从卡饭一个样本再谈火绒2.0单步和多步的不和谐

莱薇

你让用微点，同时又用hips的人情何以堪

ppy0606

逛卡饭的  都喜欢行为

sk3385

win98sp123 发表于 2013-10-17 15:41
这不是问题的关键，现在的系统防御，对最终样本的定性有影响。

防御上有点问题，官人已经在修复了，明天升级解决！

jpzy

我倒不觉得有问题！
系统防护跟反病毒是两个概念。
系统防护的目的不是判断出病毒，而是防止任何程序对系统可能造成的破坏。被系统防护拦截的程序（单步规则拦截）不见得就是有害程序。
而行为分析的目的（多步判断）则是判断程序的威胁程度，阻止高威胁的程序运行和删除病毒。
这是两部分功能。

china_killer

jpzy 发表于 2013-10-17 17:49
我倒不觉得有问题！
系统防护跟反病毒是两个概念。
系统防护的目的不是判断出病毒，而是防止任何程序对系 ...

赞同楼上的说法~~~
火绒的单步系统防御和多步行为分析的设计确实就像楼上的说得那样..设计目的就不一样..

     单步规则拦截提示后,对高级用户来说是"发现"威胁了(因为他们能判断).对小白来说一脸抽象~~~(不懂怎么吧)阿,.   这就意味着单步对小白来说有用的关键是：“帮他们增强系统的免疫力，而不是描述更清晰”。
    至于，现在发现一些“不和谐”，比如单步阻止了流程影响多步的判断这类。我们会再慎重考虑下。。
现在主要见到的确实是，两类防御技术的“干扰”，

关于防病毒:
    火绒2.0的解决方案是,扫描引擎结合未知病毒行为拦截....这也是我们一直以来提倡的综合多种技术手段解决问题,而非依靠单一技术(1付药来治百病~~)

   在此感谢楼主对这方面的讨论~~

不好意思,这几天都比较忙,下周也会...不能经常上卡饭了~~~
虽然现在也有专门的产品团队负责火绒2.0的运营了。我也会继续关注大家提的问题！

chaos11

china_killer 发表于 2013-10-17 18:08
赞同楼上的说法~~~
火绒的单步系统防御和多步行为分析的设计确实就像楼上的说得那样..设计目的就不一样 ...

2.0解决和沙盘冲突的问题了吗？

潘中医

简单的来说微点是没有HIPS的，也就是没有单步的判断，纯靠主防。火绒是HIPS+主防

HIPS就是看着你的钱包，不管是谁的手去摸都报警。

多步判断主防就是再分析分析这个手是不是偷你钱包的

多步判断的规则永远是落后于病毒的发展，因为任何杀毒软件都是搜集病毒，提取特征分析，下发给用户的。

HIPS可以有效的阻挡未入特征库的病毒，或者是其他流氓软件的小动作，不过这个需要具有相当的安全知识。

zdlzp

china_killer 发表于 2013-10-17 18:08
赞同楼上的说法~~~
火绒的单步系统防御和多步行为分析的设计确实就像楼上的说得那样..设计目的就不一样 ...

手机上

sk3385

chaos11 发表于 2013-10-17 18:25
2.0解决和沙盘冲突的问题了吗？

火绒和沙盘冲突不是火绒问题！是沙盘自身问题，如果沙盘自己不修复BUG。冲突一直会在

win98sp123

jpzy 发表于 2013-10-17 17:49
我倒不觉得有问题！
系统防护跟反病毒是两个概念。
系统防护的目的不是判断出病毒，而是防止任何程序对系 ...

拿这个样本来说，本身是个病毒，用户双击后静默拦截了某个关键动作，最终是否会对系统完成影响，至少有两点可以肯定，用户不知道这是个病毒，病毒还在电脑上，没被火绒删除，你觉得这样合适吗