《转》比较卡巴、微*点、360云查杀的防御思路(题目是本人加的)
一、360的5.3测试版:
方法同样适应于各类云查杀的软件吧. 公布的东西很快就会失效.
那就是修改 host 了.....
云查杀的功能和原理想必大家都知道...
对比本机文件的MD5 和 服务器的安全文件MD5相比较. 相同即报为安全.
那特征(缺点?)就是需要联网. 既然是需要联网.那就从这里去解决掉云吧. [这方法好处就是不用去日360...]
我们抓包一下.打开360的云查杀在没有开始查杀前会发现有一个域名连接信息...( 这个没注意...忘记了 ^_^ )
查杀的时候. 会连接另外一个... 那就是 qup.f.360.cn 了
只要注意一下.就会发现.下面的都是我们被检测的文件的MD5和文件名,,还有路径. 小小滴截个图出来吧.
发包的信息倒是很整齐. 明文发包.. 但受到的回传信息就是密文的了...(起码我小菜没看懂...残念)
突然不知道写什么好了.... 残念...
啊...对了... 洪流老师也是这样做的.. 我找找... 丢出一份VC修改 host 让云失效的 代码吧.
===========================我是可爱的分割线==================================
呵呵,非法字符,压缩再上传吧。(附件1)
=======================我是惹人喜欢的分割线.楼上的是我姐姐==========================
然后..这个是我仿照别人写滴...
效果一样...
呵呵,非法字符,压缩再上传吧。(附件2)
二、卡巴与微*点:
KIS2009:智能HIPS(4D)+交互HIPS(4D)+PDM+病毒库+启发+沙盘+云安全+防火墙+隐私保护+反广告+家长控制+DNA基因扫描+扫描行为分析+运行行为分析+自我保护等
注意:此贴内容不涉及谁好谁坏,仅是带领大家走入卡巴、微*点的防御体系!
微*点的智能HIPS与卡巴的智能HIPS是完全不一样的两个概念,虽然都是智能,但是其运作却大不一样。
我们来看一下微*点智能HIPS的判断机理:
1,进行白名单核对,相同不拦截,不同则进行2。
2,与病毒库特征进行对比---失败则进行3。
3,行为分析,查杀本体与衍生物,并给予提示,被过的要不没有提示,要不拦截不完全)
这也是为什么x的防御非常出色的原因(部分关键步骤已经省略)
再来看一下卡巴的立体防御体系:
1,进行病毒库、DNA库、不正常的混合壳和可疑程序核对,没有则进行2
2,扫描启发分析,虚拟机在这里进行启发分析,具体可以见到的报法为Heur.Downloader等,没有则进行3
3,扫描启发+扫描DNA启发分析,具体报法为Heur.Trojan.Generic、 Heur.Virus.Generic等,没有则进行4(1),4(2)
注:以下步骤按照自动模式下的智能HIPS(4d)分析
4(1)、核对白名单和数字签名,没有则进行5(1)
5(1)、自动分组(沙盘运行),并根据初步判断的danger index进行分析,使本体获得相应组别的权限。
6(1)、有些病毒会释放衍生物,此时,每生成一个衍生物并激发运行,都会重复前几个步骤。这里有可能会随着衍生物的行为,使本体病毒的组别发生变化,例如从低受限---->高受限
7(1)、生成的衍生物有些是可以通过1、2、3进行拦截的或者嵌入驱动等等。而有些则被过,此时进入动态行为启发分析,即与行为库中的某些病毒行为进行核对,详见的报法Behavior Similar Trojan xxxx
8(1)、如果没有则会进行整体的最后核对以及评估,包括云安全机理都会在这里进行分析。
这也就是为什么卡巴的立体防御比较难过得原因(注意,有些关键步骤已经省略!)
以上只是形象化描述,具体的比这个要复杂的多例如提升权限等等等等。
注:以下步骤按照交互模式下的智能HIPS(4d)分析
4(2)基本类似于自动模式,但是有些步骤需要人工干预,包括提升权限,联网提示等多方面提示。
卡巴立体防御成绩基本在97%-100%之间(7月抛去一天HIPS未测试)
微*点防御成绩基本在90%-100%之间(不包括个别跳水,基本很稳定)
这个数据完全可以表明,两种防御体系都可以应对最新的病毒,都是主动防御的领头羊。同样是出色的软件!
我的看法:看到没有,如果没有数字签名的话就会进行第5步,估计是木马超过某个值就会进入某个组别,我们可以在这里做文章啊,希望有人公布方法。。。。。。。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)
