1   1  /  1  页   跳转

[建议] 我心目中的主防模样

我心目中的主防模样

添加  程序控制  如下图


 附件: 您所在的用户组无法下载或查看附件






瑞星这个 控制 就很好  ,直接 移植到  新版 主防中  就好




直接 砍掉  系统加固




只用 这一个  控制 程序 就 OK 了




防御策略 就是 若检测到程序运行 ,自动为此程序创建控制规则




就像 防火墙 一样  ,  自动为签名和云鉴定程序  放行,控制规则全部放行!





 附件: 您所在的用户组无法下载或查看附件





若 没有 签名和未通过鉴定 的程序 运行 ,也自动为此程序创建 控制规则




在这里 ,控制规则 可以这样设定


若 文件类  注册表类  以及 程序类 规则 共有 15个


若程序是安全的 ,就 创建规则 ,并全部放行


若 程序是 未知的,就创建规则,视情况放行



对于未知的程序,文件和注册表 我就不多说了,只强调一点,严格控制驱动加载


若试图加载驱动就拦截询问


再加上 控制此程序运行,若是未知的,询问用户 是否运行此程序


这样 ,拦截弹窗 会 减少, 用户体验好了,关键是安全性 比 现在的策略好


卡巴的 策略就是 没有 签名和未经过鉴定的程序运行,会直接拦截询问用户


并创建规则


卡巴的运行策略就是


1、未知程序运行    拦截询问用户?


2、若用户放行        控制并创建规则


3、引擎检测并评估危险级别,引擎自动分析30秒!


若无法分析 威胁强度,直接 为此程序创建5条规则(低威胁组)(若总共有15条的话)


4、若威胁性低,创建5条规则(若总共有15条的话)(自动创建的)


5、若威胁高,创建15规则(自动创建的)


6、所有的 创建规则,生效并拦截询问


例子:


5条规则       低威胁组


10条规则    高威胁组


15条规则  →  黑名单组






另附  费尔 行为分析 评分机制




14.费尔动态防御评分机制是什么?
答:针对卡饭动态防御测试结果的质疑可以放心,卡饭测试时的命名规则是不会触发动态防御的名称规则的,也就是说测试结果是没有问题的,用户可以自己下载并改名测试。具体原因是费尔动态防御的名称规则通常是在实际病毒测试过程中,病毒发作后实际生成的一些奇怪的、有规律性的、而且出现率比较高的文件名称,比如非常出名的 svch0st.exe,iexpl0re.exe,以及对个别病毒有针对性的文件名称,比如:k23449222.sys 就是一个病毒常常生成的文件,它有 k+8个数字的规律。这些规律都是根据实际的病毒总结出来的,而不是随意制定的,所以卡饭的文件名:081212-1-4.exe 这种格式并不会触发它的文件名规则。另外根据动态防御评分级别可以判断是否有文件名参与评分,动态防御显示的格式类似 47.13008900,可以从小数点后面倒数第三位的数字来判断,如果这个数是 1,3,5,7,9,b或d表示有名称参与评分,否则表示没有名称参与评分,这个例子倒数第三位是9,所以有名子参与评分。名称参与评分也是一个复杂的过程,比如像 svch0st.exe,iexpl0re.exe这种很明显的伪装就会被加上很高的分数,而对于 k23449222.sys 就往往还需要配合其他条件,比如它运行在 C:\Windows\System32 目录下就会加上很高的分数,而运行在非系统目录就会加上较低的分数。根据我们实际测试结果,病毒往往随机生成一些无规律纯数字文件名或16进制数字文件名,所以对于数字文件名往往会被增加一些分数,当然这存在一定的误报风险,所以都会辅助其它条件加减分后综合判断。总之,这些规则都是根据实际测试病毒时总结出来的。经我们实际测试,此方法确实是行之有效的,可以及时发现并阻止特定种类病毒衍生出来的新的变种,当然这个技术只是用来针对某些特定种类的病毒,对于没有这些规律的病毒还需要依靠动态防御的其它技术来判定。其它技术主要还包括线程插入,DLL注入,自我隐藏进程,自我隐藏目录,加壳等几十种判定技术,牵扯到技术机密就不一一列举。





用户系统信息:Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.66 Safari/537.36 LBBROWSER
最后编辑shulun743 最后编辑于 2014-02-16 21:09:22
君素雅达,必不致令我徒劳往返也
分享到:
gototop
 

回复:我心目中的主防模样

砍掉  系统加固(FD RD )仅保留网络防火墙ND和应用程序控制AD这还是主防吗求科普
最后编辑50hzq 最后编辑于 2014-02-03 22:58:11
gototop
 

回复 2F 50hzq 的帖子

程序控制 ,你可能不是很了解

如上图那个控制 ,你没用过?

那个控制 包含了 ad  rd  fd
君素雅达,必不致令我徒劳往返也
gototop
 

回复:我心目中的主防模样

建议已收集。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT