丨A丨B丨C丨 - 2009-1-17 22:59:00
刚才看见了卡巴的主防工作原理分析,看得我一愣一愣的,智能HIPS,沙盘,交互HIPS,活动行为分析,启发……那瑞星呢?系统加固是交互HIPS,那木马行为防御呢?是加了规则的HIPS?还是行为分析?还是两个都有?如果只有加了规则的HIPS从长远来看应该不会太好用吧?毕竟技术太落后了……
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; TheWorld)
丨A丨B丨C丨 - 2009-1-18 9:41:00
太多,又乱……能不能按照瑞星的工作顺序写出来?
比如1.进行病毒库核对2.······
piao2008 - 2009-1-18 9:44:00
通过自己去分析,才能获得知识的真谛呀
newcenturymoon - 2009-1-18 9:47:00
依据病毒入侵途径说:
木马入侵拦截(网站入侵,U盘入侵),恶意网址拦截>>>病毒行为分析(系统加固,木马行为防御>>>传统病毒库
丨A丨B丨C丨 - 2009-1-18 10:13:00
……先过主防,在用病毒库查,瑞星理念还真新
丨A丨B丨C丨 - 2009-1-18 10:20:00
丨A丨B丨C丨 - 2009-1-18 10:48:00
是我搞混了,貌似瑞星的主防是动态行为分析……智能HIPS应该是系统加固的。这样对吗?其中交互HIPS主管单步报警,木马行为防御是属于行为分析,另外瑞星的行为分析是和木马行为编辑器中的规则一样,只有软件同时满足2个或以上违规操作才报警?还是还是将所有病毒行为都分割放在一起,发现有这样的行为就报警?如果有个病毒的行为很新呢?既不加驱动,也不在系统目录创建文件,并且修改的注册表也是以前别的病毒没用过的,盗取资料的行为也是新的,那主防就防不住了吧……
丨A丨B丨C丨 - 2009-1-18 11:47:00
为什么不把瑞星HIPS做成4D?把行为防御也做成4d的,根据程序联网来分析程序?就像MP一样,也可以加对木马下载器的防御啊
newcenturymoon - 2009-1-18 12:13:00
全是概念问题 无需太多讨论
既不加驱动,也不在系统目录创建文件,并且修改的注册表也是以前别的病毒没用过的,盗取资料的行为也是新的,那主防就防不住了吧
如果是那样 那么其他所谓的主防可能也防不住~~
讨论这些我觉得没有用 我可以说 某个软件是10D 防御 你信么?
还是看最终的实际效果才好 而且因人而异 有的人喜欢这个有的人喜欢那个 ~
aaccbbdd - 2009-1-18 12:13:00
.......
有防火墙。。。。
瑞星的行为分析是和木马行为编辑器中的规则一样,只有软件同时满足2个或以上违规操作才报警?还是还是将所有病毒行为都分割放在一起,发现有这样的行为就报警
都可以
如果有个病毒的行为很新呢?既不加驱动,也不在系统目录创建文件,并且修改的注册表也是以前别的病毒没用过的,盗取资料的行为也是新的,那主防就防不住了吧……
那样没有什么软件可以防得住。。。。。。
简单介绍下:
主动防御是3层
hips
资源访问扫描
行为判断和拦截
缺点
瑞星默认规则很松
可以自定义一些行为
程序访问控制里加点项目
aaccbbdd - 2009-1-18 12:14:00
10D:default3: :default3: :default3:
你狠
丨A丨B丨C丨 - 2009-1-18 12:35:00
我的意思是假设瑞星可以判断:放驱动,挂钩子,弱自复制这3种行为,如果一种病毒的行为被行为库收走是挂钩子,放驱动,另一种病毒行为没被收走,是弱自复制,挂钩子。那瑞星主防这两的都会报吗?还是只报第一个?
newcenturymoon - 2009-1-18 13:18:00
其实这些行为 本身就是基于微软的那些API调用的 微软的那些 API就这么多 怎么着也不可能再变出来几个 所以这种行为的你不用担心 就那些~~ 除非病毒是用“意念”破坏你的系统的
© 2000 - 2025 Rising Corp. Ltd.
