【新增微点】10大杀软本地主防测试—对抗勒索软件【参测杀软中含无本地主防的杀软】

小小瞻

jefffire 发表于 2017-1-5 20:41
恰恰相反。面对最新木马病毒，本地的一切（特征码 启发 主防）不能说是形同虚设的，至少是应对无力吧。 ...

   恰恰相反。最新的病毒，各大安全厂商没有特征码（同时假设启发也无法检测到），安全软件厂商的云里也没有这个病毒信誉的信息，这时候安全厂商怎么办？
      第一，将云里没有信誉的文件全部拦截吗？这会造成极大的误报。或者学 Emsisoft 那样，没有云的时候HIPS模块疯狂弹窗，把判断程序是不是病毒的责任又交给了用户。
     第二，给自己的杀软增加主防模块（已经有主防模块的就升级强化自己的主防）。最新的病毒对于安全厂商来说才是未知的（云里有信息的算最新的病毒吗？我认为不算），主防才能抵御这种未知病毒。
      当然，对于不是最新病毒的第一个受害者，假设是第二个，第三个，这时候由于这个这个最新病毒已经传播了一段时间，安全软件厂商即使没有特征码，但是它的云里可能已经有这个病毒的信息了，所以第二个和第三个用户的杀软就根据云里的信息（信誉差或者危险）拦截这个病毒。这样看来，云的作用也很重要。But，我的这个测试只为了模拟自己是第一个受害者时，杀软能不能保护我，所以云没有用。

jefffire

小小瞻 发表于 2017-1-5 21:11
恰恰相反。最新的病毒，各大安全厂商没有提取特征码（同时假设启发也无法检测到），安全软件厂商的 ...

你这个假定的漏洞在于，为什么这个最新病毒 能绕过启发和特征码检测 却单单不能绕过主防？黑产从业者都是无法免杀主防的低能力者么？

小小瞻

jefffire 发表于 2017-1-5 21:16
你这个假定的漏洞在于，为什么这个最新病毒 能绕过启发和特征码检测 却单单不能绕过主防？黑产从业者都 ...

      我在上文中有说过主防可以抵御所有的病毒吗？没有吧。即使综合一个杀软所有的防御体系（特征码、启发、云、主防等等），最强的杀软也不可能做到100%抵御。
      我在上文中是说主防的极其重要性，但没有说它是无敌的。如果你认为我是这么想的，那么我也可以根据你前文中的话，得到这个结论：你认为病毒可以绕过主防却单单不能绕过云。但我不是你，因为我知道你肯定不是这么想的。

houtiancheng

jefffire 发表于 2017-1-5 21:16
你这个假定的漏洞在于，为什么这个最新病毒 能绕过启发和特征码检测 却单单不能绕过主防？黑产从业者都 ...

因为我和lz的测试思路相似，所以我也加入一下讨论。
根据你的结论，以及云不能保护第一个受害者的结论，也就是说你认为第一波受害者是无法避免的吗？

jefffire

小小瞻 发表于 2017-1-5 21:29
我在上文中有说过主防可以抵御所有的病毒吗？没有吧。即使综合一个杀软所有的防御体系（特征码、启 ...

根据你说的“第一受害者” 推出主防比云重要。这一点我没理解没错吧。
而“第一受害者”的依据就是你的假设“最新病毒 能绕过启发和特征码检测 不能绕过主防”这也没错吧。

所以我就想让你从黑产从业者的角度思考，问问你这个假设是否符合实际。这和无敌不无敌有什么关系呢？

jefffire

houtiancheng 发表于 2017-1-5 21:38
因为我和lz的测试思路相似，所以我也加入一下讨论。
根据你的结论，以及云不能保护第一个受害者的结论， ...

是的。严格意义上是无法避免的，只能做最大限度缓解。

目前看来 云比本地主防的缓解能力强。
首先是，云可以把信誉未知的文件直接禁止。例如，赛门铁克和微软都是采取了类似措施，这就是白名单策略。禁止的同时可以上传云端分析，无威胁后解禁，响应时间可以达到分钟级，所以误报并没有想象中的那么大。

其次，云可以通过黑客难以修改和掌控的部分来分析一个文件。一般而言，代码层面的东西都是黑客可以修改的，包括二进制特征，行为特征等等。但是一个文件的传播特性就不是那么容易掌握。比如说，不打补丁的电脑和经常使用外（）挂的电脑容易感染木马病毒，那么这类电脑上出现的新文件威胁就高。

最后，云端的分析机制处于幕后，黑客难以彻底分析，逆向。

小小瞻

jefffire 发表于 2017-1-5 21:43
根据你说的“第一受害者” 推出主防比云重要。这一点我没理解没错吧。
而“第一受害者”的依据就是你的 ...

