hips主动防御谁家强有图有真相并不是拦截这么简单！

显示全部楼层 · 发表于 2016-3-21 07:55:14

蓝天二号发表于 2016-3-20 15:49
我想知道，怎么没有 ESS 的HIPS？？？？

不是主动防御啊，因为

显示全部楼层 · 发表于 2016-3-21 09:56:14

pal家族发表于 2016-3-20 05:10
请教下。
1 你是如何做到卡巴文件监控可以杀时，还可以绕过，测试主防的？

1，因为是15年的病毒库，断网。。
2，不是只启动，是有很多病毒都有一个共同特征，就是启动后进入休眠状态，15秒后才开始真正的行为，bd就是依靠这一点拦截的，你可以看看图片的时间，是15秒后被拦截病毒退出
3，任何事情都是双面的，就好比启发，比一对一特征拦截更多更容易广谱，但是结果当然就是误杀。这个是相对的，拦截点越靠前，加上有很好的辨识机制的话就是神器。否则就是误报小王子了。靠后的如果可以解决不回滚的bug其实也没事情，现在问题在于拦截靠后的病毒有能力让回滚全部失效。。。。。不知道这个是技术难题还是什么，所有回滚机制的杀软全部遇到这个问题

显示全部楼层 · 发表于 2016-3-21 09:56:32

亏神发表于 2016-3-20 05:13
BD的paranoid模式就是防火墙互动啊

谢谢，找到了，原来在这里

显示全部楼层 · 发表于 2016-3-21 10:06:35

ccboxes 发表于 2016-3-20 05:43
你确认BD的主防有云联动和白名单？
BD主防的原理并不是传统的启发特征库方式，最后一段的解释并不正确。
...

具体技术我不知道，官方对atc有描述是把过去的病毒行为特征升级为了系统威胁行为特征，这个我做一个大胆的猜想，你可以参看其他所有行为拦截的软件，他们的报法都有很多后缀，应该就属于病毒一连串行为特征提取，比如自我复制添加自启动，这个是一个报法，侵入进程写进程控制线程又是一个报法。而bd不做这种事情了，他是把所有的病毒行为都细分成一个一个的点，比如你什么都不干就是添加自启动我也要把你认为是威胁。这个我做过实验的，写了个小软件，只是添加自启动也被拦截。至于是否有更高深的技术，我无法明了，只能看表面，哈哈

显示全部楼层 · 发表于 2016-3-21 10:17:19

欧阳宣发表于 2016-3-20 06:16
麻烦测试一下趋势繁中版吧，谢过了

趋势拦截点也靠后，人家主打云，断网就不是太公平了，哈哈

显示全部楼层 · 发表于 2016-3-21 10:19:14

windows7爱好者发表于 2016-3-20 07:04
求测试EAM

国内网络环境，这个就等于万物杀了。。。。

显示全部楼层 · 发表于 2016-3-21 10:21:09

HEMM 发表于 2016-3-20 08:12
有的，CCAV的主防还带回滚，就连毛豆CF,CI也有，而且还是新主防，比8.2的新，据说9.0要采用该主防。
...

国内环境，都tm入沙了，杀不杀的有什么影响

显示全部楼层 · 发表于 2016-3-21 10:31:59

蓝天二号发表于 2016-3-20 08:49
我想知道，怎么没有 ESS 的HIPS？？？？

那个太难用。。。。。纯手动

显示全部楼层 · 发表于 2016-3-21 10:36:15

tgzw1680 发表于 2016-3-21 10:31
那个太难用。。。。。纯手动

有毛豆还手动？、

显示全部楼层 · 发表于 2016-3-21 12:01:09

感觉卡巴的拦截逻辑很人性啊

[分享] hips主动防御谁家强有图有真相并不是拦截这么简单！