貌似sonar不敌DLL，消停你人呢

GreenCodes

sogou2004 发表于 2012-12-10 13:53
MIS听说没排除，如果秒了我的小众软件肿么办。-_-#

那用趋势，关了防火墙助手，用SEP墙，或者咖啡个人版安装时只选墙，总之组合很多，奇葩组合更多，可以试试NAV+SEP墙，NAV+咖啡单装墙，咖啡不装墙+SEP墙，趋势+SEP墙，注意咖啡最基础的版本也有防火墙

wjcharles

firefox3 发表于 2012-12-10 14:19
我觉得IPS和eset的ip拉黑都是根据收集的malware domain按照不同的漏洞形式分门别类

作为入侵防护（ips），拉黑ip只是ips的一个功能，而且按铁壳激进的拉黑习惯，ip拉黑后整个网站都会被拉黑，这个在国内误报不是一两次了，好像昨天360云盘还是被拉黑的


事实上ips主要作用是漏洞防护，针对已知漏洞特征，目前有两千多个，解包扫描大部分网络流量（一般的流量过滤仅支持常用的几个协议，如http之类，ips支持200+的协议），阻断有攻击特征的数据包，下面是特征列表，漏洞防护跟ip拉黑没有关系
http://www.symantec.com/security_response/attacksignatures/

比如http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037

2012/12/7 15:13:42,高,阻止了 littleknobnsack.us 的入侵企图,已阻止,不需要操作,Web Attack: JRE Concurrency CVE-2012-0507,不需要操作,不需要操作,"littleknobnsack.us (37.221.170.88, 80)",littleknobnsack.us/data/1.jar,"-PC (..97.14, 5166)",37.221.170.88 (37.221.170.88),"TCP, www-http",

2012/12/7 15:13:42,高,阻止了 littleknobnsack.us 的入侵企图,已阻止,不需要操作,Web Attack: Malicious JAR Download CVE-2012-4681 3,不需要操作,不需要操作,"littleknobnsack.us (37.221.170.88, 80)",littleknobnsack.us/data/jre.jar,"-PC (..97.14, 5164)",37.221.170.88 (37.221.170.88),"TCP, www-http",

这些都是对已知漏洞的定义，因为这些定义在漏洞曝光后就发布了，所以之后出现的利用此漏洞的毒网大部分可以零时差拦截


然后如果ips被过，部分漏洞利用代码需要浏览器的解析运行，此时浏览器内部的漏洞防护插件会有相应的拦截，比如http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037

MDAC RDS Dataspace Code Execution

就是在溢出成功后，阻止特定内存区域的代码执行，有点类似主防了。
另外对FakeAV攻击的特征（非ip拉黑）主要也定义在这一层，见http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037

2012/12/6 22:20:43,高,阻止了一次入侵企图。,已阻止,不需要操作,Fake App Attack: Fake AV Notification Alert,不需要操作,不需要操作,hxxp://browserchecking.com/#HGD345654838JBHf5483987,,,,,

以上按铁壳的介绍都算网络层的拦截（其实还有个UXP，但我还没见过，就不说了），也就是真正有病毒行为的木马（比如样本区那一系列的exe或者dll）无法到达本地


然后木马到达本地运行，sonar有针对此类的溢出攻击有额外的规则http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037

·行为策略拦截（Behavioral Policy Lockdown）
-偷渡式下载(Drive-by downloads)通常通过有漏洞的浏览器插件入侵，比如Adobe Reader, Oracle Sun Java, 还有Adobe Flash，通过这些漏洞攻击者可以启动包括恶意代码的任何程序。通过一些规则，我们可以很方便的阻止恶意的行为，诸如“Adobe Acrobat不能创建其他可执行文件”或“某些动态链接库(DLL)不允许被注入explorer.exe”，从而保护系统。
-这些规则被称为行为锁定策略(behavioral policy lockdown definition，BPL² )。这些SONAR规则是由STAR团队自动部署和拦截，不需要客户响应，从而自动保护用户。

比如此例http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037

也就是说，如果直接从卡饭下载样本，进行双击测试，就是人为绕过了以上所有防御，作为技术讨论是很有意义的，但跟实际表现有很大出入
这下说得够清楚了吧？

firefox3

wjcharles 发表于 2012-12-10 16:55
作为入侵防护（ips），拉黑ip只是ips的一个功能，而且按铁壳激进的拉黑习惯，ip拉黑后整个网站都会被拉 ...

请看标题

GreenCodes

wjcharles 发表于 2012-12-10 16:55
作为入侵防护（ips），拉黑ip只是ips的一个功能，而且按铁壳激进的拉黑习惯，ip拉黑后整个网站都会被拉 ...

诺顿基本无视毒网，但是如果安装包带毒，就麻烦了，而这个正是我国网民最忽视的

wjcharles

firefox3 发表于 2012-12-10 17:07
请看标题

我是针对你发言的回复，见引用

firefox3 发表于 2012-12-10 14:19
我觉得IPS和eset的ip拉黑都是根据收集的malware domain按照不同的漏洞形式分门别类

我也讨论了sonar的问题，不算歪楼吧？

firefox3

wjcharles 发表于 2012-12-10 17:12
我是针对你发言的回复，见引用

我不太会说，你讲的这些我感觉像是多层保暖内衣，又好像碰见了一位尽职尽责的广告从业人员，我的内心十分恐慌，我想对你说，我不是做学问的

wjcharles

firefox3 发表于 2012-12-10 17:23
我不太会说，你讲的这些我感觉像是多层保暖内衣，又好像碰见了一位尽职尽责的广告从业人员，我的内心十分 ...

firefox3 发表于 2012-12-10 14:19
我觉得IPS和eset的ip拉黑都是根据收集的malware domain按照不同的漏洞形式分门别类

不好意思，我习惯从已有的案例展开。那就简单点，ip拉黑只是ips的部分功能，ips主要是依靠检测漏洞利用特征并阻断相关通信，以实现对于漏洞的防护，漏洞特征是按照不同漏洞形式分门别类的。所以对于新出现的毒网，但利用的是已被ips入库的漏洞，大部分可以直接拦截，不需要事先搜集。
具体案例见72L

firefox3

wjcharles 发表于 2012-12-10 18:00
不好意思，我习惯从已有的案例展开。那就简单点，ip拉黑只是ips的部分功能，ips主要是依靠检测漏洞 ...

没有门，你别什么类
sonar才是王道

sogou2004

GreenCodes 发表于 2012-12-10 14:43那用趋势，关了防火墙助手，用SEP墙，或者咖啡个人版安装时只选墙，总之组合很多，奇葩组合更 ...

那么多五花八门的，太乱了。。FSIS2013如何，fsis安装的时候能自定义安装组件吗

GreenCodes

sogou2004 发表于 2012-12-10 18:06
那么多五花八门的，太乱了。。FSIS2013如何，fsis安装的时候能自定义安装组件吗

没用过，只搞过FSCS