请大家谈谈瑞星的主防

显示全部楼层 · 发表于 2013-7-16 15:14:59

潘中医发表于 2013-7-16 15:05
360都手动把常用软件拉白了，对于小种软件、刚编出来的就呵呵了。

不要忘了开发者模式哦~

显示全部楼层 · 发表于 2013-7-16 15:17:00

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2013-7-16 16:15:12

31997 发表于 2013-7-16 15:09
我说“病毒只要一执行有危害用户电脑的动作”的意思就是病毒作出的动作触犯了云端规则，我并没有说360云主 ...

但是你能保证360学习的文件都是绝对黑的？有一些正常文件的行为是病毒也具有的，这样的话如果没有白名单误报率就会增加。正常易语言程序为什么360老报毒，而且都是QVM引擎发现的呢？
其实有一点很好玩，易语言帮助里面写着：“一些引擎落后的杀毒软件会报易语言程序为病毒，请您自行添加信任”

显示全部楼层 · 发表于 2013-7-16 16:20:16

潘中医发表于 2013-7-16 15:00
1 360也有爬虫系统 2 瑞星爬虫系统的设计者刘刚说，爬虫爬的样本还是比较慢的。

这个是慢，但还是有效果，另外瑞星有一个基于DataMining的引擎已经在测试，并且将部分成果放入云查杀引擎，对云端库进行了扩充。

显示全部楼层 · 发表于 2013-7-16 16:37:51

31997 发表于 2013-7-16 12:39
瑞星的主防是一种单步与多步相结合的方式组成的，其中单步就是系统内核加固，只要有程序触发了瑞星内置或用 ...

1.主防不分单步多步，只有HIPS和行为分析，概念错误！
第一种说白了就是对程序的文件和注册表以及程序动作进行拦截、第二种就是行为监控，不是多步，而是纯粹的动作监控，在程序运行后监控此动作的行为并报警！
2.360的云主防说白了就是利用云自动放行的！说白了就是查询运行进程的MD5，若安全就放行，未知就拦截！至于危险的呵呵，就是病毒啊！！！这玩意一点不神秘啊！！！何况金山、卡巴和瑞星都有啊，不就是利用云和数字签名自动放行！
3.楼主的论调简直就是个笑话，4亿用户简直就是个广告，当然用户量大，音响行就快，暂且不管！问题随之而来，楼主说用户点击拒绝，360会收集并拉黑，呵呵那误报会要人命的！
4.不要再提360qvm了，都踢烂了！这个引擎，存在广告大锅聊笑！呵呵金山就有所谓的KVM和KSC，具体效果如何呢？难道我们只看广告吗？

显示全部楼层 · 发表于 2013-7-16 16:41:29

31997 发表于 2013-7-16 13:51
瑞星的多步主动防御组件是木马防护，还有，你可能理解错了，360云主防是不需要要用户参与的，我的意思是只 ...

你说的那个只要一个用户中毒，360云主防就会拉黑，呵呵说白了就是云查杀！！！

显示全部楼层 · 发表于 2013-7-16 16:59:23

hez2010 发表于 2013-7-16 16:15
但是你能保证360学习的文件都是绝对黑的？有一些正常文件的行为是病毒也具有的，这样的话如果没有白名单误 ...

对于文件加壳脱壳是不分黑白的，有些病毒为了保护自己会加壳，然而有些正常文件也会加壳。360学习的是脱壳的方法，而不是病毒行为，所以无论黑白都可以学习。SVM是统计算法，误报一般都是由于参数的不完美和统计样本的不纯造成的，而现在大部分注册机都是用易语言编写的，这就造成了统计样本中易语言程序大部分都是很文件。现在360已经加入了开发者模式来给易语言编程者使用，用于对付这种问题。易语言是否被误报并不是因为引擎的先进与否，而是因为易语言编译生成的EXE在运行时，绝大多数情况下CPU指令运行在支持库领空（仅少数在EXE领空，这与其它编译器生成的EXE的行为有很大不同），给杀毒软件查杀和机器分析造成了较大阻力，而且由于易语言影响力远不如JAVA/C/C++，很难吸引杀软厂商重视，从而导致误报时有发生。静态编译可以有效解决误报，因为静态编译后所有有效代码都在EXE内。比如国外的拥有先进反病毒引擎的厂商也会误报易语言。

显示全部楼层 · 发表于 2013-7-16 17:19:32

本帖最后由 31997 于 2013-7-16 17:46 编辑

shulun743 发表于 2013-7-16 16:37
1.主防不分单步多步，只有HIPS和行为分析，概念错误！
第一种说白了就是对程序的文件和注册表以及程序动作 ...

1.行为分析是多步（如微点，瑞星木马防护），云主防和系统内个加固是单步（360，瑞星系统内核加固），监控只有有执行监控、读取监控和写入监控，动作监控是不存在的，只有主防能判断行为，监控不算主防。
2.MD5只是QVM的一个维度，QVM有上千和维度，修改MD5是不会影响QVM判断的，云主防不是非白就拦，而是是基于云端规则的，触发规则云主防就会拦截，还有，MD5不是数字签名
3.云端响应很快速，违反规则一般都是病毒，当然，QVM也参与判断，不会造成大量误报
4.请到毒区看看，QVM+数字就是QVM引擎报的，查杀率很高，OEM默认是不开起的

显示全部楼层 · 发表于 2013-7-16 17:21:12

shulun743 发表于 2013-7-16 16:41
你说的那个只要一个用户中毒，360云主防就会拉黑，呵呵说白了就是云查杀！！！

不是光是查杀，只要主防拦截到就可以。

显示全部楼层 · 发表于 2013-7-16 18:05:22

zandalong 发表于 2013-7-16 12:46
学习了！
微点就是多步主动防御+白名单，而瑞星是单步HIPS+多步主动防御，比微点多了一个HIPS？瑞 ...

木马行为防御——用户量大，就有这个优势。

Flameocean 头像被屏蔽	发表于 2013-7-16 15:17:00 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
Flameocean 头像被屏蔽
	回复举报

[瑞星] 请大家谈谈瑞星的主防

RE: 请大家谈谈瑞星的主防

RE: 请大家谈谈瑞星的主防

RE: 请大家谈谈瑞星的主防

RE: 请大家谈谈瑞星的主防

RE: 请大家谈谈瑞星的主防

RE: 请大家谈谈瑞星的主防