FSCS本地怎么样

ccboxes

欧阳宣 发表于 2016-1-15 15:31
连云都滞后了，本地主防规则岂不是更加滞后

BD的交互从来被人诟病，autopilot一开，不给弹窗不给选择 ...

你这么说是把预设规则的HIPS和主防混淆了，它们的区别在于有没有启发分析。操作系统是相对稳定的，API也是固定的，恶意软件无论如何变种，想要获得足够的权限实现目的，总要有一些动作（加驱、注入、钩子等）是逃不开的。所以与预设规则的HIPS不同，主防的启发可以用一种定义拦截无数变种。同时主防是动态监视运行中的进程，不会像静态启发（传统引擎的启发典型的就是ESET）一样被花指令欺骗，这就是主防的前瞻性。
至于云，首先，云无法服务于断网的计算机，当无法连接到云时，便不能保护用户，当然现在的电脑很少有不联网的，这一点影响较小；另外云也分很多种，简单靠识别签名、拉黑MD5的云只是扩大了用户反馈的数量提高了速度，在新样本被工程师处理完之前仍有空窗期；而像红伞APC或诺顿社区这样的启发云，相当于把本地启发分析的过程搬到云上，依托服务器强大的性能，还能进行本地无法进行的深度启发，这样的云对抗未知威胁时滞后性就小，但这样的云仍然需要上传文件至服务器上，无法实时监控。
至于第二点。这就是观念不同了，我认为作为智能主防，需要用户参与便是失败，须知大部分用户并没有多少知识支撑其判断。对于FS，实际上很多次绿加黄都可以达到100%，但作为一款面向大众而不是少数高端用户的安软，自动化才是应该追求的。

欧阳宣

ccboxes 发表于 2016-1-15 17:30
你这么说是把预设规则的HIPS和主防混淆了，它们的区别在于有没有启发分析。操作系统是相对稳定的，API也 ...

全自动化当然最好，但可惜主防不是人，永远无法做到0误报。。大部分用户没法判断，但也别歧视了有能力作出判断的人的选择权利。这就是为啥任何时候都需要有一点基本的弹窗以作余地

据我所知ATC依然是基于一定的规则为进程进行总体评分，而这规则是死的。要是这规则可以根据威胁形势进行转变，BD的勒索防护又何必单出来做一个功能？直接把对应的主防规则更新进ATC不就好了。这种根据特定规则来判定的主防也并没有什么启发。你似乎也把hips和主防想得过于分离了，两者的主要差别其实就是需要人操心的多寡而已

再放在整体的层面来看，庞大的BD库加基本主防还要怎样？先不扯楼主说的本地能力是不是你理解的断网能力了，我觉得即便断网FS本地能力也大概可以打90分，你说不不不，BD可以打95分呢，FS不行；这不是强行黑是什么，说话要讲道理。。

ccc-a

ccboxes 发表于 2016-1-15 17:30
你这么说是把预设规则的HIPS和主防混淆了，它们的区别在于有没有启发分析。操作系统是相对稳定的，API也 ...

http://bbs.kafan.cn/thread-1865720-1-1.html
这个可以通过关于DG运作方式了解。。。