行为分析会是一种对付高变形病毒的选择手段！

zkx6762

跟启发技术有什么区别

vardyh

zkx6762 发表于 2013-2-12 14:42
跟启发技术有什么区别

启发指的是评估算法，

行为分析通过监控、分析程序行为，并通过启发式评估算法评估程序的恶意性，这种通常称为行为启发

扫描引擎的启发是通过静态分析文件特征、虚拟机执行分析动态特征等，并通过启发式评估算法评估文件的恶意性，这种通常称为启发式扫描

夜微凉

在没有新技术前，启发和主防确实是对未知病毒和变形的最好方法

zhq445078388

行为分析最大短板:
防御软件如何信任内核?
如何保证内核安全?
驱动拦截何时该拦 何时不该拦?
驱动行为如何区分且不妨碍系统速度?
当恶意驱动使用内核HOOK进行其他进程触发来行为代{过}{滤}理的方式.如何避免进行内核分析后不会误报被代{过}{滤}理的正常程序(rootkit常见)?

以上几条包括金山腾讯都没解决好,只是守住了内核入口点
第三条大家也只是简单的白放过
如果你能解决好了.估计第一时间被谈价

(注:内核攻防目前被认为和网络协议攻防一样是不归路.但是在聊天软件都加驱且驱动云控的大环境下.如何让小白也能正常使用行为防护,目前是个只有大厂商通过云收集.或主动抓取.或厂商间协调才能解决的问题.当然你简单的签名放过也行.但是谁都不敢保证签名没问题)

夜微凉

zhq445078388 发表于 2013-2-12 16:02
行为分析最大短板:
防御软件如何信任内核?
如何保证内核安全?

费尔主防没有大量白名单的收入，和其他大公司没有谈话权，所以误报奇高-_-#

4534543

潘中医 发表于 2013-2-12 12:09
现在国内小白都认为杀毒软件就是查杀的，查杀越高越好。你做的火绒也不写说明书，也不科普。。。。 ...

不加云的话
火绒是超越不了微点这个前辈的
虽然很多人吐槽微点这个那个的问题
不过我个人觉得
微点已经把多步主防做的登峰造极了

潘中医

4534543 发表于 2013-2-12 18:04
不加云的话
火绒是超越不了微点这个前辈的
虽然很多人吐槽微点这个那个的问题

是呀是呀

不知道这是剑

zhq445078388 发表于 2013-2-12 16:02
行为分析最大短板:
防御软件如何信任内核?
如何保证内核安全?

X64的PG很头疼，不让HOOK了，而且混淆越来越BT。

china_killer

夜微凉 发表于 2013-2-12 15:58
在没有新技术前，启发和主防确实是对未知病毒和变形的最好方法

比较懂行~~~

莱薇

zhq445078388 发表于 2013-2-12 16:02
行为分析最大短板:
防御软件如何信任内核?
如何保证内核安全?

你这几个问题都是无解的估计这个就是微软来做都没办法解决