查看: 3203|回复: 8
收起左侧

[砖头] 对Gemini和Pegasus的疑问.

[复制链接]
hj5abc
发表于 2007-9-20 22:56:16 | 显示全部楼层 |阅读模式
Fs在后续版本中加入两个模块:Gemini 进阶启发式模块和Pegasus沙盘模块.

今天无意中挖到一个神贴,是概述fs 6引擎的,其中介绍道:

"Gemini (雙子座)  (Heuristics) 啟發式
F-Secure DeepGuard 技術 Advanced Heuristics 進階啟發式引擎
結合進階啟發式引擎與統計決策邏輯技術的新一代防禦引擎,於未知程式欲啟動時,透過統計決策邏輯分析該程式安全性並適時提醒使用者是否允許執行,針對木馬,蠕蟲,Rootkits與特定間諜軟體特性加以抵禦。

疑惑: FS的启发式模块和DeepGuard主动防御有关系? 在模块信息中是分为两个模块的,而且hips和heuristics完全是两个概念的.

6.Pegasus (飛馬座)  (Sandboxing) 沙箱
Sandbox 沙箱模擬防護引擎
防毒技術大廠 Norman 旗下 Sandbox 軟體行為辨識技術沙箱引擎。在沙箱引擎會在主機上模擬一個具備網路的x86虛擬環境,讓任何未知程式在存取實體系統前先於沙箱上進行執行,如果該未知程式進行攻擊行為,則會被限制於沙箱內而對系統無法產生傷害。配合 Gimini 啟發式引擎協同防禦未知病毒的攻擊。並且會將此行為回傳到F-Secure 資料庫(功能就像HoneyPot)"

疑惑: 用过norman都知道,norman的sandbox引擎只结合在网络防护和手动扫描中..而且也不是真正意义上的sandbox,能像sandboxie和geswall一样在沙盘中提交执行程序,隔离操作. norman的sandbox更像虚拟机.

ps.ms竟然有个MM说过fs的sc是基于sandbox..
大家讨论讨论.

[ 本帖最后由 hj5abc 于 2007-9-20 22:57 编辑 ]
pippo0423
发表于 2007-9-20 22:59:49 | 显示全部楼层
我已经感觉到那个SANDBOX威力了,EXE文件他要先运行一遍才给你用,所以每次安装游戏时候你点上EXE文件,碰巧那文件还比较庞大的情况下,那么你就等着硬盘狂读吧...顺带卡个半分钟...
hj5abc
 楼主| 发表于 2007-9-20 23:05:06 | 显示全部楼层
原帖由 pippo0423 于 2007-9-20 22:59 发表
我已经感觉到那个SANDBOX威力了,EXE文件他要先运行一遍才给你用,所以每次安装游戏时候你点上EXE文件,碰巧那文件还比较庞大的情况下,那么你就等着硬盘狂读吧...顺带卡个半分钟...

这不是system control的效果? 如果是sandbox,那启发式的Deepguard怎么说?
pippo0423
发表于 2007-9-21 07:40:22 | 显示全部楼层
不清楚啊,似乎F-SECURE会扫描曾经扫过的文件,而且经常这么干。。。不知道机理是什么。。。
david_sg
发表于 2007-9-21 08:29:47 | 显示全部楼层
你引用的那篇东西有错误。DeepGuard是DeepGuard,Gemini是Gemini,不一样的东西。F-Secure用的虽然是别人的引擎,但是他们并不是直接拿来用的,而是经过了修改。你只能说F-Secure用的是Modified XXX Engine.
借用一下pippo0423的图片


官方的一些介绍。
http://www.f-secure.com/deepguard/
http://www.f-secure.com/f-secure/pressroom/protected/prot-3-2006/17-459-3669.shtml

[ 本帖最后由 david_sg 于 2007-9-21 08:38 编辑 ]
andyangela
发表于 2007-9-21 09:48:48 | 显示全部楼层
我以前发过一个介绍f-secure的deepguard的文章,但是找不到了。
基本上是这样的,这两个引擎都属于deepguard模块的一部分,一个程序的安全性,也就是弹出提示窗口时显示的风险百分比,是通过两部分来计算的。一是通过Gemini引擎,进行启发式扫描,看是否有危害,然后才是用Pegasus引擎,看其行为是否有危害,最后综合计算其风险百分比。
hj5abc
 楼主| 发表于 2007-9-23 17:14:52 | 显示全部楼层
原帖由 andyangela 于 2007-9-21 09:48 发表
我以前发过一个介绍f-secure的deepguard的文章,但是找不到了。
基本上是这样的,这两个引擎都属于deepguard模块的一部分,一个程序的安全性,也就是弹出提示窗口时显示的风险百分比,是通过两部分来计算的。一是通 ...

好象智能hips都是通过判断权限的风险分数来判断的。。panda的tp也是。
hj5abc
 楼主| 发表于 2007-9-23 17:16:33 | 显示全部楼层
原帖由 david_sg 于 2007-9-21 08:29 发表
借用一 ...

2008怎么看不到AVP?
pippo0423
发表于 2007-9-23 17:59:06 | 显示全部楼层
现在有AVP了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 15:57 , Processed in 0.138050 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表