K+ 2.0 揭秘 （一）：进程行为基因分析系统

hndksss

郑伟用户 发表于 2011-10-14 18:48
你是说360的下载保镖吗？

你们能不能别那么敏感
怎么一说金山就是360，一说360就是金山。。
说实话，看的是效果。。等待验证就知道了不是吗

fanorange

一有宣传，对方就来搞基……砖家又不多，不知道的就被对方蒙蔽，两边只好一起搞基……基情四射……无聊诶！

fanorange

hndksss 发表于 2011-10-14 20:29
你们能不能别那么敏感
怎么一说金山就是360，一说360就是金山。。
说实话，看的是效果。。等待验 ...

只看宣传，金山2.0就是有一点加强，那个下载保镖可就纯吵概念了，哪个过去没有？所以你说概念，就一定还想到360了……

hndksss

fanorange 发表于 2011-10-14 20:47
只看宣传，金山2.0就是有一点加强，那个下载保镖可就纯吵概念了，哪个过去没有？所以你说概念，就一定还想 ...

不一定是概念把。
起码原来下载前地址检测只在安全浏览器里面有。分析下载连接这个哪里是概念了

dl123100

行文不是很流畅，好不容易读完了。
这里提到了进程行为基因分析，K+希望通过收集跨进程的一些行为，作为标记、定位风险源头及关联的依据，就目前的K+来说是比较难完成的。
1、文中强调的比较多的是通过脚本程序、注入、常规方式启动进程等方式进行“行为基因传递”，而对通过IPC（Inter-Process Communication，进程间通信）方式实现的传递除了创建服务没怎么涉及（当然WMI等方式启动进程本身用到了IPC）。事实上，K+直接针对IPC相关的防御也只限于服务操作、EndTask、ExitWindowsEx（关机、注销等）等少数。对TDSS的打印机驱动注入这样的IPC行为只是通过拦截注册表做了防御，提示中并没有体现发起进程。不在拦截IPC上下功夫，就无法达到收集记录常见“行为基因传递”的效果。相比之下，不提360的产品，国外的DefenseWall、sandboxie在此处下了很多功夫。
2、文中举了进程注入的例子，而实际上，毒霸2012 SP1对已知进程注入方式拦截得并不全面，可以导致很多遗漏。另外，实际K+环境下允许注入关键进程后，已经应该很难保证后续毒霸保护体系的完整性。提到“毒霸监控每个进程危险行为”，实际K+驱动拦截点还很不全面。
3、K+驱动通过hook、注册系统回调函数、挂接系统设备进行监控，在处理函数中会记录发起进程的一些信息，作为进程行为传递收集分析的一部分。实际上，相关驱动kisknl多次出现因记录管理相关进程信息函数bug而导致的对应记录数据的损坏，导致系统崩溃。至今这些处理函数内部的频繁查找、记录，仍然可以轻易产生竞争现象（Race Condition），导致系统崩溃。

qwe12301

dl123100 发表于 2011-10-14 21:01
行文不是很流畅，好不容易读完了。
这里提到了进程行为基因分析，K+希望通过收集跨进程的一些行为，作为标 ...

了解了一些情况

xiaofeizei

55楼才是看点

xp-AntiSpy

maomao110 发表于 2011-10-14 19:15
原来那上面的两个人  是双方杀软的官方代表

你才知道啊

cyk553312

jefffire 发表于 2011-10-14 18:03
管你什么东西。还是先把卡饭样本全部拦截再说其他吧。

全部拦截太难了吧
不求拦截全部样本，只求不要动不动就被脚本之类的过了。

wrb116

看了55楼才开始学到的点东西……