完成未完之作——再谈防与杀

显示全部楼层 · 发表于 2012-5-3 21:02:40

kankie 发表于 2012-5-3 20:56
照你二樓的說法也就是只要調用了查殺庫的所有手段都是屬於查殺，不管裏面是用了HIPS或者用了其他類似于防 ...

我没觉得片面啊。就拿你说的实时监控来说，实时监控可能用到了文件过滤驱动，SSDT hook等类似于HIPS的技术，但是这些技术只是为了让查杀引擎能够做到“实时生效”而已，不能决定整个检出率。

显示全部楼层 · 发表于 2012-5-3 21:15:17

小白前来支持科普！

显示全部楼层 · 发表于 2012-5-3 21:21:30

jefffire 发表于 2012-5-3 21:02
我没觉得片面啊。就拿你说的实时监控来说，实时监控可能用到了文件过滤驱动，SSDT hook等类似于HIPS的技 ...

呵呵，那你會把實時監控怎麼區分？是查殺還是防禦，還是兩者都不是？

显示全部楼层 · 发表于 2012-5-3 21:27:09

kankie 发表于 2012-5-3 21:21
呵呵，那你會把實時監控怎麼區分？是查殺還是防禦，還是兩者都不是？

当然是看决定性因素，其对文件的判断最终是由特征引擎决定的，所以当然是查杀

显示全部楼层 · 发表于 2012-5-3 21:27:25

学习了，防与杀我都重视

显示全部楼层 · 发表于 2012-5-3 21:31:53

jefffire 发表于 2012-5-3 21:27
当然是看决定性因素，其对文件的判断最终是由特征引擎决定的，所以当然是查杀

嗯，謝謝啦

显示全部楼层 · 发表于 2012-5-3 21:48:03

主防带有“虚拟启发+权限控制”，如FS的DG这类，划分起来就在“灰色地带”了；防火墙最简单提示“程序联网”，也就说不出算什么东西了...

显示全部楼层 · 发表于 2012-5-3 21:54:44

ccc-a 发表于 2012-5-3 21:48
主防带有“虚拟启发+权限控制”，如FS的DG这类，划分起来就在“灰色地带”了；防火墙最简单提示“程序联网” ...

防火墙这种程序联网，显然算防御，这就和HIPS提示框差不多。

显示全部楼层 · 发表于 2012-5-3 22:00:35

jefffire 发表于 2012-5-3 21:54
防火墙这种程序联网，显然算防御，这就和HIPS提示框差不多。

但防火墙同样可以把网址进行分类，进行屏蔽，同样能用到你的查杀技术。找你的理解基本就有非黑即白的感觉，非查杀就是防御。如这类运用了查杀的防御，同样算甚么啊？

显示全部楼层 · 发表于 2012-5-3 22:05:15

本帖最后由 jefffire 于 2012-5-3 22:08 编辑

ccc-a 发表于 2012-5-3 22:00
但防火墙同样可以把网址进行分类，进行屏蔽，同样能用到你的查杀技术。找你的理解基本就有非黑即白的感觉 ...

你把我的分类方法泛化了，我这个分类方法是针对不同技术进行分类的，防火墙本身就可能使用了多种技术，当然不可以简单的说是防御还是查杀。

而且现在把对网址的屏蔽，几乎没看见放在防火墙模块里的，都独立说是“网页安全防御”

[讨论] 完成未完之作——再谈防与杀