从0DAY到防御，谈论一下现代防漏杀

里奥

这篇文章是本人所写，灵感则来源于之前在国外看过的一篇关于系统快照的讨论


0DAY攻击，可以说是现在黑客攻击的主要手段，在全球范围内大约占据了80%的攻击。
这种攻击就是针对还没被发现，有一定高危险性漏洞的攻击
据称全球有60%的漏洞都属于0DAY漏洞，也就是没有被官方发现的高危漏洞。

安全软件就是为了保证用户电脑安全的，所以几乎用上了可以用的所有方案，而且还在不断创新中
从实时监控，到主动防御，再到云技术，都是为了减小0DAY攻击
不过这些都有一些弊端
病毒库就是一个问题，因为至今没有任何杀软能做到100%查杀
而0.0000001%次没有被查杀，就有可能导致电脑中毒，这也就是一个最大的弊端。各位杀软综合症安装多款杀软的目的也是为了保证查杀率，减小漏网之鱼。而云技术也是为了最快的获悉病毒。但是现在的病毒可不会给你2扫的时间。
至于主动防御对我们来说只有两种选择，一防御，二放过。
至于是否是真正的病毒不得而知
因为包含高危代码的正常软件，在全世界也不少。

在3DXXX上映以后，带有恶意代码、链接的视频开始传播，这就出现了一个矛盾点，想看又怕中毒，而杀软只有两种选择，看就会中毒，看完后还得杀毒，要么不看。
所以金山毒霸的沙盘工具就有了作用。虽然沙盘用于杀软，金山不是首创，挪威的norman的成名工具就是沙盘。

虚拟化可以说是当今电脑界的一个重点。因为虚拟化是现在解决0DAY攻击的一个不错趋势，有着很多的优越性，只要降低使用门槛，大多数用户还是会选择这样的方案。

在国外，我曾经看过一个方案，就是防火墙+虚拟化技术（沙盘或还原技术）+权限的安全模式。因为这些是所有病毒都无法跳过，而且提高安全性同时降低了用户使用难度，这套方案也是很多系统自身就已经具备了的。以windows 为例,这些都具备，只是调试起来有些麻烦。
而这些都是现代安全软件需要加强的，而本人推荐就是用还。原系统来保证系统干净，沙盘来使用高危软件，防火墙来防御病毒、木马发起的外联，也起到提示作用




p.s，这个文章就是和大家一起讨论一下虚拟化技术对安全使用，有不同意见我们可以共同探讨

maomao110

先回复   再慢慢看  向里奥学习

里奥

maomao110 发表于 2011-6-29 17:04
先回复   再慢慢看  向里奥学习

只是讨论而已

maomao110

里奥 发表于 2011-6-29 17:05
只是讨论而已

写的很有道理哦     我也这么看的  不过我对黑客攻击的具体操作不是很懂   呵呵   反正正常上网  一个杀软就够了   配合卫士定期清理检查 一般没问题   加一个还原系统就可以了
那个沙盘   我这个人懒   所以没装

里奥

maomao110 发表于 2011-6-29 17:07
写的很有道理哦     我也这么看的  不过我对黑客攻击的具体操作不是很懂   呵呵   反正正常上网  一个杀软 ...

其实沙盘的作用就是弥补还原系统不够灵活的
杀软都可以不用，推荐方案，comodo时光机+防火墙，这样就有了沙盘，权限管理，防火墙，还原系统、主防

maomao110

还有就是   金山云鉴定是下文件后鉴定 不管鉴定是否失败   最起码   如果正常上网  而网站被挂马  或者有恶意软件   那么  如果过金山的话     那就惨了   你说的很对  中毒了   是不会给你二扫的机会的    那个二扫就相当于病毒入库了    但是对于中毒的人来说  已经晚了

maomao110

里奥 发表于 2011-6-29 17:10
其实沙盘的作用就是弥补还原系统不够灵活的
杀软都可以不用，推荐方案，comodo时光机+防火墙，这样就有了 ...

你牛X    我对电脑这些东西说实话     一点兴趣都没有   你看   我以前还比较来比较去的    现在就这样   装个放那边      无为而治

里奥

maomao110 发表于 2011-6-29 17:12
你牛X    我对电脑这些东西说实话     一点兴趣都没有   你看   我以前还比较来比较去的    现在就这样   ...

我反正用linux，不怕这些攻击

maomao110

里奥 发表于 2011-6-29 17:15
我反正用linux，不怕这些攻击

我刚才发帖子的 不好意思  回晚了

毛豆小新

何必虚拟化，sandboxie用过一段时间，发现把快播放进去有点卡，特别是把文件从沙盘拷贝出来的时候容易卡死，用类似Real-time Defender Smart和DefenseWall类的权限限制不更好，其实comodo内置的沙盘也不错，防火墙什么就不懂了，会用的防火墙就两个瑞星和风云，因为全智能不需要自己定制规则，我只要知道那些程序能够允许联网就行了，现在comodo和瑞星的主防都不错，但是还是单步hips的意思，如果像lz所说加入虚拟化和权限限制什么就更有意思了，里奥不是用Linux了吗？对这个还有兴趣？