» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 【主动防御的致命缺陷】   作者: 标题: 【主动防御的致命缺陷】 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #1  【主动防御的致命缺陷】 但是行为识别的难度是很大的，国际上还没有统一的标准。既然要识别病毒的“行为”就需要让病毒运行，如何在病毒造成危害前阻断病毒继续运行也是个大问题，主动防御显得有些被动。 而且行为识别还有着使用难度大的困扰，常见的行为识别类软件如HIPS，会对软件的动作进行预警，但是这就造成频繁报警，让用户无法适从，因 为HIPS只告诉用户程序做了什么，是不是病毒要用户自己判断，而真正熟悉病毒行为的人有几个？有能力判断程序行为是不是病毒的又有几个？   为了避免频繁报警的问题，HIPS都应用了“规则”，但是规则的定义又很麻烦。定义严了吧，容易造成错误判断，定义松了呢，又无法保证系统的安全性，所以说，HIPS在不同的人手中的效果，是天差地别的，甚至有人说HIPS是高手的玩具。    而墨者，发扬墨家积极防御的思想“守城者以亟伤敌为上。“墨者抓住了危险可疑程序的要害--权限。 墨者应用先进的权限防护原理，几乎没有误报现象，而且还保证正常程序的运行。 　当然离尽善尽美还有很长的一段路要走，第一是用户体验，很多非病毒木马的程序也需要系统权限，对于这类软件墨者只能依靠白名单技术来提权，而对于一些病毒木马，虽然革离术可以阻革在外面，对系统不能造成危害，    被阻隔后的残废文件仍也需要趋势配合来删除，这也是墨者需要改进的地方 ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-18 19:20 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #2   而真正超越特征码扫描的反病毒技术，我看也就是行为识别了。有道是“条条大路通罗马”，编写病毒的人，可以通过很多种手段，不同的代码可以达到同样的编写目的，每一种不同的编写方法，就是一种新病毒！但是他的编写目的无非那么几种：键盘记 录，远程控制，修改文件数据，注入进程至系统进程，映像劫持等等，只要了解病毒作者的编写目的，针对病毒的“行为”归类总结，并研究出应对方法，就能够以 不变应万变。行为识别的优点有：无需扫描，无需升级特征码，对新病毒的查杀率高，加壳，改特征段等常规免杀手段对于行为识别来说是无效的。 安全厂商给行为识别技术起了一个响亮的名字“主动防御”。 ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-18 19:21 mamsds 银牌会员 积分 1373 发帖 1360 注册 2008-3-15 来自 乌克兰 #3   我觉得主动防御只要计算机的原理不变应该可以防御100%的未知病毒才对——关键是怎样不误杀/...................................... ※ ※ ※ 本文纯属【mamsds】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ Vi Veri Veniversum Vivus Vici. 2009-2-18 21:32 microycyc 注册用户 积分 57 发帖 57 注册 2010-2-6 #4     Quote: Originally posted by mamsds at 2009-2-18 21:32: 我觉得主动防御只要计算机的原理不变应该可以防御100%的未知病毒才对——关键是怎样不误杀/...................................... 如果微软把主动防御放在操作系统里，那是不是就安全了呢？目前的计算机原理下恐怕弄不出不用升级就防御100%病毒的软件，保证不误杀恐怕只有经常维护，升级 ※ ※ ※ 本文纯属【microycyc】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-2-9 13:49 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号