高手来辩论吧：毛豆或OP的墙+主防在实际防御中根本没有优势？

JillPal

bluelaser 发表于 2011-11-16 13:31
实际上，我倒是认为单步比多步强，因为多步往往是做死了的，单步可以任意发挥，为什么这个区里这么多人抱 ...

也许我的理解不够吧，我总觉得无论单步多步，进行正确地“判断”都不太容易，相比较沙盘的限制功能可能开发者更容易构筑而使用者也更容易掌握。

JillPal

a256886572008 发表于 2011-11-16 13:39
我說一下，那張圖是，雲查殺彈框，報 CloudBehavior.Suspicious@1

這個就是雲端多步分析的結果。

哦，这个是云端的功能，是否是因为在本地多步判断不易实现或是存在某些大的局限性？所以放到了云端？

柯林

a256886572008 发表于 2011-11-16 13:28
誰說 comodo 沒多步判斷的？

多步判断说的是——多步行为综合判断，不是每个行为都弹窗，譬如：
A、发生以下行为报毒
1、写入system32 忽略
2、写入system32的东东运行 忽略
3、写入system32的东东运行后访问系统内核 标记
4、写入system32的东东运行后装载一个全局钩子 标记
5、写入system32的东东运行后写入危险注册表项 标记
6、挂起程序
7、依据4+5+6的标记，弹出报毒窗口——“发现一个未知病毒”

B、发生以下行为时报毒
1、程序在IE浏览器缓存运行 标记
2、运行在IE浏览器的程序没有合法签名 标记
3、该程序写入txt文件到系统目录 忽略
4、该程序创建一个bat文件 忽略
5、该程序启动bat程序 忽略
6、该bat要格式化磁盘 标记并中断
7、弹出警告窗口——“发现未知病毒，高危险级别，建议结束病毒进程并删除所有相关文件，同意否？”

诸如此类，不是每触犯一条规则就报警。目前的毛豆应该做不到，貌似现在只有微点一家可以做到类似的功能。

a256886572008

JillPal 发表于 2011-11-16 13:49
哦，这个是云端的功能，是否是因为在本地多步判断不易实现或是存在某些大的局限性？所以放到了云端？

是的，不過，官方說 V6 beta 才會出"本地"的BB，要等到明年1月了。

a256886572008

柯林 发表于 2011-11-16 13:49
多步判断说的是——多步行为综合判断，不是每个行为都弹窗，譬如：
A、发生以下行为报毒
1、写入system ...

微點已經不是多步了，寫磁盤會單獨彈框。

要說真的本地多步，只剩下 GDATA BB 了。

-----------------
那個，你寫的"標記"，那時候 安軟是  阻止  還是  允許？

紫涵

a256886572008 发表于 2011-11-16 13:51
是的，不過，官方說 V6 beta 才會出"本地"的BB，要等到明年1月了。

那会不会也加入监控所有注册表，COM，文件的功能？
而不用每次装了毛豆，都要手动设置一翻。
并且防火墙也要智能一些，对沙盘内程序访问网络不要看程序规则中是否有要连网的程序。

mxf147

多步判断应该是类型微点那样，在程序执行后，综合多步结果来判断程序行为，最后给出结论

柯林

bluelaser 发表于 2011-11-16 13:28
单步多步基本上可以说清楚，只是凭什么说单步不如多步呢？多步的每一步和单步有什么区别？在这里刨去使 ...

拦截上面，不存在单步不如多步的问题，只是从智能性上讲，多步判断比较容易实现人工智能。

紫涵

柯林 发表于 2011-11-16 13:49
多步判断说的是——多步行为综合判断，不是每个行为都弹窗，譬如：
A、发生以下行为报毒
1、写入system ...

那不是也需要沙盘，不然这些都在实机运行？

a256886572008

紫涵 发表于 2011-11-16 13:53
那会不会也加入监控所有注册表，COM，文件的功能？
而不用每次装了毛豆，都要手动设置一翻。
并且防火 ...

V6 的自動入沙，要換回 V4 那種  重定向了。