从卡饭一个样本再谈火绒2.0单步和多步的不和谐

win98sp123

潘中医 发表于 2013-10-17 18:51
简单的来说微点是没有HIPS的，也就是没有单步的判断，纯靠主防。火绒是HIPS+主防

HIPS就是看着你的钱包， ...

拿这个样本来说，本身是个病毒，用户双击后静默拦截了某个关键动作，最终是否会对系统造成影响先撇开不说，至少有两点可以肯定，一是用户没有被告知这是个病毒，二是病毒还在电脑上，没被火绒删除，你觉得这样合适吗

潘中医

win98sp123 发表于 2013-10-17 19:22
拿这个样本来说，本身是个病毒，用户双击后静默拦截了某个关键动作，最终是否会对系统造成影响先撇开不说 ...

你是不是开启免打扰模式了？

zdlzp

win98sp123 发表于 2013-10-17 19:17
拿这个样本来说，本身是个病毒，用户双击后静默拦截了某个关键动作，最终是否会对系统完成影响，至少有两 ...

火绒应该考虑，假如有火绒的时候，病毒的某个动作被免疫了，暂时安全。
但是因为各种原因卸载了火绒，那个时候是什么情况？
@china_killer  

莱薇

win98sp123 发表于 2013-10-17 19:22
拿这个样本来说，本身是个病毒，用户双击后静默拦截了某个关键动作，最终是否会对系统造成影响先撇开不说 ...

有道理

win98sp123

潘中医 发表于 2013-10-17 19:25
你是不是开启免打扰模式了？

全部是默认设置下实机双击测试，包括昨天反应的样本。

li13911

jefffire 发表于 2013-10-17 15:44
又不是样本分析软件，不需要定男性女性。最终结果安全就行。

另外在客户端以行为分析为主，必然死路一条 ...

对的，但是火绒并没有打算死走这一条，他们说是要全面防御，只不过先从自己擅长的、又很火的来了；建云、收集毒库可不是一天两天的事儿

li13911

潘中医 发表于 2013-10-17 18:51
简单的来说微点是没有HIPS的，也就是没有单步的判断，纯靠主防。火绒是HIPS+主防

HIPS就是看着你的钱包， ...

恩，特征码和规则特征库，只不过后者杀的面积更大一些而已。

li13911

win98sp123 发表于 2013-10-17 19:17
拿这个样本来说，本身是个病毒，用户双击后静默拦截了某个关键动作，最终是否会对系统完成影响，至少有两 ...

看怎么理解了，从强迫症、洁癖症的角度理解的确危害很大；但是从装有火绒（或者其他类似的主防）的角度理解，威胁为0。再就说说微点吧，明明一个病毒，不仅放在那里了，而且还运行了，但是就是不报警，你觉得这样合适吗？除非病毒有动作。照你这样的理解，其实用微点的威胁更大，因为病毒已经运行了，实际上，这个病毒在装有微点的电脑上威胁为0。好像是未来安全的方向是保护——尤其是企业用户——保护关键的东西不被窃取、破坏，而不一定要识别出来这个威胁。瑞星新推出的用于企业的虚拟化产品不就是侧重于保护很好的例证吗。

挥泪斩情思

china_killer 发表于 2013-10-17 18:08
赞同楼上的说法~~~
火绒的单步系统防御和多步行为分析的设计确实就像楼上的说得那样..设计目的就不一样 ...

不知道火绒现在的单步加多步是怎么样的一个模式。。

其实我个人蛮看好360的云HIPS的，不知道官人怎么看？

jpzy

win98sp123 发表于 2013-10-17 19:17
拿这个样本来说，本身是个病毒，用户双击后静默拦截了某个关键动作，最终是否会对系统完成影响，至少有两 ...

1，拿病毒来举例子并不妥当。你应该将这个程序作为一个未知程序来看待。因为在实际使用的时候，用户如果运行的话，那么用户并不知道它是否是病毒，如果用户明知道是病毒，他会直接运行么？

2，静默拦截会给用户造成困扰。我觉得这里有个提示比较好。但是系统防护既然拦截，那就是说系统没有受到影响，这样即使有残留，也不过就是病毒尸体而已，有什么关系？