒软件如何响应。
为应用程序行为提供的规则,监控对系统注册表和在计算机上运行的程序的修改。能够根据判断编辑规则,可增加、删除或编辑等。规则阻止操作或授权。
检查主动防御算法:
计算机启动之后,主动防御分析如下因素:
运行在计算机上每个应用程序的操作。主动防御按顺序纪录操作历史,与后来的危险行为进行比较 (危险行为类型的数据库来自卡巴斯基反病毒软件,根据应用程序数据库更新)。
安装在计算机上的程序的程序模块的完整性, 可以帮助应用程序模块不会被嵌入的恶意代码替换。
编辑系统注册表的尝试 (删除或增加系统注册表键,以不会接受或阻止查看和编辑的格式输入键值).
基于主动防御的允许和阻止规则的分析
分析后,有如下的操作过程:
如果行为满足主动防御允许规则的条件或不满足阻止规则,就不阻止。
如果阻止规则满足行为,组件下一步采取的满足规则中指定的指令。这样的行为是阻止,屏幕上显示指定应用程序、行为类型和操作历史的消息。必须接受决定、阻止或允许。能够建立该行为的规则,取消系统中的操作。
主动防御判断
本部分包括了主动防御判断。注意:不是所有判断都视作威胁。其中一些操作是计算机运行程序的正常的行为或操作系统对程序操作的响应。可是,在某些情况下,黑客行为或恶意程序调用某些操作。
高危险等级的判断在文本中突出的以红色标示。那些不总是指示威胁的判断都以黑色标示。
栈溢出
栈溢出是当今一种获得未经授权访问系统的常见技术。
其理念如下。程序经常需要RAM中的栈结构,保存或提取其中的数值。当程序调用过程或子函数,向栈中返回地址,使过程知道完成后返回控制。栈溢出是所发送的数据大小大于栈空间,在栈分配的从过程正确返回的部分纪录这些多余的数据。这样,溢出改变了程序执行的正常过程,进一步的代替正确执行的返回,因为栈溢出跳转到命令中重新写入的地址。
导致栈溢出,黑客使用包含处理器执行的机器指令的程序。因为处理器跳转到指令在指定的栈溢出的地址。
在正常模式下使用标准程序,栈溢出的可能性是极低的。当检测到栈溢出,可能意味着该弱点被恶意程序利用。
数据执行
该技术是利用计算机中安装的软件中的错误,所使用的错误是用恶意对象提供的数据代替正确数据,导致数据不正确的处理。
使用数据执行攻击的最常见的对象是浏览器,在查看网页、图像和多媒体,浏览器不会执行必要的扫描,网页中对象的执行的恶意代码能够得到控制。
微软使用DEP(数据执行防御)防御微软Windows中的可执行的代码。对微软Windows XP和微软Windows Server 2003的更新中包括该解决方案。
隐藏安装
隐藏安装是安装恶意程序和运行可执行文件的进程,但没有通知用户。使用标准工具能够检测隐藏安装进程,例如:微软Windows任务管理器,但因为在安装恶意程序时屏幕上没有标准的安装窗口,用户想追踪在系统中运行的进程是不可能的。
隐藏对象
隐藏对象是标准工具(微软Windows任务管理器、进程浏览器等)不能检测的进程。rootkit换句话说,用于取得根用户权限的rootkit是程序或对被黑系统的隐藏控制的程序集合。该术语来自UNIX。
在微软Windows中, "rootkit"一般指使用程序掩饰安装在系统上的软件,截取扭曲关于在系统中运行的进程和驱动器文件夹的系统信息。换句话说,rootkit象代理服务器那样工作,允许一些信息通过或阻止或扭曲其他信息。rootkits能够掩饰在系统所有进程、磁盘上文件夹和文件和描述配置的注册表键的存在。一些掩饰程序在系统中安装驱动和服务,对系统管理工具如任务管理器自然就是不可见的,就像反病毒程序那样。
Root Shell
弱点包括命令行输入/输出的重路由(通常是网络中的), 一般用于取得对计算机的远程访问。
恶意对象尝试访问受害人计算机将来要执行的的命令行。访问一般是利用弱点远程攻击和运行脚本。脚本开始通过TCP的连接计算机的命令行截取。黑客可以远程控制系统。
启动互联网浏览器
浏览器可以隐藏启动,能够传送数据用于稍后的使用。打开的监控浏览器启用截取。
根据包含的设置打开浏览器,例如,用户密码无论何时点击邮件客户端电子邮件体中或及时消息程序中的链接,不是可疑操作。如果增加邮件客户端和ICQ到可信任的区域,意味着如果你允许某些程序根据设置打开浏览器窗口。所有其他情况下,当黑客通过浏览器传送数据,计算机用户可能评价为可疑。
