微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » [卡饭浏览笔记]360卫士的主防超越了微点?  

 18  1/2  1  2  > 
作者:
标题: [卡饭浏览笔记]360卫士的主防超越了微点?
soonbest
中级用户




积分 302
发帖 298
注册 2006-11-21
#1  [卡饭浏览笔记]360卫士的主防超越了微点?

[卡饭浏览笔记]360卫士的主防超越了微点?
1.为何冠以“笔记”之名?
答:学习的过程中,做一些笔记是必须的,尤其在卡饭这个大牛云集、官人遍地的地方。名曰笔记,是表明自己学习的态度,做笔记也是自我学习、提高的过程。
2.为何要发到深度?
答:做笔记,是提炼原文,省去各位爬楼的辛苦;发到深度,是希望分享、交流、讨论。希望能有人可以拿出证据证实或反驳这个论点。所以恳请各位本着技术探讨的理性态度,不要口水、不要掺杂自己的偏见、不要说想当然无凭无据的话、不要冷嘲热讽、更不要污言秽语。
当然,要搞清楚来龙去脉,还是自己去看原汁原味的原帖好。原帖地址http://bbs.kafan.cn/thread-842540-1-1.html实测:360的主防搭配微点主防不会引起微点的漏毒,新增过360本地防御不过微点的样本

原帖的本意,是测试360的主防,是否像有些人说的那样,引起微点的漏报。(请参见甲壳虫免杀组:360safe7.5beta和微点主防“不兼容”

原帖楼主fzq198776的结论是不会。如下:

  Quote:
本来问了微点官方客服,人家说不会漏毒,可是在论坛里问了一圈,几乎人人都说两者同时安装,微点就成摆设了。本人在接触cisco网络技术之前,一直都是玩病毒木马入侵黑站的,虽然现在已经两年多没碰,但是个人已经养成了对安全极其重视的习惯,而当初做病毒免杀时,对微点映像极好,所以微点绝不会割舍,但是360的一些小工具还是很实用的,所以也会一直在用。那么既然将信将疑索性就自己测试,于是虚拟机中安装360的7.3正式版,安装的时候就断网了,所以360卫士的库是11.1也就是11月 1 号的库(忘了截图,测试做的不多,还不规范,见谅!),微点主防安装好了之后使用点饭的辅助工具阉割掉微点的特征码扫描功能,然后来测试几款木马
第一款木马样本源自于:http://bbs.kafan.cn/thread-838951-1-1.html,结果是微点和360同时报:

第二款木马样本源自于:http://bbs.kafan.cn/thread-840904-1-1.html,结果是360先提示加载驱动(换而言之此时360未入库),点击允许后微点报毒:

新增:样本过360本地主防(不过360云主防,云主防的概念解释详见楼层回复)不过微点主防,样本来源:http://bbs.kafan.cn/thread-817096-1-1.html
我在原样本的基础上用 “北斗3.7” 加壳以躲避微点主动防御的特征值扫描,这样就能测试其行为防御了,运行后虚拟机瞬间资源占用极大,大约过了一分钟微点报毒,在这期间360无任何反应(此时已被断网,本地库版本见图,是11.16 )

但是半路杀出一位360的官人,也就是360sandbox(据说是360卫士的首席架构工程师MJ),对测试条件非常不满,认为fzq198776把360的主防都给关闭了,还测个什么劲。

  Quote:
楼主用过hips没有?360的注册表防火墙文件防火墙进程防火墙就是hips的rd fd ad,你关了这些几乎相当与把360主防全部关了,还测试什么主防,还什么过360主防的样本,太搞笑了!这些功能跟特征码扫描一点关系都没有,丝毫不会有特征值的

更别说断网了,目前用户主动断网360主防除了个别点几乎完全不会再拦截了,还测个什么劲?

