【dong0022】关于入口点防御和系统修复的思考
关于入口点防御和系统修复的思考
一、入口防御:
首先防御分为前、中、后三段,所谓前端防御就是封堵病毒可能入侵的入口,如下载文件、网页挂马、搜索保护等等;中段防御
指扫描(静态特征码、启发、人工智能等),最后是主动防御(hips、行为主防等)
2011版开始发现瑞星对前段防御做的不太好,主要体现在下载保护做的不到位。到瑞星2012将云应用在扫描上,但在下载文件或程序
后依然存在较大真空段!需要手动调用杀软进行扫描。
所谓入口点防御(金山叫边界防御)、国外叫boundary security,就是将病毒可能进入计算机前的所有入口点进行检测和排查,
而这其中最重要的就是下载文件后的校验工作,也正是瑞星现在最缺少的一项入口点检查。
其实下载保护没有特别高深的技术一般就是MD5值比对,很多朋友会说加个壳或用MD5修改工具改一下就能过,但我要说的是有总是强
过没有!而且只要云端响应够快,下载保护能够直接拦截下载后30%左右的威胁。
国内两家云应用的大厂,360和金山都将入口点防御加入了防御体系,而瑞星其他几项功能如U盘防护、聊天防护等也有,但绝大多
数分配到防火墙中,杀毒和防火墙各司其职无法起到对病毒和木马有效的联动拦截效果!所以建议将U盘防护、即时通信防护、ARP防
护、网页防护还有最重要的下载保护功能整合加入全功能2012中作为入口点防御!
360云主防3.0:
金山毒霸2012的边界防御:
不管是否是噱头,入口点防御确实在实际应用中起到了前段防御应有的作用,尤其是下载保护尤为重要!瑞星2012版之前将主防作为
主打,但主防属于最后一环,就是在前段防御和中段扫描都没有发现,运行程序时最后一次保护。如果前、中两段防御体系完整,那
么给主防的压力就会小很多。
发现病毒时第一时间截获,比下载后调用扫描和运行程序让主防拦截都迅速:
二、系统修复:
关于系统修复的加入我在纵评系列(二)中提过,文章地址:http://bbs.ikaka.com/showtopic-9160239.aspx
瑞星有系统修复功能,但却集成在了卡卡安全助手上边。现在用户对杀毒软件的要求不只是限于杀毒和防御上,而且要保证系统安
全!文件安全不等于系统安全!
同一个新安装的虚拟机系统,瑞星2012扫描后无威胁:
但360和金山毒霸都能扫到系统问题:
而且这些问题确实是影响用户使用的!官方想让用户安装卡卡助手,但目前卡卡助手定位很尴尬,360卫士一骑绝尘、金山卫士也紧
随其后,卡卡的用户量已经被压缩殆尽,而且还要有工程师定期维护,所以建议将卡卡中的系统修复功能加入到杀毒中,这个建议我
和很多论坛的朋友都提过,确实有用的功能,希望官方考虑加入!
