杀软和HIPS的问题

显示全部楼层 · 发表于 2011-11-20 18:13:35

假如我同时安装了一款杀软（不含主防）和一款HIPS软件，例如小A和毛豆（只包括墙和D+),且这两款软件均可以识别一样本。
这时我双击这个样本，谁会先反应、会不会出现抢杀现象？
如果有这是不是冲突？那为什么那么多人都喜欢用杀软搭配HIPS？

显示全部楼层 · 发表于 2011-11-20 18:29:51

事实证明，杀软先反应，至少红豆是这样

显示全部楼层 · 发表于 2011-11-20 18:36:52

donsky829 发表于 2011-11-20 18:29
事实证明，杀软先反应，至少红豆是这样

这个比较头晕，今天折腾时突然想到的问题。
不知道双击时是杀软先扫描样本代码，还是样本产生动作被主防拦截。。

显示全部楼层 · 发表于 2011-11-20 18:38:31

liuda0331 发表于 2011-11-20 18:36
这个比较头晕，今天折腾时突然想到的问题。
不知道双击时是杀软先扫描样本代码，还是样本产生动作被主防 ...

杀软先扫描，杀掉了就没有动作了，HIPS也就没有拦截

显示全部楼层 · 发表于 2011-11-20 18:45:14

本帖最后由 brynhild.ran 于 2011-11-20 18:50 编辑

这个要看具体情况，主要就是看HIPS怎么设置了。

如果这个程序处于禁运规则内，那么就会是HIPS先起作用。你程序都不能启动，杀软根本就无法参与扫描。

如果这个程序处于禁运规则外，且HIPS没有任何云端分析来帮助。那么就是杀软先反应。双击后先过的杀软的特征一扫，程序启动请求被挂起，HIPS怎么进来？

显示全部楼层 · 发表于 2011-11-20 18:48:40

brynhild.ran 发表于 2011-11-20 18:45
理论上是杀软先反应

这个理论怎么得来的？

显示全部楼层 · 发表于 2011-11-20 18:49:20

liuda0331 发表于 2011-11-20 18:48
这个理论怎么得来的？

已经充实了

显示全部楼层 · 发表于 2011-11-20 18:52:53

理论上是杀软先报

显示全部楼层 · 发表于 2011-11-20 23:26:56

讓我試試解釋
假如點了病毒
殺軟沒報 miss > 病毒開始運行
主防發動了立即阻擋感染

显示全部楼层 · 发表于 2011-11-21 00:44:41

本帖最后由 yc513847 于 2011-11-21 00:46 编辑

所以说需要互相排除啊，有的杀软会互相报毒的，A把病毒隔离了，B会报A的隔离区，然后A又报B的隔离……最后，死机了，蓝屏了。当然，楼主说的HIPS应该没有这个问题的，看哪个监控更加灵敏了，按常理来说，HIPS和杀软互相排除之后，应该是杀软先报吧。杀软监控的话，你不双击，只是单击这个样本，杀软就会报；而HIPS如果你双击的话，会给你KILL掉。

[讨论] 杀软和HIPS的问题