360你ND也太丢人了吧

peter08

我也好奇，样本怎么运行起来的。

小紫英

啥都不说了，楼主自娱自乐好了

vm001

小紫英 发表于 2012-11-16 10:40
啥都不说了，楼主自娱自乐好了

回去问问你们【360主动防御】吧，是我自娱自乐，还是360在自娱自乐

360主动防御

hippo 发表于 2012-11-16 10:16
他只测网络防护呢

防护是整体, 为啥要单测? 假如有一天我把防护的子开关从界面上去掉了, 你如何单测?
这么来举个例子, 如果一个杀人犯, 之前被通缉, 你会在他出门的时候就抓他, 还是会在他转悠了世界一圈, 又杀了50个人的时候抓他?
我们的目的是拦截木马, 并且尽量少的减少对系统资源的占用.
如果在运行的时候已经能定性为木马, 肯定不会选择让它触发一连串的行为再进行拦截.
因为程序运行时的监控是会消耗系统资源, 让用户的系统变慢.
本来这些东西是不应该在论坛中说的, 但看到大家困惑, 还是解释下.
防御这个东西, 不是说谁做不到多强, 无脑全拦截太容易了. 其实MD中的拦截点比360安全卫士不知道少了多少, 但还是看到大家都在称赞MD很强力, 大家对拦截的认知是认为有行为那么弹窗了就是拦截了. 这就是好... 但实际上这个看法是很初级的...  
做防御的难度不在这里, 做防御的难度是体现在如何掌控整个平衡, 即不卡系统, 不打扰用户, 又在关键的地方给予准确的拦截. 要做到这个平衡, 就要分析大量的数据和样本, 选择在最合适的时机拦截. 细节我不说了, 否则又要挨批了.
解释至此, 能理解的理解, 不能理解的继续迷糊吧.

360主动防御

360主动防御 发表于 2012-11-16 10:44
防护是整体, 为啥要单测? 假如有一天我把防护的子开关从界面上去掉了, 你如何单测?
这么来举个例子, 如 ...

另外, 看到经常类比隔壁的一些防护, 说可以在远控进程即使已经启动的情况联网的时候也拦截,
换个方向思考下, 这说明它无脑在做全系统的监控.  那么你的YY 你的QQ 你的游戏, 你的XX卡的时候就别哭哈...
网络游戏已经在正常的跑了, 每通讯一次还要过滤, 再通讯还要过滤.
如果在游戏道具上抢不过用360的同学, 千万别哭哈...

"20% 嗜血Rush"
"哎呀, 不行, 团长, 我又卡了..."
"TIPS: 元芳, 你还记得10年前大明湖畔那个卡的系统变乌龟的xx网镖吗? 对, 它又换肤了"

vm001

360主动防御 发表于 2012-11-16 10:44
防护是整体, 为啥要单测? 假如有一天我把防护的子开关从界面上去掉了, 你如何单测?
这么来举个例子, 如 ...

你要是这样说，那我就得问问你了，360有远控防御没有？请直接回答
如果有为什么在ND这个环节上没拦截
如果360有是建立在什么的基础上的？你的协议分析去哪里了？那这个和MD比？这就是搞安全人员的思维？
如果按你这样说主动防御都可以抛弃，留一个文件监控即可

360主动防御

vm001 发表于 2012-11-16 10:50
你要是这样说，那我就得问问你了，360有远控防御没有？请直接回答
如果有为什么在ND这个环节上没拦截
如 ...

1. 有~
2. 因为ND从防御体系的角度考虑, 从属于进程防护. 是进程防护的子节点, 里面的从属逻辑关系你可以画个图理理, 把用户可能碰到的问题场景理理清楚看看应该怎么防护.
3. 不论道
4. 想法极端, 实际中行不通.

oiiren

又一个蛋疼骚年

kafe

每次见到楼主的贴，我都会很开心！！！楼主，加油，我撑你（你懂得）



我意思是：有批评才有进步！！别误会阿

xzhlksh

每次看到楼主在这里分拆防御，我都忍不住笑了，，，
我只想说，防御是整体的，只要默认设置能够拦截，而且资源占用低，管他用什么方法呢