360云主防科普 - 360云主防的过去、现在和未来 - 连载完成

BHHZDQL

悟心之道 发表于 2011-10-1 14:26
小白与否只是相对的，我也是小白，不也玩了？

你对于天朝大多人来说已经不算小白了

xiaofeizei

后排跟进学习

dl123100

支持下。针对1.0，提几点：
1、360主防、相关的驱动稳定性确实不错，云查杀也还行，但是急救箱相关驱动只能说一般。
2、Stuxnet的Parent Inject，也就是最近百锐宣传的某突破大量hips病毒使用的方法，虽然很常见了，但即使发布过Process Parent Inject Test的Comodo也是最近修复了某规则问题才能正确防御。
3、在内核拦截解析RPC拦截服务操作，之前国内只有微点利用ethread的MessageId做一点记录，还不支持Vista以后的系统。国外DefenseWall那时应该已经有拦截了，只是作为sandbox不需要那么提示。后来腾讯、金山学着加入了相关的拦截，也有很多人学着做这块的拦截。不过估计很多人只是照着360驱动里的解析配合自己调试多拦截几次找点规律就算完事了，不会从SCM操作发起跟踪到后面的marshal、unmarshal。
4、金山毒霸的断网保护中相对特殊的，目前只看到针对IOCTL_IP_SET_ADDRESS、IOCTL_IP_ADD_NTE、IOCTL_IP_DELETE_NTE和DhcpReleaseParameters做了拦截。

myzuzong

一万年没看到这类文章了，楼主科普辛苦，支持一个。
比起云主防2.0 3.0 或是 8.0，我更期望传说中的最强64位主防，现在的不尽如人意啊。甚至传说中最强的粉碎机360filesmasher在64位下经常不能强行干掉文件啊。看来在内部实现上32和64有很大不同。
p.s.有一点比较好奇，64位严格保护下，不能修改内核，是如何拦截系统服务调用的呢。我想的话，作为亿级产品，肯定不会采用绕过保护手段的方式吧。曾经听说过采用“对象劫持”手段，具体是什么意思也不知。好奇。。。

Tron

dl123100 发表于 2011-10-1 14:34
支持下。针对1.0，提几点：
1、360主防、相关的驱动稳定性确实不错，云查杀也还行，但是急救箱相关驱动只能 ...

1.实时的防御系统需要在亿万用户系统上每时每刻运行，当然对稳定性、性能要求都是非常苛刻的，急救箱则是类似专杀的产品，用户量少，也只在系统出问题急救时才运行一下，相对要求较低了

2.父进程注入 这玩意从09年360自我保护重构开始，基本上没见到过做的比360好的，在360重构当时能做到这种强度的抗父进程注入的貌似没有，10年360主防加入AD也是复用了这个技术。

3.RPC的dw只是皮毛而已，它的判断太不准确了。marshal , unmarshal这玩意很头疼，尤其是XP SP2-SP3还有变化，在printer injection拦截里360有处理这玩意，不过RPC处理这边最强的还是新的360BOX，应该目前还没有安全软件厂商掌握这些技术
确实国内很多人学着做拦截，不过逆向只能偷走皮毛，偷不走真正的技术

4.某山断网保护基本上是个笑话了。。

Lance6716

原来多段攻击转化为单段攻击进行判断有这个好处...
留名

jefffire

Tron 发表于 2011-10-1 14:18
关于行为云，这个我后面也会讲到，不是行为统计分析这么滞后的，另外行为分析统计更多是后台了，我这篇 ...

后台的行为统计我知道。但是问题在于客户端目前缺乏非高危行为的统计分析，也就是所谓“智能”。后台行为统计是需要量的，滞后性太高，而且最终反馈到客户端，还是要借助哈希或特征码之类的。

Tron

jefffire 发表于 2011-10-1 14:46
后台的行为统计我知道。但是问题在于客户端目前缺乏非高危行为的统计分析，也就是所谓“智能”。后台行 ...

不一定需要量，这点2.0的第一个新玩意能解决这个问题，主要看系统会不会注意到它（不一定是完全看量），如果注意到它，它的传播范围即使相对较小（例如每小时10次以下）也跑不了。

反馈到客户端的手段就多种多样了，另外哈希或特征码也问题不大呀？

cyk553312

好久没有看到原创了，学习，顺便观看讨论。
另外360和金山还真是一对冤家。

LisaLan

3.0神马时候能来啊