不说了,我估计leisong看了你的测试方法都快笑喷了,另外这也侧面说明了微点主防跟360主防的差距之巨大,360主防把几乎所有功能都关闭后也能和微点打个平手,相当于拿小拇指跟人掰手腕

随后,两人你来我往,mj透漏了不少360主防的技术原理。
fzq198776:请你仔细看看这三个样本的截图,至少这三个样本除了断网以外,我360的木马防火墙全开了,HIPS我当然用过,从05年的SSM,卡巴全系列,毛豆、TF我都用过,很遗憾,我认为进程防火墙和文件防火墙的部分功能真的不算行为分析
至于断网,呵呵,如果是病毒主动断网了呢?再说了,你别告诉我云主防是行为分析,其实他还是基于特征值的判断
MJ:太搞笑了?文件防火墙只能防系统文件被删除?拜托你调查清楚再发言不要主观臆断个结果还说得跟真的似的好不好?

进程防火墙的说法就更搞笑了,进程防火墙包含了抗注入抗服务创建抗打印机攻击抗远程注册表攻击等大量远超过微点微点想都不敢想的超级行为防御功能!还特征值,360整个主防里就没有任何特征值检测的东西!
病毒主动断网主防当然回拦截,你以为主防都象微点那么弱吗?别跟我说你认为,你懂还是我懂?文件和进程防火墙完全只要行为,没有特征,无论你断网还是关闭功能,都等于彻底关闭360主防
fzq198776:好好,不和你口水了,免得被锁,反正我目前从事的方向不是这个,看我个性签名就知道。不过“云主防”的话你该不会告诉我这是 行为分析吧
MJ:云主防当然是行为分析了,你以为什么叫行为分析?我也不是为了口水,看你说得太荒谬过来纠正一下而已,不然大家还真以为有什么可以过无敌云主防还不过微点的样本呢,恩,不能口水
fzq198776:呵呵,说话别老是带火,我如果说错了你就和我科普下,素质啊!卡饭的风气就是这样被带坏了,很怀疑你是MJ。。。不过话说回来了 你能否和我科普下云主防如何行为分析,说话别老这么嚣张,我考过了CCIE也没你这么冲的。。。
话说如果你是MJ的话,那么我想听下你的权威解释:微点主防+360主防在一起是否会漏毒?
MJ:首先我第一贴就说了我是mj不是帐号本人了,然后,ccie实在跟我比算不了什么当然如果你觉得这个很厉害那么祝福你ccie了,第三,云主防就是行为识别分析加云端信任,此外还有云端交互配合,沙箱,启发式,抗断网,抗内核漏洞等复杂技术,单纯的主防技术是行不通的,第四,不可能漏毒,因为不可能有不过微点但过360主防的病毒,而360全球领先的抢先拦截技术(拦截任何病毒攻击都比普通安全软件包括微点早得多)更是确保了微点基本沉默
fzq198776:研究的方向不一样而已,在我的领域你一样一无所知,别太嚣张了。你研究的是端系统安全,我研究的则是从二层到七层接入安全,简而言之我就是研究给你那些云端服务器提供一个安全的可靠的接入环境,以及如何在黑客到达你那些云端服务之前就将其阻隔掉,还有认证、身份审计、分级授权。。。
另外我有一点不明白,云主防难道是你上传到云端进行行为分析??
MJ:规则部分在云端,部分在本地,部分固化在内核,信任在云端,另外有复杂的云端规则交互。如果在ccie论坛,我一定不会这么嚣张
fzq198776:但是分析必须上传到云端吧,我见过一个木马,就是生成后给自己加入大量垃圾代码以便增大体积到几十M,以躲避360的上传,这种情况下你该怎么办呢?
其实我们都是搞安全的,我是安全方向的CCIE,只是你研究的是端系统安全,我研究的则是从二层到七层接入安全,简而言之我就是研究给你那些云端服务器提供一个安全的可靠的接入环境,以及如何在黑客到达你那些云端服务器之前就将其阻隔掉,还有认证、身份审计、分级授权。。。
MJ 你的确 在端系统这块很厉害,另外请加强360在本地的主防能力,但是请低调点,人人都是平等的,别老是贬低别人
zyh6036:为啥要上传分析,行为可以在本地跑,套用规则后回传服务器的东西可以极少
fzq198776:你的意思是本地将行为特性传回云端进行分析??但如果这样的话,假如我运行的是一个恶性病毒,能在很短的时间摧毁电脑,那等你云端把分析结果下发下来且不是为时已晚
MJ:根本不需要上传啊,这种方法不新颖老早就有木马用了,对360完全无效,你可以问问测试过360主防的leisong,经常会有大样本,从来没有过360主防的,主要原因是木马作者没理解360的云概念导致的,我没有看不起你吧,对事不对人,我只是看不起你的看法
zyh6036:恶性病毒不会在信任列表吧,那确定不信任之后规则本地就解决他这些行为了,不是啥都往云上走的,你看MJ前面都说了,部分在本地,部分在云端,云端主要应对的是模棱两可的情况,而且不会慢,几毫秒就能有结果,中间完全可以挂起进程,用户感觉不到
fzq198776:OK,我明白了,如果是真的的话,360的云主防的确强大,另外请尽可能的强化360的本地防御,如果我的电脑暂时不能上网,但是通过U盘中了病毒的话就麻烦了,别说360有U盘防御不可能,因为假如U盘里的病毒是和一个正常的文件捆绑在一起的话,那就很有可能中毒了
MJ:本地防御可以用360安全实验室的malware defender labs.360.cn
或者可以等云主防和qvm融合或qvmsandbox
MJ:明白了就快把标题改回去吧
fzq198776:已经改了,改成本地防御!另外主题帖里关于对360主防的一些评价也已经改了
MJ:囧了,本地都没有防御还过什么。。。