异常行为
指定进程的不是危险或可疑行为但改变操作系统本身状态检测的引用。例如直接内存存取或对R0-R3访问指针的修改。
检测到的危险行为(一般行为)
恶意操作检测器的组包括Trojan.generic, Worm.generic和Worm.P2P.generic, 用于检测危险行为的很复杂的算法。判断是某些进程很大程度上可能是基于操作集合分析的未知的恶意进程,而不是一个两个因素。一般的判断不是可疑操作第一次尝试指派。每次所作的可疑操作,进程可疑程度提高。一旦达到临界级别主动防御进行处理。该方法确保了相当低的假阳性。好程序表现出多出恶意行为可能性也相当低。
影响可疑程度的操作:
感染或恶意对象注入系统的操作典型;
直接的恶意操作;
复制恶意对象的操作典型。
改变的应用程序
该事件意味着自上次运行后监控应用程序的执行文件已被修改。应该指出可执行文件能够被恶意代码修改,将本身注入应用程序或通过标准程序更新,如:通过微软Windows更新修改微软IE的可执行文件。
违背完整性
违背完整性是自上次运行后,监控的应用程序的一个或多个模块能够被修改的。程序更新能够修改,不只是将自身注入应用程序的恶意代码(例如,通过微软Windows更新修改微软IE所使用的库)。
关键应用程序
应用程序完整性控制模块有额外的特征用于监控应用程序的开始。在该模式下,只要用户指定的应用程序一启动卡巴斯基反病毒软件就发出警告。如果用于监控应用程序的配置的规则是运行: 提示操作,只显示警告。该模式默认情况下是禁用。
以子进程运行
使用已知的程序建立数据漏洞的数个恶意程序或从互联网下载恶意代码。恶意程序打开防火墙规则和其他防御工具赋予访问互联网的标准程序(例如:web浏览器)。当发生时,监控的应用程序作为子进程运行。
如果用于监控应用程序的配置规则是运行子进程: 提示操作只显示警告。因为一些程序是以其他子进程运行, 默认情况下不会对这些事件显示警告,即使是在主动放于操作报告中纪录的事件。
Hosts文件修改
hosts文件是微软Windows最重要的系统文件,设计目的是类似通过在DNS服务器中将URL地址转换为IP地址重定向访问网站的功能在本地计算机上实现。hosts文件是纯文本文件,每一行定义了服务器的字符名称(URL)和IP地址的对应关系。
恶意程序经常使用该文件重新定义反病毒软件更新服务器地址,阻止更新的任何机会,防止恶意程序被发现,对其他也是一样。
入侵 / 加载
无数的各种恶意程序以可执行文件、库或著名程序的插件掩饰,加载到标准进程中。这样就可以协调用户计算机的数据漏洞。恶意代码启动的网络通讯量轻易的穿越防火墙,因为防火墙认为该通讯量属于允许访问互联网的应用程序。
木马一般入侵其他进程。可是有些良性程序、更新和程序的安装也会显示该行为。如果确定加载程序无害,应该只允许该类型活动。
键盘套索
Keyloggers是纪录在键盘上的每次击键。该类型的恶意程序能够将从键盘收集的信息(登陆、密码、和信用卡号码)发送到黑客手中。可是标准程序也能纪录击键。Keylogging经常用作从不同的使用热键应用程序调用程序功能。
访问注册表
注册表访问追踪对注册表键的修改。
恶意程序修改注册表注册自身,这样只要开始操作系统就自动开始、改变微软IE中的主页和其他破坏行的操作。可是要记住标准应用程序可能也要访问系统注册表。
模块包括预定义6组关键键的列表。用户也可以增加自身唯一的一组键和用于访问的各种程序的配置规则。
注册表不正常
模块使你截取在注册表中建立隐藏键,标准程序不能显示,如:regedit。建立错误名称的键,这样注册表编辑器不会正确显示他们的值,使之更加困难诊断系统中的恶意程序。
木马下载器
木马下载器是主要功能为隐藏从互联网未授权软件的下载的程序。黑客网站是木马下载器最有名的来源。木马下载器不是计算机的直接威胁。也是很危险的,因为他们不可控制的下载和启动软件。木马下载器的主要用途是下载和运行病毒、木马和间谍软件。
作者:
HomeSGerMine
时间:
2009-8-20 19:58
卡巴说了这么多,到底还是没有微点强,微点什么都没说,却一直都是最强,这是为什么?技术问题,这不是说就可以说出来的
作者:
微点专家
时间:
2009-8-20 21:30
敢一年不升级么?