      你的这个问题问的很好，为什么我会认为最新病毒可以绕过特征码和启发却不容易绕过主防？在回答这个问题之前，我想跟大家说一下我对于主防的理解。我的理解和刘旭的理解是一样的：主动防御技术通过对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库，动态监视所运行程序调用各种应用程序编程接口（API）的动作，将程序的一系列动作通过逻辑关系分析组成有意义的行为，再综合应用病毒识别规则知识，实现自动判定病毒。主动防御技术也必须要实现对程序的性质做出明确判定，是病毒，就应明确报警并提示用户发现病毒。如果只是对程序的单一动作报警，由用户自己判断这个动作是否具有威胁，就不是主动防御。这里所说的程序动作，是指反病毒软件监控到程序调用了Windows提供的某个API。API是Windows为程序开发提供的功能，正常程序可以使用，病毒也可以使用，也就是说API本身并没有善恶之分。如果仅仅依据程序的一个动作就报警，那么普通的用户实在难以判断这个动作究竟是否有害，更会感到无所适从，这显然不是广大计算机用户所需要的反病毒技术。   
    【来源：http://shop.micropoint.com.cn/product/index.htm】            
      在你同意上述关于主防的定义后，我们就谈谈最新的病毒为什么可以绕过特征码和启发却不容易绕过主防？
      第一，特征码扫描技术依赖于从病毒体中提取的特征值，未获得病毒体就无法取得特征值。其技术原理决定了特征码扫描技术只能识别已知病毒，不能防范最新病毒。
      第二，启发分为静态启发和动态启发。至于为什么它比主防更容易被过，首先，对于静态启发，杀毒引擎不可能彻底解析出程序要执行的命令，只能解析出一部分不知正确与否的命令用以比对，可以被加花指令等方式绕过。其次，动态启发的原理是在可疑程序实机运行前，先在一个隔离的虚拟环境中运行程序几十或几百毫秒，从而获得程序在这一小段时间内的准确行为，将其与启发特征库作比较，优点是能识别不少利用无关指令（例如上面的加花）混淆真正行为的病毒，最致命的缺点是——只要在真正的有害行为前加入几秒钟的延时就可绕过。【参考来源：http://bbs.kafan.cn/thread-2059441-1-1.html】
       但是主防就不同了，主防是在病毒真正运行起来时才运作的，这时候病毒的所有行为都会表现出来（而不是动态启发过程中的一小部分行为），主防就可以根据这些行为来判断该程序是不是病毒。其实说到底，什么是病毒？一个程序的行为有害于用户，那么这个程序就是病毒，所以判断一个程序是不是病毒的最本质的标准是行为。故综上所述，相比根据代码来识别的特征码技术、静态启发技术以及根据一小段时间内的行为来识别的动态启发技术，根据程序较长时间内的行为来识别的主动防御技术更加不容易被过。当然，具有主防的杀软的主防水平有好有坏，有高有低。      
     （题外话：我的这个测试和AV-C官方对于启发/行为拦截测试的目的相同，所以我的这次测试不需要所有人的赞同，我只需要理解此次测试意义的人的赞同就可以了。）

pppsky

感觉费尔还不错，感谢测试

小小瞻

根据你说的“第一受害者” 推出主防比云重要。这一点我没理解没错吧。

这句话是你对我说的。



按照上图中的话，你认为云比主防强。这一点我没理解错吧。
下面的图片是AV-C官方对于云的看法，我是赞同的。不过你不需要赞同，我是拿来给其他会员看的。@jefffire

小小瞻

linzh 发表于 2017-1-5 10:52
话不能这么说啊
虽说主防和HIPS之间一直存在争议，但我偏向理解为“主防”和“HIPS”是两个完全 ...

Emsisoft的这个模块确实是HIPS而不是主防，英雄所见略同。