最后,另外一个出现了,就是MJ口中那个测试者leisong

  Quote:
我测360主防已经几个月了,从360 7.1主防比较弱的版本一直测到比较强悍的7.5主防,亲身经历了360主防由弱到强的路程,搜索下我的帖子便知
1、360主防只能在联网状态下生效,断网只剩拦截加驱等极少数能力了,不是你理解的先上传后分析,那是云端鉴定器检测未知文件,而不是云主防,如白羊所说:云端主要应对的是模棱两可的情况,而且不会慢,几毫秒就能有结果,中间完全可以挂起进程,用户感觉不到

2、你说云端就是检测特征码那是理解错误了。360对本地触发主防规则的动作(不是你所说的在云端行为分析后传回客户端)发出云查询,查询到白名单后直接放行,主防日志中会显示自动允许;查询到黑名单后直接报毒,如你看到的报毒弹框,主防日志会显示自动拦截XX动作;查询到未知文件,拦截并弹框。
当云报毒时,只要修改MD5,关闭云自动上传,就可以测主防了(当然,对衍生的驱动等报毒就不好修改了)
云的作用就是精确拦截,减少误拦,为了能适合几亿用户很有效的方式。
以上是几个月的测试结合360官方解释作出的小白式理解,可能表达有不当之处,但未偏离事实

所以你断网测主防等于废了主防,肯定是不对的。呵呵。
从你发的几个帖子中至少知道你是尊重事实反对乱喷的人,所以说了这么多。
====================================
PS:据你自己说你做过免杀,可否试试免杀QVM的难度,作用360用户很想知道QVM对付免杀的实力。

接着就是关于QVM的讨论了,偏离了主题。

我的想法:超越微点的安全很容易,任何一个hips都可以;但是能超越微点的智能化吗?360卫士弹窗不比微点多吗?另外,对于不太上网的PC,360的主防就不太给力了,这MJ也承认。

[ Last edited by soonbest on 2010-11-19 at 10:56 ]

※ ※ ※ 本文纯属【soonbest】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-11-19 10:44
查看资料  发送邮件  发短消息   编辑帖子
495253566
注册用户





积分 104
发帖 109
注册 2010-7-14
#2  

什么什么,360枪手,我靠。。。。。。。。

※ ※ ※ 本文纯属【495253566】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-11-19 11:16
查看资料  发送邮件  发短消息   编辑帖子
soonbest
中级用户




