主防加信任是否存在难度？

liningaigo

假如把一个程序假如主防信任名单，是否会干扰主防工作？



————由于系统运行错综复杂，你确信某个动作与信任程序无关，你确信某个动作与信任程序有关？






如何信任：完全信任？或者按行为来信任？

还有信任程序保护问题等等。

-oAo-

微点说过不影响，微点只看行为

bluewormlee

-oAo- 发表于 2012-6-6 19:09
微点说过不影响，微点只看行为

那白名单形同虚设了？

lishaoyu007

bluewormlee 发表于 2012-6-6 21:00
那白名单形同虚设了？

白名单是有作用的
就微点而言
对已知程序(白名单中),监控其动作行为,并和程序行为知识库中记录的该已知程序的合法动作行为进行比较,判断该已知程序是否受到非法攻击
对未知程序,监控其动作行为,并与攻击识别规则库中记录的攻击识别规则进行比较,判断其是否为有害程序


注:
程序行为知识库:利用自动化工具,逐一对合法的已知程序所执行的动作行为进行分析列表,并将其分析列表进行存储的数据库;

攻击识别规则库:利用自动化工具,记录了计算机病毒\木马及有害程序的攻击行为特征的数据库,每一记录对应一类病毒,每一类病毒对应一个动作集,该动作集对应一系列的动作及其之间的关联关系.

liningaigo

lishaoyu007 发表于 2012-6-6 21:34
白名单是有作用的
就微点而言
对已知程序(白名单中),监控其动作行为,并和程序行为知识库中记录的该已知 ...

脑子有点乱。

那，如果是扫描引擎的实时监控，加信任，该怎么解释？

hbxfycjp2012

可能会影响 主防的判定

-oAo-

bluewormlee 发表于 2012-6-6 21:00
那白名单形同虚设了？

微点的白名单我不太清楚

你去远方

不错的啊

zhq445078388

lishaoyu007 发表于 2012-6-6 21:34
白名单是有作用的
就微点而言
对已知程序(白名单中),监控其动作行为,并和程序行为知识库中记录的该已知 ...

hips的边界界定 目前还没做出来吧。。
那东西太难了

cyk553312

liningaigo 发表于 2012-6-6 21:41
脑子有点乱。

那，如果是扫描引擎的实时监控，加信任，该怎么解释？

扫描的信任，有些是按路径，有些是哈希值匹配，信任的项目不会被扫描
主防那个信任，一般是由改程序发起的动作是不会被监控的，但其他程序调用信任程序发起的动作不少软件还是会监控的
有些软件有完全排除选项，届时该程序的任何动作，不管是程序发起的、还是被调用的，都不会监控，这会严重降低安全性，但大多都会有提示