我心目中的主防模样
添加 程序控制 如下图
附件:
您所在的用户组无法下载或查看附件瑞星这个 控制 就很好 ,直接
移植到 新版 主防中 就好
直接
砍掉 系统加固
只用 这一个
控制 程序 就 OK 了
防御策略 就是 若检测到程序运行 ,自动为此
程序创建控制规则
就像 防火墙 一样 , 自动为签名和云鉴定程序 放行,控制规则全部放行!
附件:
您所在的用户组无法下载或查看附件若 没有 签名和未通过鉴定 的程序 运行 ,也自动为此程序创建 控制规则
在这里 ,控制规则 可以这样设定
若 文件类 注册表类 以及 程序类 规则 共有 15个
若程序是安全的 ,就 创建规则 ,并全部放行
若 程序是 未知的,就创建规则,视情况放行
对于未知的程序,文件和注册表 我就不多说了,只强调一点,严格控制驱动加载
若试图加载驱动就拦截询问
再加上 控制此程序运行,若是未知的,询问用户 是否运行此程序
这样 ,拦截弹窗 会 减少, 用户体验好了,关键是安全性 比 现在的策略好
卡巴的 策略就是 没有 签名和未经过鉴定的程序运行,会直接拦截询问用户
并创建规则
卡巴的运行策略就是 :
1、未知程序运行 → 拦截询问用户?
2、若用户放行 → 控制并创建规则
3、引擎检测并评估危险级别,引擎自动分析30秒!
若无法分析 威胁强度,直接 为此程序创建5条规则(低威胁组)(若总共有15条的话)
4、若威胁性低,创建5条规则(若总共有15条的话)(自动创建的)
5、若威胁高,创建15规则(自动创建的)
6、所有的 创建规则,生效并拦截询问
例子:
5条规则 → 低威胁组
10条规则 → 高威胁组
15条规则 → 黑名单组
另附 费尔 行为分析 评分机制
14.费尔动态防御评分机制是什么?
答:针对卡饭动态防御测试结果的质疑可以放心,卡饭测试时的命名规则是不会触发动态防御的名称规则的,也就是说测试结果是没有问题的,用户可以自己下载并改名测试。具体原因是费尔动态防御的名称规则通常是在实际病毒测试过程中,病毒发作后实际生成的一些奇怪的、有规律性的、而且出现率比较高的文件名称,比如非常出名的 svch0st.exe,iexpl0re.exe,以及对个别病毒有针对性的文件名称,比如:k23449222.sys 就是一个病毒常常生成的文件,它有 k+8个数字的规律。这些规律都是根据实际的病毒总结出来的,而不是随意制定的,所以卡饭的文件名:081212-1-4.exe 这种格式并不会触发它的文件名规则。另外根据动态防御评分级别可以判断是否有文件名参与评分,动态防御显示的格式类似 47.13008900,可以从小数点后面倒数第三位的数字来判断,如果这个数是 1,3,5,7,9,b或d表示有名称参与评分,否则表示没有名称参与评分,这个例子倒数第三位是9,所以有名子参与评分。名称参与评分也是一个复杂的过程,比如像 svch0st.exe,iexpl0re.exe这种很明显的伪装就会被加上很高的分数,而对于 k23449222.sys 就往往还需要配合其他条件,比如它运行在 C:\Windows\System32 目录下就会加上很高的分数,而运行在非系统目录就会加上较低的分数。根据我们实际测试结果,病毒往往随机生成一些无规律纯数字文件名或16进制数字文件名,所以对于数字文件名往往会被增加一些分数,当然这存在一定的误报风险,所以都会辅助其它条件加减分后综合判断。总之,这些规则都是根据实际测试病毒时总结出来的。经我们实际测试,此方法确实是行之有效的,可以及时发现并阻止特定种类病毒衍生出来的新的变种,当然这个技术只是用来针对某些特定种类的病毒,对于没有这些规律的病毒还需要依靠动态防御的其它技术来判定。其它技术主要还包括线程插入,DLL注入,自我隐藏进程,自我隐藏目录,加壳等几十种判定技术,牵扯到技术机密就不一一列举。
用户系统信息:Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.66 Safari/537.36 LBBROWSER
