关于启发（主防没有良好的定义，为何还要争论不休呢？）

lmw8023zz

主防拥有完善且很好的定义：真正的主动防御是基于程序行为自主分析判断的实时防护技术，必须具备对未知病毒和新病毒自主识别、明确报出并自动清除三大基本特征。HIPS根本做不到。这两者在定义上有本质的区别。现如今的防御手段无非就是自主识别和靠用户识别，主动防御就是区别这二者的明确的概念和定义。

vdmcontrol

jefffire 发表于 2014-9-1 13:01
又开始了。能防木马就是好。
“超级正宗”主动防御，结果防不住。最后还是要增加单步拦截才能防。那这个“ ...

boot.ini 也是这个样子～

houtiancheng

lmw8023zz 发表于 2014-9-1 15:02
主防拥有完善且很好的定义：真正的主动防御是基于程序行为自主分析判断的实时防护技术，必须具备对未知病毒 ...

那不就是单步和多步的区别么

lmw8023zz

houtiancheng 发表于 2014-9-1 15:09
那不就是单步和多步的区别么

我不知道和单步多步有什么关系，我只知道，主防是对拥有这类特征的技术的统称。也就是说只要能达到这些效果的技术，统统可以定义为主动防御。而HIPS则正好被排除在外。不能自主识别、明确报出并自动清除，主防的三大特征HIPS一样都做不到。

lmw8023zz

jefffire 发表于 2014-9-1 13:01
又开始了。能防木马就是好。
“超级正宗”主动防御，结果防不住。最后还是要增加单步拦截才能防。那这个“ ...

这只是对主动防御的一种定义，并不代表主动防御可以代替所有的防御手段。双击样本后过实时扫描，被主防拦截的情况也很多，你能说实时扫描无意义吗？

zandalong

主防，是主动防御的简称，这个词汇来源于国内，首创于微点刘旭。主要防御手段为“行为分析”，就是检测应用程序运行过程当中的实时行为。
而HIPS，中文翻译为“主机入侵防御系统”，国内民间的简称也叫“主防”，HIPS是国外早就有的概念。
国外大部分安全软件，所谓的主防，其实就是HIPS，只是默认模式下利用很多手段来改善HIPS提示过于频繁的缺点（原因为不易用），例如：信誉云、内置白名单、内置规则等等。所以给人一种错觉，感觉是多步判断。
HIPS分为两种，传统HIPS和智能HIPS，两者的区别在于内置规则的多少、和是否可以手动建立规则。但不管哪一种，HIPS本身都不具备分析行为的能力。

而启发式杀毒，其实也分为两种，一种是静态启发、一种是动态启发。
静态启发的意义在于，寻找不同的恶意软件的相同点，这样同一个启发可以杀掉上百种、上千种拥有同样特点的恶意软件。红伞的启发杀毒、和小A的基因杀毒都属于这种范畴。
动态启发的意义在于，启发引擎自动虚拟一个运行环境，在虚拟环境中检测应用程序的行为。所以这种启发的检测率很高，也因为高启发运用“行为分析”的技术，所以有些人认为“高启发”也属于主动防御的一种。这种启发的代表有NOD32的高启发、和费尔的虚拟机。

其实HIPS、主防、启发，这类名字没有什么明确的定义，因为每个厂商对于这类的理解和定义不同（也不乏有打文子游戏的），所以有可能叫的是一个名字，但东西却不是一个东西。

zandalong

houtiancheng 发表于 2014-9-1 15:09
那不就是单步和多步的区别么

我还没看你写的帖子
对于这类的帖子，我时常都是直接回复。
因为看的太多了....
就像身上的“垢痂”，解释完了，过两天又有人问。都麻木了。

houtiancheng

zandalong 发表于 2014-9-1 16:24
我还没看你写的帖子
对于这类的帖子，我时常都是直接回复。
因为看的太多了....

我也是又看到月经贴有感而发而已

jefffire

lmw8023zz 发表于 2014-9-1 15:21
这只是对主动防御的一种定义，并不代表主动防御可以代替所有的防御手段。双击样本后过实时扫描，被主防 ...

又加全量特征码，又加单步拦截。"微点主动防御"，还能叫“微点主动防御”吗？或者说还符合你说的主动防御吗？

lmw8023zz

jefffire 发表于 2014-9-1 18:01
又加全量特征码，又加单步拦截。"微点主动防御"，还能叫“微点主动防御”吗？或者说还符合你说的主动防 ...

包含主动防御功能的全功能安全软件，叫主动防御可能是因为这个名字已经叫惯了，也许还有一丝丝噱头在里面。但是我还是认为，需要用户参与的不能算主动防御。