点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#1 关注的是行为,落实的是目的
人生如雾亦如梦 缘生缘灭还自在
感觉是标题这几个字来综合阐述“主动防御技术”还是蛮不错的,解释一下就是关注一个程序运行后所触发的所有系统调用行为,最后具体落实到程序的真正目的,从而有效的判断该程序到底是不是病毒、木马,如果是那就调用清除引擎回滚行为,如果不是则放行,程序正常运作。
有人说主动防御技术现在还不是很成熟,的确,主动防御在误报率上面相对于传统杀毒软件的确很大,这也肯定是不可避免的,但相对于传统杀软的优势也是明显的,因为它具有了其他不具有的API广谱库+逻辑判断环节,可以从程序角度上分析绝大多数病毒,甚至可以分析出一些专业的病毒分析人士无法进行分析的程序,比如受加强壳、反调试等等客观因素影响下的样本程序,比如用微点来说,一样本程序运行后被微点的未知行为规则报警了,那么只能够说明这个程序已经具有了病毒、木马等应该具有的性质,再从分析角度来看只需要进一步确认该文件是那种种类的木马病毒就可以了。
用标题的十二个字来比较一下传统杀软、主动防御、hips的区别:
传统杀软只能够得到里面的六个字“关注的是目的”:
无论是内存特征、文件特征还是各式各样的广谱特征,最后都是人为落实的(加入特征库到达目的地),而杀毒软件只需要在目的地判断程序是否要来,如果要来直接调用清除引擎清除,原本这样的效率是很高的,但是有一个先天因素就是行为落实是有人为提供的,面对病毒、木马、后面层出不穷的今天,这样迟早也会发生双拳难敌四手的事情。所以这里的效率高只是程序确认是已知病毒的效率,归根结底就是“关注的是目的”,所以总体效率是很低的,相对而言只是经过人脑确认的一个病毒资源库,至于现在涉及到内核态的病毒是否可以清除、清除掉有无副作用又是另外一回事。
主动防御上面已经说过了,“关注的是行为,落实的是目的”,行为一旦被触发,主动防御就会先斩后奏,至少当前进程无论是否是病毒,一但触发了行为规则进程都会被挂起或结束,不难看出越是行为突出或拥有多数功能的病毒,就越难突破这种机制,突破这种机制就得从行为少或不突出等方面入手。
hips也只可以匹配到里面六个字“落实的是行为”,hips从设计角度上是最安全的安全产品,但是留给使用者的却是难以承受的鼠标点击率和行为判断,如果使用行为规则来完善hips,那么病毒同样可以模拟行为规则绕过hips,至于绕过绕不过只是巧合的问题,毕竟Hook的原生API越多就表明hips越强大,但是对于Ki、Ke、Fs、Io、Cc、Ex、Mm、Ps这类的原生函数调用又怎么在保证稳定性的前提下hook呢?如果在不重定向内核态执行体的情况下似乎鼠标的寿命和蓝屏都是问题,所以病毒一旦感染或替换了正常驱动来调用这些,hips就会挂的很惨。
写到这里突然又发现一个绕过主防的方法,就不分享了。
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
