【关注】如何理解金山KSC？+【后续】（四引擎了）

悟心之道

看完：【KSC集中营】第一辑：KSC之Q&A
http://bbs.kafan.cn/forum.php?mo ... &fromuid=513112
我就记得
1、KSC = 灭活启动点 + 恢复默认启动点设置。
2、KSC基于系统而非文件，文件内容已不再那么重要。
这么2点。
1、“恢复默认启动点设置”依靠云，应该也属于强力修复的一个方面；
2、灭活启动点，基于系统而非文件，这个应该也是基于（文件）行为特征的一种方法；
3、所有基于行为特征的分析和判断方法，文件内容都不太重要。
总体来说也是基于行为特征的判断（正常，异常）和恢复（修复）处理。
按个人的粗浅理解完全可以纳入K+，做为完善K+的一种手段和方法。
PS：因为KSC尚未真正亮相，原文描述也是概念性的，是创新还是原有方法的延伸/深入应用有等验证。
-----分割线--------------------------------------------------------------------------------------------------
【续后】
1、KSC扫描可以云启发，说明还真不是纯程序行为启发，“文件维度”貌似与“行为启发”还真有所不同？（20120216）
【基础】
灭活启动点和活体病毒是KSC处理的关键词。
活体病毒是指还具备运行能力，可以随计算机启动而运行或在用户非主动运行情况下也可以被激活的计算机病毒。所以病毒想要作恶，就会用尽一切方法来激活自身。
启动点实际是启动项的一个扩展，我们可以理解为任何非计算机操作者主动运行而使程序加载入内存执行的点，我们称之为启动点。
【疑问】
看发表的SP3.1，截图，扫描时也出现KSC启发，那么
一方面,是否可以说明在扫描过程中有过诱发“活体病毒”运行的环境，然后对其进行判断识别和处理呢？
二方面，如果不能诱发其运行（至少要知道将要做什么，这和HIPS接近），也就无从判断其对系统的影响，KSC也就对其无能为力了，这与传统虚拟机启发技术又有什么实质性差别呢？
官人 ndma  的回复 http://bbs.duba.net/forum.php?mo ... 890&pid=6987790
"1，ksc灭活
ksc搜寻的是病毒木马已经对系统造成破坏的事实的痕迹进行判断，灭活，而不是把病毒执行起来然后做操作。即针对的是感染病毒中毒的用户（感染病毒和中毒这个名词或许你会误解，说白了，就是病毒进入内存了，而且是实事。） 你要问为什么病毒会进入内存，那么这个问题问得很好
a,病毒网站通过色诱、空吓等方式诱骗社工用户，让其关闭杀软防御。从而中毒。
b,病毒木马通过最新的免杀绕过杀软主防
c,病毒木马通过文件内容免杀绕过杀软特征防御。
d，用户一直有裸奔电脑的习惯
2，传统虚拟机启发
这个依然是单文件维度的识别检测，详见我之前发的帖子 单文件病毒识别方法中的第四条，其实和主防类似。
3，主防
主防和上面的区别，一个是用户运行的，即便拦截不住不负责任。一个是自己杀软运行的，若漏沙、漏虚拟机这个可非同小可，所以大家请注意使用杀软带有自虚拟机启发的功能，以免在扫死病毒的时候中毒。"

footman

不看广告看疗效，使用后再做评论

悟心之道

footman 发表于 2012-2-13 14:44
不看广告看疗效，使用后再做评论

喜欢去样本区的多侧重于实效
喜欢科普和参加讨论的多侧重于理论
两都喜欢的得出结论应该更容易接近真实。

侧耳倾听

footman 发表于 2012-2-13 14:44
不看广告看疗效，使用后再做评论

这句话！！！很对！！！

村支部书记

能提高查杀就行

悟心之道

村支部书记 发表于 2012-2-13 15:10
能提高查杀就行

不活动的病毒，KSC，类毛豆HIPS，微点主防等行为防御软件都不会管的，应该不能提高查杀能力。

追影子的十三

感觉像微点，金山是否最近挖来了一些微点的工程师啊

chongzifei

很期待新的东西，论坛已经有人质疑了，但是我想说的是很多东西大家都知道原理，但是精通的有几个 呢？支持一下山山

zhentu2010

赞同，感觉属于行为防御类功能，可以并入K+，拭目以待

sinoking

等金山出来看看，我的咖啡马上到期了。