首页
社区
课程
招聘
[原创]终于领悟了主动防御
发表于: 2008-5-10 20:21 85267

[原创]终于领悟了主动防御

2008-5-10 20:21
85267
收藏
免费 7
支持
分享
最新回复 (118)
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
51
“一般用户不会经常安装软件”,我不赞同,不符合中国国情啊
2008-7-10 21:22
0
雪    币: 201
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
52
是的,而且是逢人就说,哎,失败的
2008-7-16 14:13
0
雪    币: 1022
活跃值: (292)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
53
这个帖子很热门,微软升级程序被入侵了要是给用户种马是不是过所有主动。还是把电脑扔掉安全。
2008-7-16 18:37
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
54
瑞星的特征码现在几层了?
2008-7-22 16:55
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
55
主动防御也就是说思路得走在病毒的前面,那么我们我们今天能知道明天的病毒是什么样子的吗?
2008-7-23 12:04
0
雪    币: 204
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
56
特征码技术确实有些过时
2008-7-25 20:08
0
雪    币: 740
活跃值: (952)
能力值: ( LV9,RANK:160 )
在线值:
发帖
回帖
粉丝
57
很是赞同
技术太好,病毒太少,杀软就得自己做病毒了
2008-7-25 21:28
0
雪    币: 1708
活跃值: (586)
能力值: ( LV15,RANK:670 )
在线值:
发帖
回帖
粉丝
58
有攻才有防,所以才有黑客存在.
2008-7-25 22:04
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
59
膜拜50楼和55楼

这才是真相
2008-7-26 03:08
0
雪    币: 169
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
60
如果, 全球立法: 编写恶意代码者,被抓到,斩立决.
那么最先起来反对的 不是恶意代码作者们...
而是杀毒公司~~

还记得江民的磁盘逻辑炸弹么?      AV太黄了.
2008-7-29 02:19
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
61
操作系统方面,普通用户,谁会去管组策略,NTFS权限,驱动,防御,这些是什么鸟?

如果真要完美,那就搞WINDOWS。。。

这世界上,有完美么?

也不能总带有色眼睛看杀软,HIPS

毕竟杀软也帮助了很多的人,害人的东西,与助人的东西,对立统一,我们也没辙,也不去管什么业绩什么销售这些没用的

过这河,毒说深?杀软说深?都不算,提高自身素质是当务之急

虽然如果平均素质上来了,很多东西就没市场了。。。
2008-7-29 17:36
0
雪    币: 402
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
62
瑞星?什么都能查??15楼的。。。。
现在是高启发技术+主动防御,卡巴9就是例子!
2008-11-10 00:15
0
雪    币: 101
活跃值: (88)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
63
主动防御也是有用的,只是不象宣传的那么神奇而已。

(任意)软件行为的不可判定性,决定了主动防御不能查杀所有病毒。另外,对恶意行为的定义,本身就可能产生歧义。一堆正常行为的组合,也会导致灾难。

但反过来讲,对于特定行为的任何工程实现都是有作用的,也就是说,不断添加主动防御的功能,可以挡住大部分病毒。
2008-11-10 19:06
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
64
不错。学习了。。。。。。。。。。。。
2008-11-11 14:58
0
雪    币: 290
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
65
什么叫 HIPS 什么叫主动防御 什么叫特征码查杀 我不是很明白  什么特征码落伍 不晓得
被楼主一说 更糊涂了 哎 还是补习一点基础知识 再来发言吧
2008-11-12 10:18
0
雪    币: 231
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qdk
66
又不是搞数学证明,用不了这么严格,搞个近似算法,大多数时候不误判就ok了。

N多的NP难问题不是也有近似算法。

况且这两个问题有没有联系你也证明不了
2008-11-12 12:17
0
雪    币: 231
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qdk
67
对付的过去小混混就好了。

