趋势云安全响应速度的探讨

显示全部楼层 · 发表于 2010-9-14 16:45:08

本帖最后由不一定于 2010.9.14 16:51 编辑

素材来源于：

http://bbs.kafan.cn/thread-791029-1-1.html
http://bbs.kafan.cn/thread-790902-1-1.html

此楼主深受这个病毒的折磨，可谓痛不欲生。

经过网友用mse测试得出病毒名字http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=790902&pid=14645667&fromuid=403291 Exploit:Win32/ShellCode.gen.B!

其实从微软的命名可以看出，此病毒属于利用系统漏洞传播网页挂马的流行方式。
这时候自然而然想到了趋势的防御。
让我们来粗浅的分析一下吧。。。
把样本下载到本地，趋势2011开始报毒为：
C:\Documents and Settings\桌面\病毒.Flash8-chs\[网页三剑客8.0官方简体中文正式版].Flash8-chs.exe,Cryp_Odra,威胁,已移除

还好，趋势可杀，去趋势的百科搜寻Cryp_Odra，得出以下结果：
http://about-threats.trendmicro.com/ArchiveMalware.aspx?language=tw&name=CRYP_ODRA
通过以上链接，我们可以直观地发现，趋势发现此威胁的日期为9月1日。
Description created: Sep. 1, 2010 5:34:02 AM GMT -0800

至于病毒库入库时间这个没条件去查询，由此，话题出来了。

由于这个是利用系统漏洞形式的网页挂马行为。这样就会区分出杀软的响应速度问题。

理论上传统的特征码是病毒出现---分析---推送病毒库更新。如果不能发现威胁，或无人上报，或上报处理速度慢。这样会有一批用户遭殃。包括本话题中的楼主。如果主防再一般的，几乎这台电脑就残废了。不知道可以不可以这样说，基于特征码的安软如果特征码杀不到致命性的病毒，这台电脑就危险了。这是杀的作用。

理论上趋势的云安全会利用多种协议的关联主动去搜索这种漏洞形式的疫情并加以阻止。理论上在病毒爆发之前予以拦截，因为此毒传播途径无非是利用IE，趋势的web信誉首先就会在没有本地可杀此毒的特征码的情况下予以拦截。邮件信誉也应该会。不知道可以不可以这样说，如果趋势的云安全关联没有主动的探测到这类致命性病毒，电脑会死的更惨。这是防的作用。

不知道可不可以这样说，无论是趋势所说的防，还是其他的杀，最终比得就是一个响应速度的问题？

很久之前一直讨论的网页保护问题，今天似乎也有答案了，无论是基于特征码的，还是基于云安全的，是不是都存在一个响应问题？AVG貌似说过这么样类似的一句话：90%的威胁来自于网页。

日常生活中，不主动的试探病毒情况下，什么样的安软能让我们在高危病毒爆发期放心？我想经过以上的论证，不是那些平时高查杀的，也不是那些神乎其神的云安全的。唯一能保证我们安全的，就是那些响应速度快的。技术层次非常高的厂商。

所谓响应速度，并不是部分用户中毒了，再去响应，也不是用户扫一遍毒之后的响应。那些没什么实际作用。真正意义上的响应速度是主动的嗅探响应。在威胁来到用户电脑之前的响应。

说来说去，最终符合要求的又绕到趋势的云安全了。要是9月2日我能自己发现这个病毒，对趋势云安全的疑问一切都解决了。目前，只能说趋势的云安全较超前，实际作用没看到，云，摸不到。所以没感受到。

说了一堆废话，最后的宗旨也就这句话：我们的安全，寄托于厂家的响应速度。趋势，你做到没有呢？

后语：这帖子鼓捣半天，最后主题命名也比较费劲。目前这类话题讨论较少，很多人都在看查杀率，包括我自己也在犯病。本主题意义在于讨论什么样的安全厂商能保护我们的安全，捎带着对趋势响应的疑问而生。如果趋势真的做到了广告中所说的那样，那么，我们真的相对太安全了。
自己看了一遍，也觉得这帖子层次感不清，表述很多地方不明，但主旨还是能突出的。呵呵。。。欢迎大家探讨。。。

显示全部楼层 · 发表于 2010-9-14 17:29:58

看不懂

显示全部楼层 · 发表于 2010-9-14 17:37:32

个人感觉对于新病毒，响应速度好提高，短期加大投入就行

但是数据库是靠积累的，不是一朝一夕的事情

趋势的云，暂时应该不具备优势

显示全部楼层 · 发表于 2010-9-14 18:04:17

反正我自认为趋势的网页防护是最变态的，所以我用它

显示全部楼层 · 发表于 2010-9-14 18:36:50

回复 3楼 eie 的帖子

个人感觉对于新病毒，响应速度好提高，短期加大投入就行
---问题是我们需要一个长久的机制的问题。短期任何事情都说明不了。
但是数据库是靠积累的，不是一朝一夕的事情
---未来的趋势，应该会抛弃库的。而不是积累。
趋势的云，暂时应该不具备优势
---这才是问题的关键。

显示全部楼层 · 发表于 2010-9-14 18:37:57

回复 4楼 yaofang1989 的帖子

他的网页保护是基于web信誉，但web信誉也是几层关联的。而且是在云端，所以，太变态了。

显示全部楼层 · 发表于 2010-9-14 21:04:57

对于此类利用漏洞的还是微软自家的MSE好些。

显示全部楼层 · 发表于 2010-9-14 21:39:17

楼主的观念说到我心坎上了…但是也会遇到直接传给你个新的下载链接什么的，u盘慢说起，这个时候就得靠特征码了，或者云扫描，而趋势就是这方面软肋啊。
话说啥是web信誉几层关联？不太明白…

显示全部楼层 · 发表于 2010-9-14 22:22:22

趋势网页方面防护够，但是病毒查杀上不行

显示全部楼层 · 发表于 2010-9-14 22:27:19

回复 1楼 不一定 的帖子
趋势是靠web信誉，AVG是靠web漏洞。
趋势web信誉阻断的网页是无法继续浏览的，除非自己冒险打开；
而AVG是靠web漏洞，当检测到网页威胁时直接阻断，但是不影响浏览网页。
所以，个人认为AVG的方式更加高明一些，比web信誉响应更加有效。

[讨论] 趋势云安全响应速度的探讨

评分

评分