小红伞的朋友们来说说

xyzcjcz

红伞 江苏高校移动CMCC  更新没问题……

ccboxes

daixiaoran 发表于 2016-6-11 21:59
使用APC开始时单一的由APC保护的PC，坐落在世界任何地方，访问一个无法识别的文件。发生这种情况时，用 ...

你的知识有不少错误。

使用APC开始时单一的由APC保护的PC，坐落在世界任何地方，访问一个无法识别的文件。发生这种情况时，用户会收到警报然后APC自动采取行动。
在未知的（不可疑，只是无法识别的）文件被访问后仅仅几秒，此安全性不确定的文件的“指纹”即时上传给APC。一旦收到文件的指纹进行比较已经存储在APC的数以百万计的安全和不安全的文件定义。如果该文件对应于被称为是安全之前确认的文件，进程被批准，用户即可正常的访问该文件

这一部分就是简单的信誉云拉黑。

然而，如果文件不能被识别，则APC将请求用户上传的完整文件进行全面的分析。扫描结束后，如果该文件全被发现包含恶意软件，APC将立即隔离，并把它定义为“恶意”。 APC的完成这个过程在几秒钟的事（当然，如果文件被感染，用户也将收到警报）

而这个看起来高大上，其实就是把普通安软云发现新文件-->上传分析-->反馈的自动化过程添加了一个手工入口，存在感变得比较强了而已。

主防的定义是，在某一可执行文件被执行后，在该文件被执行的过程中，对其行为进行实时的启发分析，一旦文件行为符合启发特征库中的定义，则结束其运行。目前的红伞不存在任何执行后保护，APC的一系列动作都发生在文件实际执行前，所以红伞没有主防，包括所谓云主防。

当然APC对红伞能力的提升是显而易见的。

caliban

不管换什么杀软，都用COMODO防火墙。

诸葛亮

ccboxes 发表于 2016-6-12 15:07
你的知识有不少错误。

这一部分就是简单的信誉云拉黑。

信誉云拉黑。。。。。。反馈的自动化。。。你真的了解apc吗？虽然你说的APC也有，但是APC绝不仅仅是这些功能。‘
还有，“主防”是谁定义的？有明确定义？

星云劫

诸葛亮 发表于 2016-6-13 10:24
信誉云拉黑。。。。。。反馈的自动化。。。你真的了解apc吗？虽然你说的APC也有，但是APC绝不仅仅是这 ...

经常看到有人提出红伞的APC会在云端跑行为，不过如果新的未知文件是一个比较庞大的文件时不知道红伞是如何分析的。

诸葛亮

星云劫 发表于 2016-6-13 12:04
经常看到有人提出红伞的APC会在云端跑行为，不过如果新的未知文件是一个比较庞大的文件时不知道红伞是如 ...

有多庞大？假如lol安装包是未知的，你说是上传整个安装包方便？还是等到安装包把可疑文件释放出来再上传方便？具体怎么样官方没有交代过。
不过我遇到过安装显卡更新时，APC只是把其中的几个dll上传了。

ccboxes

诸葛亮 发表于 2016-6-13 12:30
有多庞大？假如lol安装包是未知的，你说是上传整个安装包方便？还是等到安装包把可疑文件释放出来再上传 ...

然而这就是事实，，从云安全这个概念提出到现在也已经六七年了，技术已经走向成熟，云端目前能做的事情就这些——信誉服务与自动分析，不信可以自己去翻红伞的官方说明，人家也没提什么玄而又玄的云主防。
至于主动防御的定义，无论在各大安软的白皮书中，还是正经的安全博客，“Active Defense”或者“Active Protection”的定义都是相似的（仅限Windows领域），既然你有自己的理解，不妨说出来，大家讨论就是了。

aaa839

诸葛亮 发表于 2016-6-13 12:30
有多庞大？假如lol安装包是未知的，你说是上传整个安装包方便？还是等到安装包把可疑文件释放出来再上传 ...

APC有Local decider決定幾時應上傳幾時不需要上傳
曾上傳的檔案會存入本地快取,所以不會再次上傳

Avira並不包括行為監控(即使是ProActiv,也不算)也不算持續監控系統程式的行為
當然嚴格爭辯的話監控一樣可以做到持續監測(只要病毒依然被執行時,剛好即時防護發現並結束相關處理程序)
APC不單是啟發雲(啟發只是APC其中一個Engine),也不是雲主防
apc是多項技術結合而成,單抽一項而定義沒有意思

也不知道谁

难道所有的手段不都是为了防住攻击吗？一个手段能做到别人两个手段才能保证的事情，这怎么还是应该担心的事情了