楼主: yjwfdc
收起左侧

[讨论] 关于主动和被动

  [复制链接]
kmelon
发表于 2011-6-11 17:03:38 | 显示全部楼层
其实黑白名单是效率最高的……
poach55
发表于 2011-6-11 17:24:31 | 显示全部楼层
很形象,好懂
智琛
发表于 2011-6-11 19:02:21 | 显示全部楼层
这个飘,那个
不解释,才是木压力
查理弗朗西斯
发表于 2011-6-11 19:18:38 | 显示全部楼层
比喻得好,不过没怎么看懂
帅就是帅
发表于 2011-6-11 21:32:30 | 显示全部楼层
LZ给链接来看,但其实忽略了一个问题:
主动和被动不是指发现malware是主动还是被动,而是识别一个样本是否malware的能力是主动还是被动。
有点绕口。
LZ所举例子,已经确认了是敌人,做个围墙等着敌人上门那不是被防。
yjwfdc
头像被屏蔽
 楼主| 发表于 2011-6-12 00:05:11 | 显示全部楼层
帅就是帅 发表于 2011-6-11 21:32
LZ给链接来看,但其实忽略了一个问题:
主动和被动不是指发现malware是主动还是被动,而是识别一个样本是否 ...

你意思是不做围墙,等敌人来一个抓一个更主动吧?
帅就是帅
发表于 2011-6-12 01:08:00 | 显示全部楼层
yjwfdc 发表于 2011-6-12 00:05
你意思是不做围墙,等敌人来一个抓一个更主动吧?

人们总是习惯用比喻的方法,让事物更加形象和贴切,但却忽略了基本应用前提,可能会导致一些混淆。
如果按照这个比喻,那么更适合扫描与监控的关系。
即使没有“主防”和“被防”,仅以特征码来说,扫描就是“主动”发现敌人,监控中样本行为触发特征算是“一堵围墙”来“被动”的狙击敌人,显然,这里和主动防御无关。
所以我提出,概念要清晰:
主防和被防不是指发现敌人是主动还是被动,而是识别是否是敌人是主动还是被动(在不讨论特殊情况下,简化条件,能查就能杀的基础上)
故,综上,在我看来,不是hook几个ssdt,拦截几个行为就是主防,而启发才是,从广义上来说,广谱基因也算。
3256459
发表于 2011-6-12 01:44:10 | 显示全部楼层
说的挺好的
yjwfdc
头像被屏蔽
 楼主| 发表于 2011-6-12 11:48:26 | 显示全部楼层
帅就是帅 发表于 2011-6-12 01:08
人们总是习惯用比喻的方法,让事物更加形象和贴切,但却忽略了基本应用前提,可能会导致一些混淆。
如果 ...

在敌人还未到来时,我们已经做好了准备,无论敌人怎么来,都会被拦住,只要我不放他进来,我就是安全的,这算主动防御。

如果在敌人到来时,才拿相片去对比,相片中没有的敌人就放进来,这个敌人做了坏事后,又多做一个相片,用来对比,这算被动防御。

而启发,就改为不用相片对比了,用身高来对比吧,只要身高一样就抓,所以有时会抓错人。
zmzcy
发表于 2011-6-12 13:42:36 | 显示全部楼层
很形象的比喻 哈哈
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 00:30 , Processed in 0.097624 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表