原帖由 baerzake 于 2007-12-19 20:03 发表 
给你个东西看看TF报不报,记录键盘输入的,盗号木马常用的技术。这个是测试软件,不是木马,放心测试。
火版,我觉得拿这个KEYLOGTEST来测试智能HIPS是不太合理的; 我试了一下FS(FS内置有NORMAN SANDBOX ANALYSISE也算是智能HIPS一员),没有任何反应,这很正常
智能HIPS的基础是"工程行为学", 简单来说就是从一个程序的"一系列的动作"来推测程序是否恶意. 而这个程序虽然记录了键盘,但并没有将结果发送出去(恶意行为特征), 不符合这个特征的话,显然智能HIPS判断上是认为它是无害的
其实启发分析也是类似,只不过启发不是真正执行,是从程序的语段分析(加壳加密启发就比较痛苦,需要解壳才能反编译,有些会使用虚拟机),如果从程序执行逻辑上不存在风险,一样不会报,所以高启发的红伞也不会报它
一个程序记录键盘,并将它显示到屏幕上来,这种正常的程序还是比较多,像练习打字的软件.归结这个程序不报是正常的,如果报的话,误杀就大了.
一个传统型的HIPS会对这类键盘提出警告,但是也得看规则上怎么定,假如这类行为统统规则禁止,那打字类软件可能就无法运行;假如统统放行,被盗取的风险就非常大;或者用规则来加入排除,但无疑对操作者提出"懂得如何编规则的要求;或者像COMODO那样使用学习模式(半智能),其结果是即使排除了这种情况,你还必须习惯它频繁提示框---对于那些没有风险意识的人来说,这简单太要命了.
智能还是手动,不同的类型只有针对不同的使用群体 |
楼主: satellite4080
[复制链接]
发表于 2007-12-19 21:36:49
发表于 2007-12-19 22:10:09
楼主
