多步主防阻止回滚隔离

显示全部楼层 · 发表于 2012-5-29 11:46:33

多步主防在拦截操作上能不能再人性化一点：、

比如：当某程序某行为触发规则时，先采取“阻止”措施；如果，此程序仍然试图成功释放此行为，可采取”回滚“措施；再不行，就把此程序”隔离“了。

显示全部楼层 · 发表于 2012-5-29 12:22:43

选择专家级，接近这个了

显示全部楼层 · 发表于 2012-5-29 12:54:58

多步主防啊！又不是单步，直接就阻止。多步，那进行到哪一步算是需要阻止呢？如果进行到第二步该阻止了，那已经进行的那步，也需要回滚啊！

显示全部楼层 · 发表于 2012-5-29 13:36:16

这个要问主动防御的厂家，各个厂家的处理会有不同

显示全部楼层 · 发表于 2012-5-29 13:49:23

某行为被提示阻止时，此行为已经被挂起，也就是说“想执行但尚未执行”，如果选择阻止后依然成功执行，那么说明主防被穿了。

显示全部楼层 · 发表于 2012-5-29 13:52:55

“回滚"和"检出"是相配合的。也就是说，当程序执行了一系列代码，产生了一系列行为后，触发规则阈值，形成一个检出判定，实质是一个查杀分类过程。在这样的前提下，才能谈”回滚“。

显示全部楼层 · 发表于 2012-5-29 14:12:40

那一日按杀软或者都会回滚就好了

你中毒后就像安装软件一下看他不爽就回滚。。。

显示全部楼层 · 发表于 2012-5-29 22:03:54

数字不是有多步回滚的系统嘛，还没有对外公开吗？

显示全部楼层 · 发表于 2012-5-29 23:49:04

hook是在api头部进行的在头部直接跳转到自己的call 所以说提示的时候这个动作其实还没执行
这就是单步的优势。。

多步的话一般是靠大量的日志记录然后直接根据日志del。。。
如果修改的reg之前有值那么日志记录就会把之前的值也记上。。然后写回去。

这样达成所谓回滚。。

显示全部楼层 · 发表于 2012-5-30 00:06:05

本帖最后由 a256886572008 于 2012-5-30 00:07 编辑

你用一下 GDATA 就知道什麼才叫真正的多步主防

比微點還像多步分析。

Norton那個看日誌也知道，其實是單步。

多步主防 阻止 回滚 隔离