这个测试结果有水分吧？几大热门套装全部挂了，买套装还有意义吗？

DouglasXO

brynhild.ran 发表于 2011-11-16 11:50
反入侵、反泄漏

防火墙、主防、行为防护的领域

嗯~好吧我没把话说清楚，其实早个好几年我就知道这个测试了，那时有个叫中网s3的HIPS很不错，现在没了~其实我的意思是，这个测试就是个综合的防火墙穿透测试，而且他说的是The products are configured to their highest usable security settings and tested with this configuration only，一般用户谁会把防火墙开到最高呀，一般都是用默认设置的，基本拿不到这个分数~所以这个测试最多只能说明套装性能的一部分而不是全部~对吧~最后祝你早日摆脱综合征

ZJUER

bluelaser 发表于 2011-11-16 11:37
多步和单步的最根本区别是什么？不说清楚这点，没法讨论。
没有标准就下的判断，只能是诛心之论。

多步指的是对行为进行追踪，最后依据具体的行为组合看看这些行为组合起来是什么目的，如果符合恶意软件的目的，就予以拦截、回滚等，如果不是，无论操作多敏感，都不会触发任何反应……

单步指的是对每一个可能的攻击点进行针对性拦截，单步的最大特点就是规则的易维护性……你所说的本身就属于单步防护，全局禁运就是对程序加载这一步操作予以拦截，之后再依据规则对每一步操作进行拦截或放行，而整套防御系统并没有办法在无人工干预的情况下区分某个程序到底是可信或不可信，Comodo至今也没有一个有效的多步防御体系，依然是靠单步的规则性拦截在做支持，无论是他的PD还是防火墙都是如此……

ZJUER

绅博周幸 发表于 2011-11-16 14:11
感谢解答，不过BD的AVC防御经过多个版本的改进现在已经不可同日而语，现在还需要改进的主要是回滚功能以及 ...

BD现在稳定性太惨了……不敢轻易用……我的系统如果出问题重装，IDE和虚拟机就得装半天，还得配置半天各种GNU Compiler……维护成本太大……

sdzpmzj

反泄漏能力的一个测试

就当我是上帝

还是要看具体的测试方法才行

bluelaser

ZJUER 发表于 2011-11-16 19:15
多步指的是对行为进行追踪，最后依据具体的行为组合看看这些行为组合起来是什么目的，如果符合恶意软件的 ...

你所谓的多步，也是程序对每个点都拦截断点作标记，依据内建规则来进行判断，而其中的每一步，其实和单步没什么区别，只不过单步是依赖使用者的知识手动进行判断，拦截或放行，而多步是依据程序内建规则进行判断，拦截或放行。两者的实现方法并没什么任何本质的不同。
现阶段所谓的单步，难点在于恶意程序调用正常程序进行的恶意动作，如果你在毛豆里选择了记住此动作，那么接下来可能系统就开不了机了——系统程序被拦截了。所以这个时候要把“记住此动作”的选项暂时关掉。但是如果对于一些继承规则做得比较好的HIPS，guest权限的进程调用系统进程仍然是guest权限，例如毛豆的沙盘限制模式，那就根本不是个问题。
相对的，多步也有做死了无法灵活应对的困难。遇到新形式的攻击类型，多步智能判断的可能就直接漏过了。而这时只有手动单步拦截的能够起作用。你见过用多步判断的HIPS去分析病毒木马的动作吗？