楼主: minjiaming
收起左侧

[求助] BD主防没有回滚吗?

[复制链接]
zandalong
发表于 2014-9-5 12:02:44 | 显示全部楼层
胖福 发表于 2014-9-5 11:58
如果是行为分析是没回滚的!

为什么这么说?
胖福
发表于 2014-9-5 12:36:36 | 显示全部楼层

FS的主防要是直接触发内置规则的话程序根本就运行不起来,直接拦截;如果是行为拦截的话就是一个HIPS类似的,发现可疑行为阻断进程,但不回滚操作!
zandalong
发表于 2014-9-5 12:43:35 | 显示全部楼层
胖福 发表于 2014-9-5 12:36
FS的主防要是直接触发内置规则的话程序根本就运行不起来,直接拦截;如果是行为拦截的话就是一个HIPS类似 ...

我还是不太理解。
FS的DG不知道是否带有内置规则,我只知道DG能识别的,直接就运行不起来。
胖福
发表于 2014-9-5 12:44:52 | 显示全部楼层
zandalong 发表于 2014-9-5 12:43
我还是不太理解。
FS的DG不知道是否带有内置规则,我只知道DG能识别的,直接就运行不起来。

感觉就是启发检测!
饭@avast
发表于 2014-9-5 12:49:19 | 显示全部楼层
zandalong 发表于 2014-9-5 12:43
我还是不太理解。
FS的DG不知道是否带有内置规则,我只知道DG能识别的,直接就运行不起来。

DG是双击时查询信誉并由Gemini启发引擎检测.如果有问题,那就在运行前就提示了.没问题就放行.运行后,DG会注入dll以监视动作,比如联网可能会询问,注入会询问(仅32位),也会检测漏洞利用.类似于一个HIPS.如果用户拦截,就结束进程,并加入不信任组.回滚是没有的
zandalong
发表于 2014-9-5 12:50:51 | 显示全部楼层
胖福 发表于 2014-9-5 12:44
感觉就是启发检测!

启发检测?你指的是虚拟机型的启发?
zandalong
发表于 2014-9-5 12:53:58 | 显示全部楼层
饭@avast 发表于 2014-9-5 12:49
DG是双击时查询信誉并由Gemini启发引擎检测.如果有问题,那就在运行前就提示了.没问题就放行.运行后,DG会 ...

那个不信任组是在本地,还是由用户们的判定数量统计后建立在云端?
这样的话,DG就是云鉴定和虚拟机启发的整合体,并不内置规则?
饭@avast
发表于 2014-9-5 13:00:08 | 显示全部楼层
zandalong 发表于 2014-9-5 12:53
那个不信任组是在本地,还是由用户们的判定数量统计后建立在云端?
这样的话,DG就是云鉴定和虚拟机启发 ...

加入不信任是指以后双击运行这个程序DG会直接阻止,并提示用户这是"已被阻止的程序".
用户选择阻止一个程序,这个信息也会反馈到云上.选择放行也会.记得刚开始用百度输入法,FS会要求用户手动选择.现在是自动加入DG允许列表了,这应该是云端信誉的作用.
Gemini引擎是不是虚拟机启发不清楚,但确实是某种启发.但FS似乎把样本运行后的监控引擎也算作Gemini引擎,后者是属于动态监测了.
zandalong
发表于 2014-9-5 13:14:20 | 显示全部楼层
饭@avast 发表于 2014-9-5 13:00
加入不信任是指以后双击运行这个程序DG会直接阻止,并提示用户这是"已被阻止的程序".
用户选择阻止一个程 ...

也就是说,不信任组是在云端,而判定来于各各用户的反馈收集。
饭@avast
发表于 2014-9-5 13:18:23 | 显示全部楼层
zandalong 发表于 2014-9-5 13:14
也就是说,不信任组是在云端,而判定来于各各用户的反馈收集。


嗯,先是由用户判断(或者直接被Gemini启发了),放在本机,双击后DG会基于本机已有的阻止名单拦截,并显示"已被阻止的程序".
反馈一定人数后信誉就变差,DG双击拦截会显示信誉信息为差.不过很少见到.信誉未知导致拦截的倒不少
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 22:56 , Processed in 0.561830 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表