行为防御有人来细说下吗？

ysj963

BD的atc和诺顿的sonar还有其他套装的行为防御原理有什么差距吗？
ESCAN的ATC也是BD的吗，comodo的运行为又是个什么玩意？跟ATC一样吗？

aiqinghe

想知道为什么我这段文字总是发不上去，总是提醒有不良信息？ 我没发现什么不良信息啊。。。。只能截图发了

ccboxes

所谓行为防御就两大块启发式和主动防御，我认为纯手动的HIPS（comodo的HIPS模块）应该算作安全工具，不应该算作安软。
先讲启发。启发分静态动态。
静态启发，就是安软的引擎通过简单的反编译读取程序指令来“预测”程序是否有恶意行为，在这个过程中程序是不运行的，实际上这是模拟了工程师分析病毒的过程，典型的就是ESET的启发引擎，需要说明的是，ESET的高级启发式并不是新技术，只是针对常用高级编程语言编写的程序优化过的反编译器，能更快，更准确的读出程序指令。这项技术已经很成熟了，检测率也很好，但也有不少绕过方式（花指令）。
动态启发，就是安软通过建立一个隔离的虚拟环境预先运行要扫描的程序几十毫秒。通过监控程序最初的几条或几十条指令来判断程序是否可疑（正常程序通常都会先调用图形API绘制界面等，但病毒通常直接开始写磁盘，注入其他进程）这项技术缺点很大，不仅占用大、误报严重、检测率还低（因为只要在病毒中加一个延时等100~200ms之后再运行恶意指令就可以完美避过），一般作为预判断手段（既先通过动态启发确认一个可疑程度来调整进行静态启发时引擎的敏感度），虽然各大安软的引擎基本都具备这个功能，但基本没有存在感。我认为这种技术可以看作主动防御的前身。
接着是主动防御，主动防御可以看作是有启发能力的HIPS，与启发式的的不同在于，拥有主动防御的安软可以在程序正常运行（不隔离）的情况下不间断地监视程序的行为，发现与启发特征库匹配的程序操作便终止该进程（ATC有些特殊它采用根据行为打分的方式来判断，超出一定分数便会终止），有不少安软的主防模块（SONAR，IDP，SW）还会在程序运行时记录下程序执行过的指令，发现其为恶意程序并终止后便按照记录逐一撤销程序的操作，这就是回滚能力。主防既有像静态启发一样检测未知病毒的能力，又很难被花指令所蒙骗（毕竟静态启发只能对程序进行简单的反编译不能读出程序中所有指令），但主防既要求安软能在程序运行过程中拦截程序的指令，又要在确认为恶意程序后有足够权限将其终止，实现难度要相比启发式要难得多，也不稳定的多。对于未知威胁，主动防御是目前最有效的手段。


PS：顺便说说HIPS，HIPS就是主机入侵防御系统的英文缩写，分注册表防护（RD，文件防护（FD），应用程序防护（AD）三块，在程序运行时拦截程序所有的行为并弹窗报告用户是否放行，一般可以通过预先设定规则来减少弹窗，增加易用性。实质上是一种把系统控制权完全交给用户的安全工具。其效果完全取决于使用者的技术水平，大神用这个可以裸奔毒网，小白用这个只能徒增烦恼。

欧阳宣

ccboxes 发表于 2016-3-8 09:57
所谓行为防御就两大块启发式和主动防御，我认为纯手动的HIPS（comodo的HIPS模块）应该算作安全工具，不应该 ...

静态启发因为不需要运行程序，所以不能叫主动防御。

ccboxes

欧阳宣 发表于 2016-3-8 10:22
静态启发因为不需要运行程序，所以不能叫主动防御。

我分开了啊。。。。。。。。只是都算行为防御而已啊。
拜托看完。

欧阳宣

ccboxes 发表于 2016-3-8 10:24
我分开了啊。。。。。。。。只是都算行为防御而已啊。
拜托看完。

也不能叫行为防御，.vir都不执行能有什么行为，静态启发和楼主想问的压根没关系。

ysj963

高人啊。。。ESET的智能HIPS算个什么，又是智能的又是HIPS 拦截率有多高？

ccboxes

欧阳宣 发表于 2016-3-8 10:26
也不能叫行为防御，.vir都不执行能有什么行为，静态启发和楼主想问的压根没关系。

这就牵扯到定义上了。
实际上启发式、主动防御、HIPS都是有明确定义的。但是就我所知，行为防御并没有太严格的定义，我认为静态启发实际上是算作行为防御的，因为通过反编译，安软可以在不运行的情况下获知程序的行为，其特征码也是如此而来。至于扩展名则根本不是阻碍，每种文件的数据格式都是不同的，仅仅改变扩展名并不能阻止安软识别出程序本身。

ccboxes

ysj963 发表于 2016-3-8 11:02
高人啊。。。ESET的智能HIPS算个什么，又是智能的又是HIPS 拦截率有多高？

所谓智能HIPS跟卡巴的应用程序控制一样，就是根据云端白名单数据识别程序并创建相应的规则以减少弹窗，就是自动预设规则的HIPS。可惜然并卵，ESET的云评级无论是样本数量还是响应速度都完全赶不上卡巴，智能模式下基本等于没开。。。。。。。。。。。。

ysj963

那么问题来了  ESET的智能HIPS 能赶的上360安全卫士的吗？为什么把自保合成到HIPS里面，我怕冲突啊。。。