积分 302
发帖 298
注册 2006-11-21
#3  



  Quote:
Originally posted by 495253566 at 2010-11-19 11:16:
什么什么,360枪手,我靠。。。。。。。。

跟你想法说法不一致,就是枪手。你的世界真简单。。。
仔细看明白再说话,年轻人。看看本人第一段和最后一段。
其他都是引用其他人的观点,不代表本人同意。

第一段本人说了,不想引口水。但是网民中头脑和世界观都很简单的人太多,本帖注定是个口水贴。所以本人已有心理准备。爱咋咋地吧,总还有人不是这么简单的。

[ Last edited by soonbest on 2010-11-19 at 11:28 ]

※ ※ ※ 本文纯属【soonbest】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-11-19 11:25
查看资料  发送邮件  发短消息   编辑帖子
littlefritz
版主

微点帮帮团团长


积分 3505
发帖 3502
注册 2009-5-23
来自 微点帮帮团
#4  

感谢楼主的分享。已+2分奖励。

※ ※ ※ 本文纯属【littlefritz】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

2010-11-19 11:25
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
soonbest
中级用户




积分 302
发帖 298
注册 2006-11-21
#5  



  Quote:
Originally posted by littlefritz at 2010-11-19 11:25:
感谢楼主的分享。已+2分奖励。

谢谢版主鼓励。整了一上午,甚慰。
本来想首发深度,但是不知抽什么风,一直发表不了。故先发到这里了,文中的深度等字眼也没有改。
本人是微点老用户,06年至今,目前是家庭版用户。

※ ※ ※ 本文纯属【soonbest】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-11-19 11:36
查看资料  发送邮件  发短消息   编辑帖子
pathbreaker
注册用户




积分 141
发帖 141
注册 2006-12-30
#6  

整了这么多,看得头都大了,实在无聊的很!使用微点安全就行了,整那么复杂干什么?

※ ※ ※ 本文纯属【pathbreaker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

只有聪明的人,才能发现别人的聪明之处!
2010-11-19 15:11
查看资料  发送邮件  发短消息  QQ   编辑帖子
第一次
注册用户




积分 66
发帖 66
注册 2007-3-24
来自 河南
#7  

也许360下个目标就是微点,因为国内原来三巨头其中俩都被他干趴下了,下一个目标就有可能是微点了。因为360人家也吹人家有了全世界第一个人工智能的杀毒软件了。哈哈

※ ※ ※ 本文纯属【第一次】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

为了大家电脑的安全,齐心协力共抗病毒!!!
2010-11-19 18:06
查看资料  发送邮件  发短消息  QQ   编辑帖子
免费午餐
注册用户





积分 153
发帖 153
注册 2010-5-9
#8  

一直就是金山2011安全套装+微点主防

我上网本专用,一直使用正常很不错。其他直接无视了~


http://bbs.micropoint.com.cn/showthread.asp?tid=76415&fpage=1


360?继续吹吧~牛怎么死的?

流氓软件公司的头子还能信他?还买人家的引擎吹的天花乱坠 佩服 佩服

除了吹和枪手还有什么?

和微点比开什么玩笑?卡巴主动防御单独比还比不过微点呢~

第一 误报率 查杀率 易用性  主动智能性  缺一不可。

见什么都报 什么都拦截还用你干什么?什么都问我?我还要你



[ Last edited by 免费午餐 on 2010-11-20 at 23:47 ]

※ ※ ※ 本文纯属【免费午餐】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-11-20 23:44
查看资料  发送邮件  发短消息   编辑帖子
四大
注册用户





积分 94
发帖 94
注册 2009-12-31
#9  

楼主应该自己做一些病毒免杀的也行进行测试看看效果就知道了

或者做一些软件误报率方面的测试 易用性比如是否提示多 拦截多

查杀率等等方面的测试,看看到底谁好。

※ ※ ※ 本文纯属【四大】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-11-20 23:53
查看资料  发送邮件  发短消息   编辑帖子
littlefritz
版主

微点帮帮团团长


积分 3505
发帖 3502
注册 2009-5-23
来自 微点帮帮团
#10  

御剑筒子又回来了~

※ ※ ※ 本文纯属【littlefritz】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

2010-11-21 00:50
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
 18  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号