（更新bug上报最新进展）进步明显------卡巴2015RC使用感受

驭龙

jefffire 发表于 2014-5-8 20:14
没看过卡巴的帮助文件。但这么多年学习和经验来看，rootkit说简单就是个驱动，怎么不让驱动进来，显然是 ...

嗯，防住加驱基本上Rootkits风险就不大了，但如果是自动化程度好一些的安软都是加载反Rootkits的驱动，以实时应对加载或隐藏的Rootkits，比如说MSE和McAfee个人版新架构，以及DrWeb等都是实时或者适时监控Rootkits的，而且不需要定期扫描Rootkits，不是吗？

jefffire

驭龙 发表于 2014-5-8 20:21
嗯，防住加驱基本上Rootkits风险就不大了，但如果是自动化程度好一些的安软都是加载反Rootkits的驱动， ...

专门检测隐藏驱动，可疑驱动，卡巴的PDM就有检测隐藏驱动的。迈克菲的那个MDD就算是专门的单一产品。实际上我认为，利用的技术还是内核挂钩（MDD是VT），还是主防的一部分。

jefffire

驭龙 发表于 2014-5-8 20:21
嗯，防住加驱基本上Rootkits风险就不大了，但如果是自动化程度好一些的安软都是加载反Rootkits的驱动， ...

而且我认为，等别人进来了再检测显然不如直接不让进来。放进来的风险很大，等恶意驱动进来了，往往结果是你已经被废掉了。

驭龙

jefffire 发表于 2014-5-8 20:26
专门检测隐藏驱动，可疑驱动，卡巴的PDM就有检测隐藏驱动的。迈克菲的那个MDD就算是专门的单一产品。实际 ...

现在个人版的McAfee不需要MDD，就是拥有AntiRootkits引擎加载，只是等级没有MDD高。

嗯，卡巴的系统监控滚回功能，确实是不错。

不过我还是喜欢那种直接实时加载Anti Rootkits引擎的安软

不过，卡巴的技术还是很强悍，这个真的没得说

sogou2004

驭龙 发表于 2014-5-8 20:21
嗯，防住加驱基本上Rootkits风险就不大了，但如果是自动化程度好一些的安软都是加载反Rootkits的驱动， ...

话说真巧 要知道你们在这讨论rootkit 我就不去专门发帖子了

驭龙

jefffire 发表于 2014-5-8 20:31
而且我认为，等别人进来了再检测显然不如直接不让进来。放进来的风险很大，等恶意驱动进来了，往往结果是 ...

我也这样认为，所以我喜欢实时加载Anti Rootkits技术的安软，可以在Rootkits完成加载之前干掉Rootkits，而不是做定期的Rootkits Scan，不是吗

jefffire

驭龙 发表于 2014-5-8 20:32
现在个人版的McAfee不需要MDD，就是拥有AntiRootkits引擎加载，只是等级没有MDD高。

嗯，卡巴的系统监 ...

真正使用的技术就那么些。

在我看来所谓病毒木马的检测，不外乎信息的收集，收集信息的处理和匹配，结果确定，后续处理策略，四个部分。
信息收集，怎么收集？ 各种驱动或R3的钩子。文件过滤驱动拿到文件信息，内核hook拿到内存中程序的行为信息，网络过滤驱动拿到程序的网络通讯信息。
信息的处理和匹配，怎么处理？根据内部逻辑，选出预设的有用信息，拿各种库匹配对比。文件信息处理后和云库，特征码库，基因码库，动静态启发库匹配。 程序的行为信息和行为库匹配，通讯信息和通讯信息库匹配。这三者还可以互有关联。 匹配也不是说完全一样，可以是基于统计学的概率推算。各种智能算法也在匹配中大有运用。
结果确定。这个简单，就是分级，到底是确认有毒，还是可疑，还是没问题，还是什么情况。
后续处理策略。感染型的，用哪个恢复步骤。木马破坏的设置，该怎么恢复，等等。

jefffire

驭龙 发表于 2014-5-8 20:39
我也这样认为，所以我喜欢实时加载Anti Rootkits技术的安软，可以在Rootkits完成加载之前干掉Rootkits， ...

能在rootkit真正加载之前就干掉rootkit要么是HIPS直接拦截，要么是特征引擎。别人还没加载呢，就知道这个是恶意的，这显然只能是这两者。

驭龙

jefffire 发表于 2014-5-8 20:45
真正使用的技术就那么些。

在我看来所谓病毒木马的检测，不外乎信息的收集，收集信息的处理和匹配， ...

是啊，不管怎么说新技术始终还是无法逃脱基础规则，哈哈

驭龙

jefffire 发表于 2014-5-8 20:49
能在rootkit真正加载之前就干掉rootkit要么是HIPS直接拦截，要么是特征引擎。别人还没加载呢，就知道这个 ...

特征库还是需要实时加载的驱动才能解决Rootkits啊，而HIPS不适合所有人尤其是手动HIPS。