杀毒软件防御机制存重大漏洞 文件查杀理念急需变革！！！！

yjwfdc

单身熟男 发表于 2012-2-18 02:20
这个真不现实。。。未知就拦截太暴力了。。现在没哪个敢这么搞，就算是未知文件也没哪个说报毒的，如果把 ...

没有看到"白文件"吗?
概然已经入了白名单,其加载的dll也可以入白名单,如果是加载一个未知dll,就可以立即阻止,并且上传鉴定了.

解决了区分的问题

jefffire

yjwfdc 发表于 2012-2-17 21:58
那是最被动的方法,所谓主动防御就应该阻止白文件加载未知dll.

这样就不轻巧了

yjwfdc

jefffire 发表于 2012-2-18 11:16
这样就不轻巧了

不会不轻巧的,一天才运行多少个程序?
很多人不出十个.

jefffire

yjwfdc 发表于 2012-2-18 11:18
不会不轻巧的,一天才运行多少个程序?
很多人不出十个.

一个程序延迟一两秒也够呛了。这个从技术上实现，没有难度，是个hips都能做。

leisong

单身熟男 发表于 2012-2-18 02:20
这个真不现实。。。未知就拦截太暴力了。。现在没哪个敢这么搞，就算是未知文件也没哪个说报毒的，如果把 ...

这个等同于禁运未知可执行程序，可执行程序本来就包括DLL，和禁运EXE没有本质上的不同，360的网购保镖可以做到模块级别的未知拦截，不过需要和网盾的联动，详情http://bbs.kafan.cn/thread-1223568-1-1.html。

另外此文不过是为了即将出世的系统维度做铺垫的，那只是早几年就一直存在的一个辅助查杀项目而已，他所谓的系统维度可查到的，360一直以来就有这种查杀项目http://bbs.kafan.cn/thread-1225149-1-1.html，只不过没创造出崭新的词汇而已，也没有将一个辅助查杀项目推翻掉所有查杀的基础文件维度。就如高楼大厦否定自己的地基的作用一样荒谬。

总是拿别家几年前的技术翻新出新词汇，结果每次都不长。宣传部再出色，没有真正的新技术跟上，结果每次都短暂炒作之后就偃旗息鼓，这次系统维度顺便都推翻了之前猛烈炒作的100%文件鉴定，不长时间之后，还会有更新的词汇推翻这次的系统维度。

leisong

仅靠宣传部门的力量，是不能变革什么查杀理念了，已经变革了若干次了，每次都证明仅仅是词汇革新，顺便每次还推翻它自己以前猛烈炒作的东西，何必呢

青春虎

小白路过

ELOHIM

突然想到这个，白名单技术和实际生活当中的食品免检差不多。不过就是有很多免检产品出现了食品安全问题。

如果把白名单剔除从新扫描又是费时费力的一件事，不过对于安全来讲就会得到大幅度保障。有利有弊呀……

yjwfdc

jefffire 发表于 2012-2-18 11:20
一个程序延迟一两秒也够呛了。这个从技术上实现，没有难度，是个hips都能做。

有那么低速的电脑吗?

leisong

accp.taotao 发表于 2012-2-18 11:46
突然想到这个，白名单技术和实际生活当中的食品免检差不多。不过就是有很多免检产品出现了食品安全问题。
...

2码事，白文件和实际生活的免检白名单怎么可以同日而语。白文件文件自身又不会像人一样会变，今天这个动作，明天变个动作出来。
只不过恶意DLL利用白文件加载而已，严格点检测模式早几年就可查杀了，根本无需仅靠黑名单http://bbs.kafan.cn/thread-1225149-1-1.html。别家查了几年的技术，它现在才想起出来炒作已经太晚了吧。再千变万化的加载方式，最终都要回到文件本身，这是所有查杀的基础，一如建筑的地基，炒作得连地基都否定掉了，岂不是搞笑。