jackybaby
中级用户
积分 330
发帖 321
注册 2006-12-31
来自 sz
|
#1 关于主动防御(转帖,和微点有关)
主动防御这个词好像是近段时间才出现的吧,国内的反病毒软件好像是KV第一个用了注册表监控技术,所以有一部分人就认为主动防御就是注册表监控这东西,那么这太片面了。现在病毒有哪些行为呢?擅自创建程序,创建自己的启动项,将自己插入到别的进程中,利用Rootkit编程隐藏自己……
说到主动防御,我不得不说到的是System Safety Monitor(简称SSM)这款软件,这个软件属于Host-based Intrusion PreventionSystem(HIPS),它不是反病毒软件,也不是防火墙软件,却能够从小到每个进程大到整个磁盘底层保护系统免受不良程序的危险,软件的功能自然包括最常见的注册表保护、文件保护、磁盘系统保护、防止进程注入等,SSM的功能太强大,不多说。Kaspersky从
V6开始引入了Proactive Defense,它的主动防御默认并不开启注册表监控,因为这种交互很麻烦,对普通用户来说会带来相当多的麻烦,用户看不懂这些注册表监控到底在提示些什么,因此Kaspersky Lab出于对用户的考虑默认并没启动这个功能,至于它的行为监控模块就值得称道,通过内置规则,当某程序试图执行时,行为监控就会比对规则判断是否为恶意程序,这种准确度是相当惊人的,最新的版本基本上能100%发现Rootkit,对于木马、后门、蠕虫等基本都能拦截,虽然报的名字很统一Trojan Generic,那些进程注入、隐藏数据发送、带参数启动IE等自然都不能逃出它的监控(他的Proacive Defense弥补了了在启发式方面的相对薄弱),有机会大家去用一用吧。国内方面,瑞星目前仅有一个注册表监控,那么可以将其排除在主动防御之外,因为这个太肤浅,不过最近加入了一个防止直接通过浏览器执行程序的功能,这个功能相当值得称道,通过IE中读的人实在太多;金山毒霸没有这个功能;江民,从前几个版本就有了注册表监控,后来发展到“木马一扫光”,木马一扫光在最初包含了注册表监控、进程注入、
键盘记录几个功能,初步实现了一些简单的主动防御模块,可能因为交互没做好,在给用户带来安全的同时也带了了麻烦,用户不知道KV到底在提示些什么,现在到了KV2007,木马一扫光被降级到了纯粹的注册表监控范围,其他的功能交给了“系统监控”,网络访问控制(主要是HTTP、EMAIL)、进程注入保护、擅自运行程序、直接内存访问、文件访问控制、文件完整性保护等样样俱
到,虽说不是特别全面,不过已经涵盖了绝大部分,这些对于有经验的用户来说是个福,对于初级用户来说就有些麻烦,得看以后怎样改进了,最好直接判断程序可能是什么或是什么;还有一个不得不说的就是东方微点,之前一些原因导致我很排斥这个软件,后来发现它在主动防御方面做得相当的好,应该说是国内最好的,只是目前名气不够,而且长期处于测试阶段,就一些热血分子知道这个东西,这个软件也是通过内置规则判断病毒行为,和Kaspersky类似。当然,主动防御有个缺点,就是必须当程序似乎执行时才有效,静态查毒不生效。
启发式与主动防御,国内软件尚未成功,我们只能期待会更好,没有国人不支持自家的东西。
(转自pluto1313' blog)
| |
※ ※ ※ 本文纯属【jackybaby】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
