火绒的（单步，多步）系统加固、未知木马拦截功能简单介绍

china_killer

单步拦截：
           通常是在一个API拦截点上拿参数等特征，做简判断而实现特定限制或保护功能。这就好比在小区各个
       重要的出入口设置关卡，然后简单检查：出入的人的门卡，身份证等特征。
       
        实现的目的不同在安全软件功能上体现：
                 1.限制程序（HIPS类）功能
                 2.保护系统资源（系统加固类）功能。
                 3.内容扫描（文件监控、邮件监控等）功能。
                 4....
           
        优点：1.简单、高效就能给系统的防御能力进行比较大的提升
              2.容易发现、控制新的病毒威胁
              ...

        缺点：1.规则不合理的话弹窗过多，用户无法忍受
              2.太严的规则会导致一些正常软件的功能受到影响（比如：你阻止所有程序写方式打开物理磁盘）
              3.对使用者有一定安全知识要求
              ...
       
       典型代表：火绒系统加固,毒霸k+等

        例子：
             1.创建文件这个动作，可以通过简单参数判断来加强系统的安全性---》当有程序在所有盘的根目录下
                创建autorun.inf 文件时报警.

             2.注册表修改动作，可以通过简单参数判断来加强系统的安全性---》当有程序想修改IE首页注册表项
                时报警

             3.... 等很多。

多步拦截：
          通过多个API拦截点，汇总调用信息，综合调用者（及创建关系）进行上下文级的判断而实现的识别未知
     病毒功 能。就好比在小区N个地方都架设探头，而把这些画面汇总到监控室，自动分析判断：可疑人员做的
     N个动作所构成威胁小区内安全。

        出于实现方法的不同在安全软件功能上体现：
                1.病毒扫描引擎的（虚拟机+动态行为启发）
                2.监控类的+动态行为启发
                3...

        优点：1.相对于单步能更加精确的分析出威胁。
                 2.容易发现、控制新病毒威胁（相对于查杀方式的病毒扫描，大大提高防御能力）
                 3....

        缺点：1.较多监控点对行为分析引擎有很大的分析性能要求（监控数据巨大）
                 2.相对于文件特征扫描误报率更高.
                 3....


       典型代表：微点，火绒的未知木马拦截功能等.

        例子图：  
             通过将病毒样本拖入火绒剑，观察。你能直观的发现样本触发了监控点一共13万左右的
         事件信息，火绒盾的未知木马拦截功能将在极短的时间内通过自动分析这13万多的事件信息，
         判断出该样本的行为是否是某类病毒行为。
      
         
有安全经验的朋友，基本上通过弹窗上提示的信息，就能判断出来是否为单步或多步类拦截！

            
                 

林不过夕

学习下！！

qqq123123

板凳支持···

answer王

单步+多步 才是王道啊！

Tomin2009

什么时候出正式版？

青春虎

前排，看看官方介绍

jiang790

坐下再看

EAGLE-16號

前来学习了，火绒加油

酱紫啊~

来学习下

左手

支持火绒.支持官人...