无聊没事情干，写篇《什么是主动防御，主动防御闲扯》

jack518

一般意义上的“主动防御”，就是全程监视进程的行为，一但发现“违规”行为，就通知用户，或者直接终止进程。

MingzeLuZero

pal家族 发表于 2016-9-7 08:11
没有绝对标准
=
我家？？（手动地图炮，欢迎来喷 ）的垃圾产品也是有非常不错的主防的，只是标准 ...

国内区 这2贴  连HIPS和主动防御都没搞清楚 就来长篇大论。

BHHZDQL

MingzeLuZero 发表于 2016-9-7 10:49
国内区 这2贴  连HIPS和主动防御都没搞清楚 就来长篇大论。

用户只有使用权，没有定义权
如果厂商叫他主动防御，那么他就是主动防御其实HIPS智能到一定程序，那就与传统主动防御的边界很模糊了

不可否认的是，云端HIPS
是具有中国特色的主动防御软件


就如同”资本主义“和”社会主义“的边界很模糊
”国家资本主义“就称为”具有中国特色的社会主义“一样

云端智能HIPS是符合当今安全需要，并且被几大安全厂商广泛认可的主动防御技术。

BHHZDQL

jack518 发表于 2016-9-7 09:28
一般意义上的“主动防御”，就是全程监视进程的行为，一但发现“违规”行为，就通知用户，或者直接终止进程 ...

是的，基于这个定义，那么边界其实很模糊

jefffire

坐在书桌前的我 在很多年以后 一定会想起 11年于卡饭讨论主防的那个遥远的夏天。

BHHZDQL

jefffire 发表于 2016-9-7 12:24
坐在书桌前的我 在很多年以后 一定会想起 11年于卡饭讨论主防的那个遥远的夏天。

一样的，大家都是那时候的

jack518

BHHZDQL 发表于 2016-9-7 11:52
是的，基于这个定义，那么边界其实很模糊

大部分的杀毒软件其内置的主动防御功能，通常考虑到用户易用性的问题，都是采用的智能HIPS拦截，也就是说内置一些HIPS拦截规则，智能判断未知运行的程序安全性。智能HIPS为了解决兼容性的问题，通常拦截规则都比较宽松，否则会弹出许多拦截提示，而且会造成误杀正常应用程序的问题，因此智能HIPS往往会对一些特殊的内核操作不进行拦截，这也给木马病毒留下了可供利用的空间。

BHHZDQL

jack518 发表于 2016-9-7 12:50
大部分的杀毒软件其内置的主动防御功能，通常考虑到用户易用性的问题，都是采用的智能HIPS拦截，也就是说 ...

只要有足够的白名单，一切都不是问题

jack518

有许多木马开始采用了无驱方式恢复SSDT表，例如通过修改内存、发送消息等，都可让杀毒软件的HIPS主动防御功能失效。

BHHZDQL

jack518 发表于 2016-9-7 12:53
有许多木马开始采用了无驱方式恢复SSDT表，例如通过修改内存、发送消息等，都可让杀毒软件的HIPS主动防御功 ...

要是这点都搞不定，安全软件早就被干掉了

无论是修改内存还是发送消息，都是行为，只要是行为就能拦截