对军哥发的帖子边界防御的个人猜测.[未完待续]

清幻梦沁

首先，我并没有参加内测，所有的猜测的依据仅来源于铁军的帖子(话说"铁军的帖子"读起来很拗口啊).

1.欺骗下载--其实这玩的是障眼法.
类似于xx.jpg.exe这种东西，然后程序换个图片的图标，一般的用户很少会把下图画红线的那个勾去掉(windows默认是勾上去的)PS:截图是W7,XP类似.



DEMO:



文件MD5和sha1:



点击这里下载DEMO.(warning:本程序并没有危害，但是请随便新建一个文件夹然后把文件放进去运行，后者在沙盘中运行.本程序会释放文件到程序所在目录，如果不新建个文件夹有可能会覆盖已经存在的文件.)
运行文件后效果：


对于此种手段，金山的边界防御该如何防御呢？
【1】：
1：文件下载完成后进行调用反病毒引擎进行表面特征码扫描。初步断定是否是恶意文件.
1^1：如果是*.rar   * zip等压缩文件，反病毒引擎会先解压后扫描.

2:如果是PE文件，反病毒引擎将先判断文件是否加壳，尝试脱壳，如果脱不掉就将PE文件进行高级启发式扫描.
同时云鉴定开始同步工作.

3：以上如果有哪个步骤检测出文件有问题的话，则马上隔离文件，同时给予用户相应的提示.
【2】.【3】.【4】......未完待续.话说我真的困了.睡觉去，晚安各位.

w16122

我正想问  什么  边界防御呢   感觉新奇

蝉鸣时

“边界防御”只不过是一个“噱头”罢了，实质同以前的防御体系一样。

Kukon

蝉鸣时 发表于 2011-6-23 07:51
“边界防御”只不过是一个“噱头”罢了，实质同以前的防御体系一样。

正奇说是深层次的更新

jefffire

蝉鸣时 发表于 2011-6-23 07:51
“边界防御”只不过是一个“噱头”罢了，实质同以前的防御体系一样。

除非走趋势和铁壳的路线，否则不过是换个名字而已。
入口保护理念早就有了，做这方面最明显的就是趋势和铁壳，趋势利用服务器优势以及和企业合作优势建立了web信誉系统。铁壳注重IPS防御，抵御各种网络和挂马攻击。

上网保护——》网盾
聊天保护——》下载保护
看片安全——》自动沙盒

蝉鸣时

天岛男孩 发表于 2011-6-23 09:09
正奇说是深层次的更新

所谓的“深层次更新”无非是进一步弱化本地引擎查杀，金山这样本末倒置会导致毒霸的本地查杀能力愈来愈差。
忽视掉本质的东西，其它周边功能做得再好也没有用，过分依赖“云”会受其羁绊损失更多。

hzqedison

蝉鸣时 发表于 2011-6-23 09:20
所谓的“深层次更新”无非是进一步弱化本地引擎查杀，金山这样本末倒置会毒霸的查杀能力愈来愈差。
忽视 ...

你说的 本质是什么呢？

westlife_tyz

蝉鸣时 发表于 2011-6-23 09:20
所谓的“深层次更新”无非是进一步弱化本地引擎查杀，金山这样本末倒置会导致毒霸的本地查杀能力愈来愈差 ...

我要的是毒霸的兼容性好，云查杀强，搭配诺顿很安静超智能的主防和墙，完美了。

蝉鸣时

hzqedison 发表于 2011-6-23 09:22
你说的 本质是什么呢？

本地引擎查杀。
我相信每款杀毒软件（普通）最核心（本质）的无非就是上面六个字了。
毒霸引入“云”很好，但不能过分依赖（除非毒霸想变为Cloud Antivirus）。
引入“云”要考虑其风险，比如“云”服务器出问题怎么办（当然我知道官人肯定想到了）。
毒霸在越做越小、越做越轻巧的同时本地引擎查杀也受到了一定程度的损失，个人认为没有必要一味地求“小”求“轻”，现在计算机硬件升级那么快，大部分用户的计算机已经不会因安装一款杀毒软件而变得如同“龟速”了。
另外，毒霸可以在启发式扫描、主动防御上做些文章，我相信这样才会使毒霸更“全面”。

（以上纯属个人拙见）

seehere

边界防御  其实就是概念明确化。让人更容易理解。
就象5楼说的，网盾、下载保护、U盘保护、沙盒等就是边界防御。