真正的黑客当然谁也拦不住,真正的黑客又有多少,

大部分就是小混混
2008-11-12 12:20
0
雪    币: 244
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
68
关于“触发式”扫描引擎的设想
前言:
我是一名电脑业余爱好者,从2005开始使用微点,为了微点的进步,尽其所有,提出自己个人的一些观点和想法.
最近一些网友在论坛中强烈要求微点尽快出扫描引擎,我并不认为这是好事.靠特征值的扫描引擎只能对已知病毒有作用,对于未知病毒一点作用都没有,微点开发出来干什么?依靠特征值的扫描已没有什么发展空间,微点应另辟蹊径,要开发一种新技术超越依靠特征值的扫描引擎.这样才能真正与微点的主动防御能力相适应.
为了适应一些网友的要求,让电脑里没有激活的病毒能被微点扫描,确实是一件难事,一些论坛为了测试微点的威力,手工一个一个样本去运行,确实是件苦差事,回想2006年,为了测试微点的主动防御,每天要花上二三个小时来运行病毒样本,一年多的时间都在干这个苦差事,如果微点出了扫描引擎,但只能查杀已知病毒,对于微点的主动防御功能一点作用都没有发挥,没有激活的未知病毒照样在电脑里睡大觉,心里依旧不清静,心里也不会舒服些。
微点应该是集大成于一身的顶尖高手,有了主动防御的绝招,如果能在扫描引擎上再能开发出一种与主动防御相适应的引擎,就可以在世界杀毒市场上占有一席之地.我设想的这种引擎关键是要与主动防御相匹配,不光能查杀已知病毒,还能查杀未知病毒,那就是"触发式"查杀引擎.微点的主动防御就是一个比依靠特征值的病毒库大得多的病毒库,这个病毒库的最大一个亮点就是利用微点智能分析判定病毒的机制为病毒库,想想,这是多大的一个病毒库.远远超越现在微点开发的病毒库.
基本原理:
我所设想的“触发式”扫描,核心就是让病毒运行起来,再配合微点主动防御,就能查杀。以前杀毒界的想法就是要抑制或杀死病毒,并不想病毒发作,如果在主动防御技术使用前期,一个人想把病毒运行起来再查杀,大家绝对都会认为是个疯子,包括一些所谓的专家。可是主动防御必须让病毒运行起来,与特征值的扫描引擎的宗旨背道而驰,主动防御最大的问题就是病毒不运行,你无法查杀它,只要病毒运行起来了,什么都好说。
病毒知识介绍:
传染性是病毒的基本特征,是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,计算机病毒就会入驻内存运行。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
基本设想:
2006年,我在用病毒样本测试微点的过程中,发现一些现象,比如,我下载的压缩病毒样本包,微点当然不查杀,当我解压后,一些病毒发作,微点拦截,还有一些,当我打开文件夹时病毒才发作,微点拦截。可见,解压,打开文件夹等都成了触发病毒发作的条件,如果能开发出一款让病毒能激活的“触发式”引擎,配合微点的主动防御,相信微点能上一个台阶。
结束语:
现在,趋利性病毒攻击已成网络最大危害,象这类病毒,它们的激活条件很单一,并不复杂,要激活它们是很轻松的事,微点可以以流行广,触发条件简单的病毒群作为研究对象,然后逐步加入更加复杂的、特殊的触发条件的病毒。
以上仅是个人的初步想法,还不成熟,希望批评指正。
2008-11-12 13:15
0
雪    币: 1072
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
69
可能行为判断还有用,但最终得人判断,特征码已经落后了!!
2008-11-12 18:32
0
雪    币: 231
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
70
要说行为判断也好办。
把注册表那几个地方监视起来,每次操作要用户确认。
再把可执行文件的修改给监视上。
还有那前几个扇区。

只要用户不点同意,就不会中毒。(蠕虫就是另一回事了)
2008-11-28 08:56
0
雪    币: 222
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
71
主动防御现在也不成熟,误报率太高
2008-11-28 15:36
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
72
这东西要是能人工智能就好了!!!
2008-11-28 15:39
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
73
呵呵~讨论好热闹啊~
主动防御肯定是大的正确思路,
就像防火墙,原来是定规则,现在是问问你是不是让这个软件运行啊~
2008-11-28 16:13
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
74
病毒要是运行起来了进入了ring0权限...
就不好办了
2008-11-28 16:13
0
雪    币: 208
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
75
完全同意
2008-11-28 22:15
0
游客
登录 | 注册 方可回帖
返回
//