国庆特别帖：简单的小玩一下MSE企业版SCEP的双击！【感谢双击大师消停提供的样本】

驭龙

尘梦幽然 发表于 2013-10-3 20:12
通过Insight，SONAR能查询到云端的BPE签名，也能查询到相关文件的信誉等等信息...

所以我说有Insight啊,当然DSS与行为强制策略最大的不同是,行为强制策略是副SONAR是主,而BM是副DSS是主.

尘梦幽然

驭龙 发表于 2013-10-3 20:34
所以我说有Insight啊,当然DSS与行为强制策略最大的不同是,行为强制策略是副SONAR是主,而BM是副DSS是主.

BPE应该不是行为强制策略，而是行为签名
BPL才是行为强制策略
所以我才说BPE和DSS比较像。BM和SONAR有点类似。

驭龙

尘梦幽然 发表于 2013-10-3 20:50
BPE应该不是行为强制策略，而是行为签名
BPL才是行为强制策略
所以我才说BPE和DSS比较像。BM和SONAR有点 ...

不不不，我是通过Behavioral Policy Enforcement翻译（当然Enforcement可以翻译为实施）的，确切的说是行为策略强制签名。而你说的BPL应该是行为策略本地锁，呵呵

·行为签名（Behavioral Policy Enforcement (BPE¹ ) Signatures）
这些签名是根据当前安全形势迅速编写、改进和部署的，这种架构增强了SONAR的灵活性和适应性，以应对传统手段难以检测的以及新兴的威胁，并且误报率较低；通过Liveupdate无缝更新。

·行为策略拦截（Behavioral Policy Lockdown）
-偷渡式下载(Drive-by downloads)通常通过有漏洞的浏览器插件入侵，比如Adobe Reader, Oracle Sun Java, 还有Adobe Flash，通过这些漏洞攻击者可以启动包括恶意代码的任何程序。通过一些规则，我们可以很方便的阻止恶意的行为，诸如“Adobe Acrobat不能创建其他可执行文件”或“某些动态链接库(DLL)不允许被注入explorer.exe”，从而保护系统。
-这些规则被称为行为锁定策略(behavioral policy lockdown definition，BPL² )。这些SONAR规则是由STAR团队自动部署和拦截，不需要客户响应，从而自动保护用户。

尘梦幽然

驭龙 发表于 2013-10-4 07:46
不不不，我是通过Behavioral Policy Enforcement翻译（当然Enforcement可以翻译为实施）的，确切的说是 ...

是这样啊。

尘梦幽然

驭龙 发表于 2013-10-3 20:34
所以我说有Insight啊,当然DSS与行为强制策略最大的不同是,行为强制策略是副SONAR是主,而BM是副DSS是主.

“行为强制策略是副SONAR是主,而BM是副DSS是主.”
此话怎讲

驭龙

尘梦幽然 发表于 2013-10-4 08:07
“行为强制策略是副SONAR是主,而BM是副DSS是主.”
此话怎讲

Symantec报未知病毒的时候是SONAR吧，行为策略实施签名是辅佐SONAR的功能。

Microsoft AntiMalware报云查杀病毒的时候，是DSS，BM是一个传送带，发现可疑行为，调用DSS，所以BM是辅佐DSS的功能。

这样，明白了吧

尘梦幽然

驭龙 发表于 2013-10-4 08:16
Symantec报未知病毒的时候是SONAR吧，行为策略实施签名是辅佐SONAR的功能。

Microsoft AntiMalware报云 ...

SONAR也是在执行行为签名的吧。
不过SONAR还有自学习的部分就是了

驭龙

尘梦幽然 发表于 2013-10-4 08:23
SONAR也是在执行行为签名的吧。
不过SONAR还有自学习的部分就是了

还是有略微的不同，毕竟SONAR双击报的毒全部是SONAR啊，而MA双击报的毒，不是DSS就是动态启发，不存在BM哦，呵呵

尘梦幽然

驭龙 发表于 2013-10-4 08:26
还是有略微的不同，毕竟SONAR双击报的毒全部是SONAR啊，而MA双击报的毒，不是DSS就是动态启发，不存在BM哦 ...

sonar也是借助各种签名报的呗。。报的方法也会有所区别

驭龙

尘梦幽然 发表于 2013-10-4 09:00
sonar也是借助各种签名报的呗。。报的方法也会有所区别

这确实是，但还是SONAR为主的，而MA的BM可没有纯粹的拦截，不能跟SONAR相比较，概念不同