将来新病毒会以什么方法饶过主动防御系统？(2)

我心约定

这几天我一直在想一个问题　将来病毒会以什么方法饶过主动防御系统？今天终于有答案了
下面简要的和大家说说
一个病毒要想饶过主动防御系统就必须首先表现一些和正常文件接近的一些行为.并在第一时间让主动防御系统所捕获.（这里说的这种行为是一些危害几乎为０而又能被主动防御系统所识别的行为）
一旦主动防御系统拦截后会立即反馈给用户.因为病毒原来一开始执行的一些行为是一些危害几乎为０的行为.用户根本无法察觉到这种行为对系统的伤害.再这种情况下.用户只要想把这个程序完整的执行完.并不让主动防御系统再频繁的报警这个程序（一般的用户都会比较反感主动防御系统频繁报警）.一般会将这个程序完整的添加到主动防御的信任列表.如果这样的话.这个病毒程序就不在受主动防御系统监视了.换句话说也就饶过了主动防御系统！
　这种思路有一些　　欲擒故纵　的思想 不知道大家是不是赞同？

　　谢谢.祝好！

官方的回信如下
你好，

的确有这样的情况存在，但这仍然非常稀少，因为这种方式首先无法保障每次都能被信任，其次目前并不是每个杀毒软件都有动态防御系统，所以现在的病毒还没有把动态防御太放在眼里，他们很少专门研究绕过动态防御的方法。但相信98版和以后版本一定有非常多杀毒软件都会加入动态防御功能，到时候肯定也会引起病毒的新一轮的升级，又会上演一次精彩的技术大战。当然我们会努力跟进的。

谢谢

朱雁辉

费饭饭

[:26:] 楼主真是的，呵呵，
欣赏你的探索和思考精神！！！

cbz107

赞一个

[ 本帖最后由 cbz107 于 2007-7-17 16:35 编辑 ]

baidu9833

楼主的"官方"是哪儿?

我心约定

是朱雁辉老师给我回的信

cbz107

原帖由 zq127 于 2007-7-17 17:03 发表
是朱雁辉老师给我回的信

朱雁辉,朱雁冰就是费尔软件的制作者……

zzm3145

98版是什么？

gdmdhxq

原帖由 zzm3145 于 2007-7-17 18:19 发表
98版是什么？

我也想知道

walkingmu

如果是“正版”的病毒用户，那么绕过主动防御还是有可能的
毕竟修改源代码而达到行为隐藏是比较方便的
就连HIPS也不能捕获所有的ROOTKIT

费饭饭

原帖由 walkingmu 于 2007-7-20 13:17 发表
如果是“正版”的病毒用户，那么绕过主动防御还是有可能的
毕竟修改源代码而达到行为隐藏是比较方便的
就连HIPS也不能捕获所有的ROOTKIT

什么意思?