动态防御规则升级及病毒免疫改进建议(都来看看）

我心约定

　建议动态防御增加以下规则.程序有以下行为之一时.动态防御及时拦截并报警
１.当有程序试图访问费尔托斯特安全或费尔个人防火墙时.
２.程序试图判定自身所在位置时
３.某程序无目的的随机访问其他程序时
４.试图探测启动项目时
５.有程序模仿其他或者系统正常程序时（包括文件名.文件路径以及进程名）
６.程序利用系统自动播放功能.自动运行时.
７.发现某程序自动播放配置文件时.


另外.关于病毒免疫.以后要逐渐向主动拦截的方向发展.并要验证相互作用的文件有没有一些共性的特征.比如文件版本.数字签名.要抛弃现在的这种文件DNA变异时才报警＂亡羊补牢＂的做法
举例
程序Ａ试图作用Ｂ程序.在开启病毒免疫的情况下可以这样报警.
程序Ａ试图访问Ｂ程序.这样可能导致Ｂ程序的DNA变异.
建议　１.如果您确定这两个程序均是正常的.可以允许他们的相互作用行为
　　　２.如果您不能确定则可以让程序验证这两个程序的一些共性特征.以确认程序的安全性

　　验证后的建议

　　１.程序验证成功.以上程序有一定的共性特征.***相同.验证被通过（但不能确定程序百分百可信.你可以信任它.也可以拒绝Ｂ程序的这种行为）
　　２.程序验证失败.以上程序没有共性特征.验证被失败（强烈建议您不要信任B程序的作用行为.如果您一定要信任B程序的行为.那么建议您做好重要的文件备份.以便在信任B程序后系统异常时尝试恢复）

[ 本帖最后由 zq127 于 2007-7-10 17:17 编辑 ]

yinxuchina

严重支持 楼主

费饭饭

楼主自学的知识？？？

samancy

Lz有几条建议不太现实!
第一条,这个作用无非就是自身保护!这个费尔杀软现在就有了!但防火墙还不具备!
第二,三条,有点太理想化了!现在的杀软还达不到那样的高度!大多是在分析程序所执行的结果上有所动作,对于程序执行的过程,如果也加以判定,那这样的杀软就太庞大了,执行起来不卡死才怪!这就像判定一个人拿刀是杀人还是切水果一样,不好说!
第四条功能好像早就有了!注册表监控就可以解决!但那只是防止有害的程序加入自动启动项中,不过如果连访问都要报警,那很多程序就无法运行了!当你勾选"阻止对可执行程序的写操作时"会发现增加许多报警!我想如果再加上这条,那就成了"听取报警声一片".
最不好的就是第五条!如果哪个杀软敢尝试这样做,我算是服了他了!会有两种结果,一种就是非常垃圾的作法,以文件名判定程序的好坏,被世人所鄙视!一种就是超豪华版,把所有的windows系统文件纳入程序管理中,且要随微软的windows各个版本更新一起更新!想都不敢想!弄不好电脑会罢工的!
6.7不好说!如果真的实现了,那一定加入了人机对话这个步骤.第六条可以在windows的组策略中实现啊!

我心约定

恩   是我自己想出来的

我心约定

理解 samancy的意思
有几条是很难实现.但是不可否认我所说的那几条都对未知病毒是有一定效果的.官方以前说过会把以后研发的重点放到对未知病的防御上..而现在各大防毒软件厂商目前所应用的主动防御是一个不太成熟的技术.病毒作者现在往往会把病毒的行为弄的和正常文件行为很接近.想以此桡过主动防御.在这个环境下主动防御只有不断的升级一些高难度的规则.以适应现在的病毒发展形式.
相信以后我上面所说的规则都会实现

    谢谢.祝好!

[ 本帖最后由 zq127 于 2007-7-10 16:54 编辑 ]

我心约定

有几个费尔现在可以实现.但效果不太好

Filseclab

感谢你的建议。不过有些策略是不太合适的(有一些原因确实是samancy所分析的)，因为正常程序也会有类似操作，这种动作不足以当作危害行为，如果那样做会造成大量的误报，甚至严重影响电脑使用。

至于防止自动播放费尔目前的病毒库中已经加入一批具有逻辑分析能力的特征指令，可以在很大程度上防止自动播放病毒使用这种方式执行。不过这方面可以在以后考虑进一步深化。至于你所说的病毒免疫改进方案其实比较象现在的“病毒感染预警”，它就是可以防止在感染前就给用户警示和阻止。而病毒免疫是在感染后的补求。比如用户电脑在感染时因为一些原因没有打开防护，而事后才开启，这时软件也需要提供补求和修复方法，两者都有各自侧重点。

不过仍然感谢你的建议，新版本中我们会在动态防御和感染预警方面做进一步增强和改进，将争取为用户电脑提供新形势下的更高安全保护。谢谢。

我心约定

哦　　谢谢朱老师　　　我明白了

费饭饭

看楼主的帖子，比较费脑子
对自我保护，费尔做的还是不够，很容易就挂了，可不可以加个服务进程，利用驱动级技术保护自己？