作者:
晴朗
时间:
2009-8-20 23:35
微点真是给专家们用的,说了那么多,给咱上理论课呢。哈哈
作者:
cp0577
时间:
2009-8-21 01:37
卡巴的主动更像是智能hips.
09版的时候改进的真不错。不过还是提示太多。不够智能。
2010版的时候增加了根沙盒技术。运行起来更卡啦。
感觉卡巴对自己的主动防御还不是太放心。要不,怎么自己会去开发沙盒。
作者:
yangliu2000
时间:
2009-8-21 07:51
卡巴主动防御,说的还是不太清楚
微点主动防御,基本上没什么说明
作者:
qq200878
时间:
2009-8-21 08:00
卡巴的主防就是hips,不能像微点一样多步分析
作者:
微点专家
时间:
2009-8-21 08:50
微点不需要什么说明,安装好简单的个性设置一下,就可以使用了。因为作为一个用户的最终目的就是使用,不可能为了使用一个安全软件还得去专门学习一门技术啊,还得花好几天来研究其原理。
作者:
HomeSGerMine
时间:
2009-8-21 08:53
Quote:
Originally posted by
微点专家
at 2009-8-21 08:50:
微点不需要什么说明,安装好简单的个性设置一下,就可以使用了。因为作为一个用户的最终目的就是使用,不可能为了使用一个安全软件还得去专门学习一门技术啊,还得花好几天来研究其原理。
补充:这就是主动防御的理念:简单,易用,普及,高效,友好
[
Last edited by HomeSGerMine on 2009-8-21 at 11:25
]
作者:
pk8502209
时间:
2009-8-21 11:12
Quote:
Originally posted by
HomeSGerMine
at 2009-8-21 08:53:
补充:这就是主动防御的理念:简单,易用,普及,高效,有好
支持啊。
作者:
寂静的黎明
时间:
2009-8-22 21:56
晕了,我一文科生看的晕乎乎的。
作者:
凡间幽灵
时间:
2009-8-23 03:49
Quote:
Originally posted by
HomeSGerMine
at 2009-8-20 19:58:
卡巴说了这么多,到底还是没有微点强,微点什么都没说,却一直都是最强,这是为什么?技术问题,这不是说就可以说出来的
我非常赞同这句话:D
作者:
663219623
时间:
2009-8-23 08:03
卡巴的主防是智能HIPS 有那个用EQ呢 比 卡巴主防好用多了
作者:
littlefritz
时间:
2009-8-24 08:17
用微点放弃杀软,就相当于用XP,放弃DOS
作者:
qbnnq1000
时间:
2009-8-24 15:46
Quote:
Originally posted by
littlefritz
at 12:17 AM:
用微点放弃杀软,就相当于用XP,放弃DOS
。。。。。。。。。。差点被雷倒,DOS是不可能放弃的。
作者:
tjanie
时间:
2009-8-24 21:53
说实话,微点图的就是一个易用,真正的为用户着想
作者:
江浸月
时间:
2009-8-24 23:17
说的详细不一定是好东西,就像现代的文章就比不上古文,三言两语,用现代的文字要解释清楚就得写几十字,甚至上百字
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
