完成未完之作——再谈防与杀

jefffire

前一阶段有谈论大家对“防与杀”的看法，最近放假，继续扯扯。
http://bbs.kafan.cn/forum.php?mo ... EB%C9%B1&page=1

  在谈论正题之前呢，先回顾一下上次讨论的关于“防与杀”观点。我就偷懒复制一下

1 右键是杀，实时是防
这实际上是从技术的应用形式来分。右键查杀和实时监控从本质上说没有区别，都是以特征码以及启发式引擎为核心。只是其应用形式的不同导致结果不同。一个需要用户主动发起，一个不需要。

2 只要病毒没有真正运行起来就是杀,病毒运行之后的拦截才是防
这个分类实际上就是把HIPS和类HIPS及其衍生技术划定为防御，其余技术划定为查杀。

3 只要阻止了实质性损害的都算防，反之算杀
本人觉得这种分类方法局限性较大。按照这种分类方法，所有手段都可以归类为防御，而只有急救箱，急救CD才算杀，而急救箱和急救CD使用的技术又和防御中的有重叠。因此这种分类方法，无法起到分类作用。

4 在病毒进入本地（本地定义为用户电脑的内存以及硬盘等存储器）前拦截的都属于防，进入本地后拦截（包括双击，主防拦截，实时监控）属于杀
这是美系“流派”比较支持的说法。这个观点比较贴切目前国外流行的云安全的概念，将借助服务器来发现威胁并提前拦截视为防御。

5 杀毒软件主动发起的都算防，用户发起的算杀
这个观点实质将手动扫描以外的其他均视为防御。属于观点一的泛化。

我认为这些观点都没有击中实质。我们仔细思考，对病毒的查杀实质是什么？？实质是检出。检出又是什么？？检出其实就是分类，把一大堆的文件，网址分成黑和白（灰），仅此而已。因此，非常容易就可以分清楚什么是查杀技术。特征码技术显然是查杀，就是分析文件特定段代码能否命中预先设定的数据库。动静态启发也是查杀，其分析文件异常，api序列等等能否命中预设的数据库。IPS也是查杀，其检测网络通讯数据能否命中预设的数据特征库。智能主防原来也是查杀，其分析程序是否触发预设的规则特征库。而web信誉，在客户端看到的网址阻止只是展示而已，而服务端必定是多种检出手段的配合，因此实质也是查杀。


那么什么是防御呢？防御显然不是检出分类。实际上现在的防御有两种，一种是以权限控制为基础的防御，代表就是UAC，组策略和HIPS（还包括沙盘）。它们本身都不能判断一个文件是否是病毒，但是却能划定红线，不让程序随便乱动。
另一种则是对漏洞的缓解措施，典型代表是微软的DEP (Data Execute Prevention)，ASLR (Address Space Layout Randomization)，SEHOP（Structured Exception Handling Overwrite Protection）等等技术，这些技术能够一定程度上抵御未知漏洞。比如去年的很多IE漏洞在开启了该机制的win7系统下，即便不打补丁也不能起效。

jefffire

再简单一点，凡是能抽象成这样一个判断模型的方法全是查杀：

If  A B C ...... x .......  (A B C为各种判断条件)
then “是病毒”
else “白文件/灰文件”

Kevin_Memo

占位编辑；
刚想去睡觉就看见这帖子，脑子又停不下来了……

fovfinal

杀防结合是正道,二者缺一不可

jefffire

Kevin_Memo 发表于 2012-5-2 23:16
占位编辑；
刚想去睡觉就看见这帖子，脑子又停不下来了……

我错了

英九

防杀并重

12973

支持楼主说法~!

22667999

支持下姐夫~

jefffire

英九 发表于 2012-5-2 23:33
防杀并重

你太水了

s0s020000

你占我也占