文件安全不等于系统安全！！立体安全体系应该怎样构建？

活动二选一

前两天在卡饭看到一个帖子，http://bbs.kafan.cn/thread-1225702-1-1.html，说得很好！我也早有这样一个疑问：  文件安全=系统安全吗？

答案是否定的。举个简单的例子，deltree 是系统自带的命令，用来删除目录树，几年前有个宏病毒在C盘根目录下创建Autoexec.bat，其中加一句deltree *.* /y，下次开机重启，C盘文件就被删光。这样一看，安全的文件也一样带来不安全的结果。有一类病毒被称为脚本病毒，病毒体几乎全部是用正常的系统程序创建脚本或批处理，最后却造成严重的后果。

2011年，文件检查安全，而结果却是灾难的例子非常多见。大量病毒使用第三方软件启动时不校验DLL文件的漏洞来间接运行。病毒运行链条中间的各个文件都是安全的，病毒作者用这招骗过很多杀毒软件的主动防御，而最后却把木马跑起来了。

铁的事实告诉我们，文件安全不等于系统安全。杀毒软件仅仅只对文件进行安全扫描是存在疏漏的。

病毒与反病毒的攻防战
以前杀毒厂商认为，有文件引擎就足够了。于是，很多年来，我们看到杀毒软件实际上只做了这件事：收集文件->识别文件->增加文件特征库->清除带毒文件。

病毒在不断的改变特征，增加变种，研究免杀或绕过方法。在杀毒软件发明主动防御之后，公众好象觉得病毒入侵是件很困难的事了，因为可疑程序运行比较容易触发主动防御的报警。似乎有杀毒软件的文件引擎+主动防御就可以包打天下了。

实际并非如此，主动防御存在天然的不足：病毒的行为和正常软件的行为并不能彻底区分开。监测点越多，假报警就越多。因此，主动防御需要不断的添加黑名单（病毒文件）和白名单（可信任的文件）。

2011年病毒绕过主动防御的最常见的作法就是借用第三方软件漏洞来间接启动，而存在漏洞的软件之多，超乎人们想像。就算相应软件升级解决，病毒作者还能把有问题的软件版本一直保留备用。

现在，看到金山KSC（Kingsoft System Intelligent Cloud）的系统云启发引擎又拓展了新的思路：KSC增加了一层对系统关键启动点的检测方法，有效弥补原来只有文件引擎和主动防御的不足。KSC的系统云接入K+主动防御系统，就相当于无限延伸K+的防御点。毫无疑问，KSC的这种新的防杀思路，会让Windows变得更安全。

文件鉴定需要补充什么？
KSC的核心是检查系统关键启动点，而不是检查文件本身，利用本地KSC引擎和云服务器的互动来检测和清除病毒，内建的自学习机制可有效处置新病毒。

详细讲，KSC有哪些特点，与文件鉴定有何不同？有何补充？

关于KSC的思路，金山是下面这样定位的，这个方案、方向怎么样，大家可以探讨。

1.KSC不检查文件特征，检查单个文件是文件引擎的任务。

2.KSC关注的是病毒的关键启动点，这些关键启动点远远多于主流杀毒软件主动防御的监测点，是活体病毒感染或入侵系统的标志。

3.因KSC引擎不需要检查文件，不再需要大量消耗系统速度的磁盘文件读写操作。同时，也不需要客户端向云服务器查询文件特征。

4.PC端KSC引擎智能分析本地电脑的关键启动点是否存在异常，并与云服务器收集的大量病毒关键启动点信息进行匹配。

5.KSC引擎不需要全盘扫描，执行速度非常迅速。

6.新病毒篡改关键启动点的信息会被KSC的自学习系统分析整理，供客户端KSC引擎在最短的时间内全网消灭造成新破坏的病毒。

7.病毒篡改的系统关键启动点具有家族性的特征，一个KSC系统特征描述，可以针对一个家族的病毒。一对多的查杀机制，可增加新病毒的开发成本，提高病毒传播的门槛。

8.K+主动防御接入KSC的扩展库可以大幅提升主动防御的拦截效果。

文件引擎能否替代？立体式防御如何搭建？
1.        KSC引擎和文件引擎有何区别？
正如前面所述，KSC引擎不检查文件，只检查系统，可以发现系统被篡改的痕迹。文件引擎对所有文件进行鉴定，是一种比较消耗资源的笨办法。
2.        KSC引擎是否可以取代文件引擎？
KSC引擎的发明，不是为了取代文件引擎，而是多管齐下，多级防御病毒木马入侵。KSC引擎和文件引擎的协同，会让系统更安全。在文件引擎将病毒木马错误的判断为安全时，KSC引擎可以有效减少这种错误发生。KSC还可以有效防范流行正常文件间接启动病毒的情况发生。
3.        KSC不检查文件，是不是意味着，只有病毒运行后，KSC才能发现，而不能阻止病毒感染的发生？
不是这样，KSC不是一个孤立的平台，KSC的研究成果，会应用到金山毒霸K+防御平台，病毒启动时若触发关键启动点，K+就会立刻拦截。
4.        KSC和文件引擎谁的检测率高？
毫无疑问，文件引擎的检测率高。因KSC引擎就不是为了追求单个文件检出率而生。可以理解为主动防御体系的拓展，同时具备快速精确的病毒清除和系统修复的能力。
5.        KSC真的更快吗？
KSC的扫描修复一定快过文件引擎，因为，即使面对海量的文件，系统的关键启动点总是相对局限。大量文件的读写是最耗费系统资源的，文件扫描需要较长时间。
6.        KSC可以清除全部病毒文件吗？
KSC专注于系统启动点的检查和修复，这些启动点被完全修复后，病毒木马已经失去加载机会。就算残留下来，也只是一具僵尸而已。而KSC会在清除和修复异常启动点的同时，还会将对应的病毒文件打扫干净。清除质量可以做到快、准、狠。

小紫英

这个更牛，营销账号都不避自家名讳直接引领安全潮流来了

yd89481547

前面写的还行，后面怎么像是广告

宵河

怎么有些官腔啊，硬邦邦的？
不过思路不错，就不知道做得到么？主要是k+的防御要加强啊

活动二选一

宵河 发表于 2012-2-20 15:42
怎么有些官腔啊，硬邦邦的？
不过思路不错，就不知道做得到么？主要是k+的防御要加强啊

前部分是我个人的一些思考，你说得后面显得很官方，主要是引述的金山关于这些问题的一些技术的解决方案，至于孰优孰劣，需要大家一起来讨论

天原

后面就是广告，、我不想说话了

宵河

活动二选一 发表于 2012-2-20 15:50
前部分是我个人的一些思考，你说得后面显得很官方，主要是引述的金山关于这些问题的一些技术的解决方案， ...

那就请在后面那部分，写上引用官方的话。。避免让人误解。不过开始的想法是对的，相信你也是久经沙场的网管咯

nice纷纷

KSC好象是只能杀不能防

悟心之道

说实在的
分类方案比如:
静态与动态就构成了完整的体系（即加起来100%）；
云和本地联合也是完整的；
K+行为启发与文件特征监控与查杀也是完整的，多出来的在传统和K+之外的，个人认为没必要，当然开发研究过程中便于分块完善，分出来还行。

补充
“文件都匹配和安全（100%）=系统安全”

十送鸿钧

就是云HIPS吧……
看下面那张图K+只有文件防护，岂不是只有一个FD？也不至于这么狭窄吧？
最近新出的KSC才有了AD和RD？不对吧，金山的主防也不至于这样吧？