云主防与本地主防真的是一步之遥吗？

asdx145288

275751198 发表于 2017-5-26 10:36
国内杀毒软件没有锁死文件夹，我和360工作人员谈过，他觉得这方法太低级，是投机取巧。（锁死文件夹，然 ...

难道没有和360谈过，让他们多做几条本地主防规则？庞大的数据库，应该可以开发出适合我们的主防吧

erui

275751198 发表于 2017-5-26 10:36
国内杀毒软件没有锁死文件夹，我和360工作人员谈过，他觉得这方法太低级，是投机取巧。（锁死文件夹，然 ...

说的是，金山毒霸和电脑管家现在就使用的文档保护功能。
看来还是得先考虑在断网的情况下，怎么保护用户的重要文档为好。
有什么好的方法呢？

abc277399

欧阳宣 发表于 2017-5-25 12:40
我在想估计编写和维护主防规则比无脑拉黑难得多，不然数字早这么做了

你的估计错了！由于你用了维护主防规则这样的的语句，我就不和你讨论了！！

asdx145288

abc277399 发表于 2017-5-26 11:34
你的估计错了！由于你用了维护主防规则这样的的语句，我就不和你讨论了！！

你说的维护主防规则，是云主防还是本地主防，不吹不黑，客观的说一下呗，可以多介绍一下吗？

jefffire

欧阳宣 发表于 2017-5-25 11:40
最近对这方面的想法也有了改变，以前觉得主防和扫描杀是两回事，现在觉得其实都一样

无非都是根据某种特 ...

确实是这样的。但是主防的自身特点决定了，要设计一种避开行为特征的路径，需要花费的精力时间比特征码要多。
反过来，如果出现了一种穿透主防的威胁，这种威胁属于框架内穿透那还好办，修改增加规则或者直接扔进机器学习一番就行了。如果是框架外穿透，比如说一些API根本没拦截点这种。那就麻烦了，写代码测试一个流程下来，新威胁又出现了。

一般而言，高水平的黑客都是先分析安全软件的引擎，主防架构，分析完了以后想怎么穿就怎么穿。

erui

让HIPS监视受保护文件夹的一切修改操作是唯一绝对有效的防勒索方法。

asdx145288

jefffire 发表于 2017-5-26 12:07
确实是这样的。但是主防的自身特点决定了，要设计一种避开行为特征的路径，需要花费的精力时间比特征码要 ...

任何主防都有漏洞，但是如果这个软件主防很成熟了的话，黑客在花费大量的精力去学习了解这个软件，他们会变的得不偿失，也就不想再攻克了，有哪些知识还不如直接入职呢。归根到底还是投入与回报的比值，当黑客花费大量的精力过了某个主防时候，他的样本被云拉黑，行为被加到主防规则中之时，收益越少，他还会在做吗？

欧阳宣

jefffire 发表于 2017-5-26 12:07
确实是这样的。但是主防的自身特点决定了，要设计一种避开行为特征的路径，需要花费的精力时间比特征码要 ...

那这么说来为了躲避反向解构引擎，云化成了必须了？

jefffire

asdx145288 发表于 2017-5-26 13:54
任何主防都有漏洞，但是如果这个软件主防很成熟了的话，黑客在花费大量的精力去学习了解这个软件，他们会 ...

入职哪有搞入侵赚钱 笑。百万年薪能有几个？ 搞入侵可以赚千万。

jefffire

欧阳宣 发表于 2017-5-26 16:24
那这么说来为了躲避反向解构引擎，云化成了必须了？

云只对框架内穿透有些效果。毕竟本地再简化，基本架构还得有。 除非连系统都是云的 本地就一显示器。