致那些鄙视国内杀毒软件技术差的人

清道夫900

jefffire 发表于 2014-8-22 10:45
当然白加黑牛逼。白程序主动加载，一般的主防直接放过。注入，是个主防就拦截了。

对于白加黑，宇宙第一不是拉黑大法嘛，费尔不是说可以防御白加黑嘛，姐夫你觉得了？

清道夫900

jefffire 发表于 2014-8-22 10:47
开启受信任应用程序模式可以防。但这样的话遇到不在卡巴白名单里面的程序，就要自己判断。一般用户不会用 ...

把卡巴的双签名信任取消，开手动，是不是可以无敌了？

jefffire

清道夫900 发表于 2014-8-22 10:48
对于白加黑，宇宙第一不是拉黑大法嘛，费尔不是说可以防御白加黑嘛，姐夫你觉得了？

拉黑大法那是白加黑刚出来那会儿。现在有结合下载保护的程序环境识别方法，还有不少方法，不说了，免得被在卡饭的木马作者利用。
白加黑，要是不认识的dll都提示一下当然能拦截，关键是能控制误报和减少用户打扰的基础上还能拦截。

jefffire

清道夫900 发表于 2014-8-22 10:49
把卡巴的双签名信任取消，开手动，是不是可以无敌了？

光签名不够。还要取消卡巴数据库信任的程序，还要设置未知程序进入高限组，否则进了低限制组一样歇菜。

清道夫900

jefffire 发表于 2014-8-22 10:53
拉黑大法那是白加黑刚出来那会儿。现在有结合下载保护的程序环境识别方法，还有不少方法，不说了，免得 ...

姐夫，你多说点，卡饭现在水平不行了，没几个会写代码了，顶多就是几百行vb。宇宙第一不是非黑即白dll策略吗，那趋势的大法相比起来如何？

清道夫900

jefffire 发表于 2014-8-22 10:54
光签名不够。还要取消卡巴数据库信任的程序，还要设置未知程序进入高限组，否则进了低限制组一样歇菜。

双签名信任就是指数字签名和ksn库签名信任。低限制组把联网禁止，是不是就ko那些无破坏力的木马了、

rsin

jefffire 发表于 2014-8-22 10:53
拉黑大法那是白加黑刚出来那会儿。现在有结合下载保护的环境识别方法，还有不少方法，不说了免得被在卡饭 ...

是的啊，主动防御要讲的不仅仅是防御，你每个动作都问一下用户体验肯定差，这和全局禁运的毛豆有什么区别。
不过在我看来数字对白加黑的防御还是拉黑，只不过是系统自动拉黑。云端有一个系统，对下载下来的EXE和dll打包文件特别监控，具体的不了解，反正基本可以确保传播的EXE信任暂时降级。而在降级后如果发现有问题就云端自动拉黑。ps：以上系自己去年摸索，不知道对不对，也不知道今年有没有什么变化

rsin

清道夫900 发表于 2014-8-22 10:59
双签名信任就是指数字签名和ksn库签名信任。低限制组把联网禁止，是不是就ko那些无破坏力的木马了、

对卡巴不太了解，不过就算这样你觉得麻烦吗?

jefffire

清道夫900 发表于 2014-8-22 10:56
姐夫，你多说点，卡饭现在水平不行了，没几个会写代码了，顶多就是几百行vb。宇宙第一不是非黑即白dll策 ...

我就稍微说说，结合下载保护的程序环境识别方法。
在不拦截所有未知dll的基础上，如何拦截白加黑？
首先我们默认恶意dll通过免杀手段过掉了所有查杀引擎。
白加黑通过白程序加载恶意dll，这样的模式和正常使用的白程序的“环境”是不同的。通过下载保护，可以识别出下载文件中存在白程序和未知dll同时存在的情况，这样主防就可以有针对性的对这个下载文件采取更激进的拦截策略。

清道夫900

rsin 发表于 2014-8-22 11:01
对卡巴不太了解，不过就算这样你觉得麻烦吗?

还好，首次设置，一劳永逸。