一直不是太懂，主防和监控的区别

www.baidu.com

主防是行为提示吧，像微点做的就很好，监控是特征码查杀，所以现在很多病毒都做特征码免杀。

挥泪斩情思

这个，怎么说呢
通常意义上，我们所说的监控是指特征码监控和启发式监控
但现在   主防也参与监控的
国内的微点，它的监控就不仅有特征码和启发式，主防的行为规则本身也会参与到监控中去，所以，个人认为，越往后，主防和监控的概念应该是越来越趋于一体化，所谓的立体防护体系嘛
另外，HIPS不等于主动防御
基于主机的入侵防护系统（HIPS）和主动防御根本就不是同一个概念

zhq445078388

行为提示只是hips  可以叫主防 但是全称是 主机入侵防御系统

Arisu

既然是主防，我理解应该是主动出击，也许是我理解偏差吧··

luobinhan23

Arisu 发表于 2011-12-23 14:52
既然是主防，我理解应该是主动出击，也许是我理解偏差吧··

不，他是雙向的哦

tomochan

Arisu 发表于 2011-12-23 14:52
既然是主防，我理解应该是主动出击，也许是我理解偏差吧··

杀软的实时监控是靠病毒特征，再进一步是启发式
说到底都是根据病毒的特征码来判断是否是病毒的，就算是启发式也需要基本的特征码供分析
说到底都需要有一个模板，靠这个模板来判断是否病毒
当实时监控监控到一个文件发现这个文件符合某个病毒的特征，则报毒
而这个过程是
发现一种病毒---提取特征码---形成模板---杀软对照模板判断文件是否为病毒
判断病毒永远是要基于发现病毒之后的，如果是一种模板中没有的病毒，则实时监控就判断为不是病毒
启发式可以自我学习判断文件类似于哪个模板，所以对未知病毒检出有一定作用，但也有把正常文件判断为病毒的情况，所以要真正判断是否病毒，还是要等真正入库之后更新病毒库后才可以
In a word，应对病毒是被动的

主防，也就是HIPS
说到底也是监控，只不过它监控的是应用程序，注册表，写入读取等的修改
也就是说这种监控完全不需要任何病毒库，只需要监控软件的行为
一个病毒想要运行，会调用进程，会调用dll文件，会修改系统或软件的重要注册表，导致系统或软件瘫痪
如果这个病毒杀软的实时监控（根据病毒特征判断）未能识别出这是一个病毒，则以上行为病毒就可以实行，并损坏系统和用户文件，造成巨大损失。
但是HIPS从这个未知软件（病毒）调用进程，调用DLL文件的时候就全部监控到了，在这个病毒调用进程的第一时间，HIPS（主防）就会进行提示拦截，则病毒就在摇篮中被扼杀了
这种监控和拦截是不需要任何病毒特征码的，只要这个软件有行为，HIPS就能提示并且拦截
所以这种拦截永远都是主动的，不受病毒是否入库的限制的，并不是说主防就是主动去kill病毒，你不运行它主防是不管的，因为HIPS看的是行为

Arisu

好吧，谢谢

卡卡西欧

学习了

fovfinal

杀软的监控靠的是特征码 只要符合特征就会被侦测到 十分敏感 缺点是容易产生可能的误报 并且如果特征码上未知的病毒木马 哪怕在你机器里翻天覆地 仍无法发现
主防是对行为的记录会提示 报告 和拦截 任何恶意软件要做恶 就得运行 对系统产生各种行为和操作（篡改） 而此时就会被提示 缺点是如果那个软件不作恶 哪怕天长地久 他也不会被发现 久居于你的系统内（不过只要不作恶也就没有危害了） 再有就是可能对正常软件也会有较多的弹窗

无泪Oo之oO无痕

bayern 发表于 2011-12-23 11:14
应该说监控包含特征码，启发，主动防御
而特征码一般都是说入库后可以查杀的，经常看到样本区的童鞋说上报 ...

多不判断+回滚：代表 微点 G data这个是什么意思呀。