点（简）评COMODO，360，微点，金山，瑞星这五家的主动防御（算结论）

显示全部楼层 · 发表于 2012-1-31 09:58:45

本帖最后由悟心之道于 2012-1-31 10:04 编辑

wwdboy 发表于 2012-1-31 09:54
整毛豆的一般不来此区，偶也是在毛豆区看到世界第一防火墙出来了才过来转悠转悠的

毛豆自己宣传也没说是“世界第一墙”
宣传人家说是“世界上最好的墙之一”，悟心认为还是比较客观的。
可以在不少用户心中它就是“世界第一墙”，管TA说什么，自己心头有数就行

显示全部楼层 · 发表于 2012-1-31 09:54:40

悟心之道发表于 2012-1-31 09:47
终于有玩毛豆的来表态了。
现在毛豆默认规则或者毛豆区下个折腾党规则，适当修改以适合于自己貌 ...

整毛豆的一般不来此区，偶也是在毛豆区看到世界第一防火墙出来了才过来转悠转悠的

显示全部楼层 · 发表于 2012-1-31 09:47:03

本帖最后由悟心之道于 2012-1-31 09:51 编辑

wwdboy 发表于 2012-1-31 09:41
说实话，偶最认同楼主这个帖子，特别是毛豆，整了一年了才懂点规则，不容易啊，不过特有成就感，当然比不上 ...

终于有玩毛豆的来表态了

。
现在毛豆默认规则或者毛豆区下个折腾党规则，适当修改以适合于自己貌似不难，难的是“事事亲为”。
我玩毛豆时间也不长，而且换WIN7以后，UAC+安全组策略感觉也能达到目的，不需要另外安装软件，就没接着玩所豆了。

显示全部楼层 · 发表于 2012-1-31 09:41:25

说实话，偶最认同楼主这个帖子，特别是毛豆，整了一年了才懂点规则，不容易啊，不过特有成就感，当然比不上世界第一的主防

显示全部楼层 · 发表于 2012-1-31 08:45:32

本帖最后由悟心之道于 2012-1-31 09:11 编辑

cjc7373 发表于 2012-1-30 18:50
问一下主防和hips的区别

这里饭友镜湖做了一个说明。
悟心认为基本上说明白了。悟心摘点认可度较高的段落。
“
HIPS类软件针对各种潜在影响系统安全的API动作进行监控/报警，因此称之为API动作监控/拦截器较为准确。比如监控创建文件、安装全局钩子、创建远程线程、修改其它进程内存、创建/修改注册表项等API动作，不管运行的程序是病毒木马还是正常程序，只要程序执行了被监控的API动作，HIPS就会报警，这就造成了大量无效的报警信息，一般用户很难使用。

为了减少HIPS的报警信息，EQ等HIPS采用类似网络防火墙规则包的设置，每条规则仍然对应一个API动作，且规则间没有逻辑关系，仅对某些系统或程序的使用API的动作处理行为进行预先设置，当这些程序运行时，就按照已经预先设置的规则进行处理，减少了询问用户的频度。但在安装软件和驱动，甚至软件升级时，这种规则包有可能影响程序的正常工作，因此，这类HIPS可能会要求暂时关闭保护功能，待软件安装结束后再重新启用保护功能。我们必须注意到，用户安装新软件时常常会遇到病毒，很多恶意软件多采用捆绑的方法欺骗用户安装，因此即使是暂时关闭保护，也是很危险的。

微点主动防御软件和HIPS则有着本质的不同，微点不是根据简单的单一API动作进行报警，而是根据程序一系列API动作构成更有意义的行为，结合病毒行为知识库进行逻辑判断，综合分析这个程序是否是病毒。微点主动防御软件使用程序行为智能分析，实现对病毒的判断更准确，同时也基本杜绝了频繁报警给用户带来的困惑，因此更适合普通用户使用。例如微点主动防御软件不会因为程序只增加一个注册表run项（单一API动作）就报警。而HIPS因为只依据单一的API动作，因此只能报这个程序执行了某个可疑的API动作，询问用户是否允许程序执行这个动作，特别当一个正常程序被病毒捆绑时，用户可能会做出错误的判断。

微点主动防御软件不是HIPS，HIPS是依据简单的单一API动作进行报警；而微点主动防御软件是依据程序一系列API动作构成的有意义的行为，并结合病毒行为知识库进行的一套复杂的逻辑判断，准确判定程序是否是病毒，或者是正常程序。”
http://bbs.kafan.cn/forum.php?mo ... &fromuid=513112
jefffire 说“HIPS是微点的基础”
http://bbs.kafan.cn/forum.php?mo ... &fromuid=513112
依悟心看也是对的。
他们对HIPS和微点对程序含病毒行为监控和判断差别与联系进行了较详细的说明，对后续处理方式则也没描述。
可以更形象的说：
HIPS的报警就如边防一个观察哨和其提供的信息，对边界被监视国单一军事行动报告很准，直接要高层（用户）决定是否需要采取必要的行动（制止发生还是允许发生）；而微点则相当于要综合多个观察所观察到的被监视国的军事行动特征，进行分析，是否属于危险行为，有无必要向上汇报和处理（多数由程序自动完成，也可以设置为需要用户干预）+如需处理，则把“影响部分回滚”——可以说相当于“时光到流”到无影响前的状态。
好了，表达能力有限，就只能说这么多了。

显示全部楼层 · 发表于 2012-1-30 21:09:24

个人很喜欢COMODO和微点的主防

显示全部楼层 · 发表于 2012-1-30 19:06:41

cjc7373 发表于 2012-1-30 18:50
问一下主防和hips的区别

主防就是hips吧

，看的我一头雾水

显示全部楼层 · 发表于 2012-1-30 18:50:47

问一下主防和hips的区别

显示全部楼层 · 发表于 2012-1-30 16:42:21

悟心之道发表于 2012-1-30 16:38

嗯看的很准对我是这样认为的！
那请问，我强迫你！或者说楼上那位（我指的是刚才回复那位）？我强迫你们认同我的观点了吗？
是不是觉得我的看法和观点，你觉得很不舒服呢？想喷了？
何况我那算是评论吗？好，就算是这也算是意见吧！如果你不喜欢别人对你进行提出意见的话，当然，我无话可说！你完完全全可以认为我这是在“喷”你！可以无视~

显示全部楼层 · 发表于 2012-1-30 16:38:57

本帖最后由悟心之道于 2012-1-30 16:41 编辑

丶鍇児、发表于 2012-1-30 16:32
那请问第五的意思是你对我说的？

以下如果再来与主题无关的话，还是自语吧。

[讨论] 点（简）评COMODO，360，微点，金山，瑞星这五家的主动防御（算结论）

本帖子中包含更多资源