主动防御建议
先贴一段
费尔第二代动态防御开发历时 4 年,代码量超过40万行,是费尔最复杂的系统之一,它基本实现一个小型的子系统来模拟和追踪 Windows 的运作过程。
主要技术亮点
首先用一个比喻来描述新版动态防御的特色:一个小偷伪装成客人到家里偷东西,等巡查员认定它不是客人而是贼时随即将其拿下,可是家里却已经被翻乱了,要恢复原样就比较困难。第二代动态防御系统不仅可以抓住贼,同时能让家里恢复如初,并且有能力更早更准确的识别伪装更好的贼,包括当前流行的白加黑木马。主要特点如下:
1. 精确的对象级深度追踪。
2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等。
智能黑盒
费尔智能黑盒类似于飞机的黑匣子,它会对电脑中的每个程序单位行为进行精准而细致的记录,它不仅可以追踪程序的文件、注册表访问,还包括线程、内存,对象的操作等等。而且它的最小追踪单位可以精确到 CPU 的执行片断,以及事件的每一个参与者。比如:一个系统服务线程在这个时间段为正常程序 A 服务,而下一个时间段被病毒 B 嫁接并为其服务,此时发生的破坏行为仍然会被准确定位到 B 而不波及整个服务线程。再如:当发生一个删除文件的事件,此时被追踪的不仅仅是删除此文件的进程,还包括参与此次行动的所有模块以及内存,甚至包括父进程、父线程都会被一并追踪。正是这一全新的追踪架构可以准确定位目前让主防头痛的白加黑木马。
另外,虚拟黑盒具备持久记忆功能,不会随电脑的重启而归零,即使重启电脑目标程序曾经发生的行为仍然会被持续的记录在案,这样当遇到一种把自己的行为故意打散、分时段来组合完成的潜伏威胁时仍可以准确侦测,从而有能力处理多步式或延时发作的后门、木马,并对其进行彻底的清除和回滚。
行为分析系统
采用复杂的逻辑规则及综合分析系统,对智能黑盒记录的行为进行分析并自动判定是否有害,即“记忆式多步智能主防”。
精准回滚
对有害程序产生的行为实施精准全面的回滚还原。它会对有害程序直接产生的行为以及嫁接到别的程序上间接产生的行为进行还原,而同时不会波及到正常程序。比如:病毒对 Explorer 进行了 HOOK,回滚可以将 HOOK 还原并在不结束 Explorer 的情况下让其保持干净的继续正常工作。
另外,被病毒修改或删除的文件也能够被完美还原,这包括被感染型病毒感染的文件。智能黑盒在追踪程序行为时会对文件、注册表、内存、对象所有发生的修改性动作进行实时备份,并且采用大量的先进算法确保对系统影响不可感知。黑盒也特别对感染性病毒的动作进行了细腻追踪,能够准确判断出感染行为对原始文件的破坏程度,这样即使遇到感染性病毒仍然可以对曾经的破坏进行完美回滚复原。
批处理/脚本行为防御
目前传统的主动防御技术对于恶意批处理/脚本还存在防御上的缺陷,很难对这类威胁进行有效行为跟踪,费尔动态防御2在这方面获得了突破性成果,它可以对批处理、恶意脚本进行完整的行为监控,发现威胁动作后立即切断并回滚复原。
好了,看见了吧,
1.瑞星主动防御发现未知木马的回滚措施不仅仅是回滚文件和注册表,还应该有HOOK、内存的改写、对象的修改等
2.对批处理,脚本的行为防御:在瑞星2011中,执行format命令,瑞星木马防御会报未知木马,但是现在的V16就不行.
3.与查杀引擎联动:木马防御不能仅仅体现在行为防御上,而应该与扫描引擎联动,当扫描引擎判定该程序本身以及它所加载的东西为恶意程序时,瑞星木马防御可直接报未知木马,从而提高防御的成功率,这种解决方案可以应对白加黑(当程序加载黑dll时,木马防御即可报未知木马)
4.关于白加黑,引用的文章中有介绍
5.要能完美还原被修改或删除的文件也,文章中有所介绍
用户系统信息:Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)