求介绍BD的ATC原理

显示全部楼层 · 发表于 2016-10-4 16:39:59

是种什么黑科技？虚拟行为？能防捆绑吗？是不是还属于HIPS范畴。

显示全部楼层 · 发表于 2016-10-4 16:51:01

BD区有人翻译过ATC的官方白皮书

显示全部楼层 · 发表于 2016-10-4 17:19:23

大概是虛擬環境跑行爲然後打分吧
白皮書說到底也是面向用戶的具體技術內容用戶知道了也聽不懂
不能防捆綁
不是HIPS 建議好好學習下主防和HIPS的區別

显示全部楼层 · 发表于 2016-10-4 17:28:58

T.Yoshiyuki 发表于 2016-10-4 17:19
大概是虛擬環境跑行爲然後打分吧
白皮書說到底也是面向用戶的具體技術內容用戶知道了也聽不懂
不能防捆 ...

我是不明白为什么代码不就代表了行为，还用虚拟行为跑？是不是也算一种更大范围的动态启发。

显示全部楼层 · 发表于 2016-10-4 18:06:44

本人在百度百科上看觉的ATC是万物杀的几率比较大

显示全部楼层 · 发表于 2016-10-4 19:14:00

3801187 发表于 2016-10-4 18:06
本人在百度百科上看觉的ATC是万物杀的几率比较大

我也是这么想的。。。

显示全部楼层 · 发表于 2016-10-4 19:20:32

本帖最后由 fireherman 于 2016-10-4 19:38 编辑

ATC是【主动防御系统】的一种

HIPS是【主机入侵防御系统】

名字相似，但两者是不同的。

简单地说……主动防御属于动态防御（病毒、木马、程序等已加载到内存），HIPS属于静态防御（病毒、木马、程序等未加载到内存）

实例就如：

一个恶意程序，叫 abc.exe ，运行它后，它会在系统目录生成一个 123.sys 的驱动文件

主动防御：运行abc.exe后，发现它写入文件到系统目录的 123.sys 是一个病毒，于是把abc.exe“从内存里赶出来”并且删除abc.exe和123.sys。
（123.sys 出生后马上夭折，“被主动防御杀死”）

HIPS（规则）：运行abc.exe后，（HIPS定义的规则）侦测到abc.exe写文件123.sys到系统目录，且该规则并不允许abc.exe这么做，于是阻止。
（123.sys 从来没见过这个世界，“胎死腹中，HIPS让它流产”）

比喻可能很猥琐，MM免观。

显示全部楼层 · 发表于 2016-10-4 19:28:07

本帖最后由 ysj963 于 2016-10-4 19:29 编辑

fireherman 发表于 2016-10-4 19:20
ATC是【主动防御系统】的一种

HIPS是【主机入侵防御系统】

再说说原理呢，我相信能听懂。我是觉得HIPS相对更安全！

显示全部楼层 · 发表于 2016-10-4 19:31:08

ysj963 发表于 2016-10-4 19:28
再说说原理呢，我相信能听懂。我是觉得HIPS相对更安全！

编辑了回复，你在看看。

显示全部楼层 · 发表于 2016-10-4 19:33:51

fireherman 发表于 2016-10-4 19:31
编辑了回复，你在看看。

所以说主动防御到底是靠什么判断是不是病毒呢？这也太危险了。

[讨论] 求介绍BD的ATC原理