1   1  /  1  页   跳转

改进主防和病毒处理机制

改进主防和病毒处理机制

1、首先保证系统不会异常断网,连接云安全等服务绕过hosts。
2、加强自保
3、接下来就是重点了:


众所周知,Windows 10 中 Windows Defender 的病毒处理速度不是一般的慢,为什么呢?
如果仅仅是采用“删除”的方式,瞬间即可搞定,根本不要那么长时间,但是WD和MSE的病毒处理速度一直非常慢非常慢,有时候几个病毒就要处理半小时。


这是因为WD在处理病毒的时候不会只对病毒本体进行处理。当实时监控或主动防御发现病毒时,WD会首先将可疑进程挂起,然后从平时的监控记录中、系统中取得该病毒对系统进行的更改,然后进行撤销。这也就是为什么WD处理完活体病毒之后,系统仍然安然无恙,衍生物被清除。
WD中内置有很多可疑行为的监控点,叫做Behavior Signature,一旦有进程触发这些“信号”,WD就会监视该进程的全部操作并将该进程的操作上传到MAPS,等云端分析结果下来之后,确认是恶意软件,直接删除相应的衍生物、回滚其注册表,并且将分析结果加入下一个版本的本地病毒库中。而且重要的是,WD的记录不会随着系统关闭而被清除。有时候你今天运行了一个病毒没被发现,但是WD觉得可疑,于是上传到MAPS分析,到了第二天当你打开电脑的时候,突然发现WD提示在处理病毒,到日志里面一看,处理很多衍生物和注册表,这便是Behavior Monitor的强大之处。因为分析不是在本机完成的,而是将所有的信息逐步发送到云端,由云端进行分析,所以即使本地杀毒软件程序崩溃或退出了,等到下一次启动的时候,就能收到云端发回的数据和指令,干掉病毒。


当然,在定义这些Behavior Signature的时候,分了很多等级,如果等级为“严重”,WD会不等待云端分析结果直接干掉病毒。


这样有个好处,就是不但干掉了病毒,还撤销了病毒对系统的更改,对系统没有任何影响。
这就是个例子:

可以看到,不但杀了母体、进程还修复了注册表异常。
还有一个例子:


触发了各种可疑规则:




动态行为分析杀掉病毒:



详见:http://bbs.kafan.cn/thread-1858205-1-1.html


建议瑞星可以用此技术改进自身主防。在这里不得不说win10上WD的防御能力现在真的越来越强大,完全弥补了查杀的劣势,上网习惯良好的话单奔WD完全是可以的。

用户系统信息:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.10240
分享到:
gototop
 

回复:改进主防和病毒处理机制

对于病毒的影响所进行的后期的全程修复是件很难的事,对于国产安全软件来说。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:改进主防和病毒处理机制

建议已反馈。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT