【原创】HIPS或杀软结合还原系统是未来的发展方向??
E盾4.0测试版发布,在改进中第一条就是写明加入了沙盒系统,这是否意
味着这是今后杀毒软件的一个方向??我治不了你我还不能还原么?在以前相当长的一段
时间,网吧安装还原精灵或者还原卡保证机器的正常运行,此外没有什么特殊的防护,后
来出现了某些穿透还原的病毒,但也只是小范围的,技术低一点的,利用BUG删除还原精灵
,技术高一点的直接利用驱动穿透,在那时驱动技术还不成熟的情况下,这种情况并没有
完全传播,如同熊猫烧香一样,机器狗应运而生,这只小狗肆虐了各个个人用户的电脑,
各个网吧的电脑,用户们发现,原来可以抵挡熊猫烧香,可以还原木马的什么还原卡,冰
点还原,影子系统等等已经不可靠了,单纯依靠还原系统已经无法挡住来势汹汹的机器狗
,用户面对机器狗下载的大量木马往往以只能跟以前一样重装系统,完全是个无奈的选择
。其实很多高手指出,只要挡住机器狗的关键驱动释放就能挡住机器狗完全进驻系统,所
以有些用户想到了还原系统+杀毒软件或者HIPS,但是在这种防御下,想单纯用还原系统来
减轻系统资源的占用就没有多大的意义,用户在还原系统下还是担心是否安全,Returnil
的新版本为了对抗类似机器狗的技术,加入HIPS的某些功能,看似非常强大,但是否会经
受住考验还是一个未知。杀软或HIPS结合还原系统是否是一个方向依然值得讨论,首先,
从侧重上来说,还原系统已经可以过滤大部分病毒,那么是否应该侧重于杀软对内核驱动
的检测及其对木马的警示(对于还原系统,木马一样可以泄露用户信息)还是应侧重于还
原系统,杀软只是一个辅助的工具,减小其系统占用。对于HIPS上述的不完全实用,也许
对于有经验的用户,还原功能只是一个鸡肋。其次,从易用性上考虑,用户是否会习惯在
杀软的保护下还要进行较为繁琐的数据转储也是一个问题,单单只是一个信任目录或者自
行转储就是一个漏洞,所以加入杀软也许还是真有必要。暂时想到这么多,欢迎砖拍。
[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TheWorld)
