查看: 11570|回复: 42
收起左侧

[讨论] 求介绍BD的ATC原理

  [复制链接]
ysj963
发表于 2016-10-4 16:39:59 | 显示全部楼层 |阅读模式
是种什么黑科技?虚拟行为?能防捆绑吗?是不是还属于HIPS范畴。
欧阳宣
发表于 2016-10-4 16:51:01 | 显示全部楼层
BD区有人翻译过ATC的官方白皮书
T.Yoshiyuki
发表于 2016-10-4 17:19:23 | 显示全部楼层
大概是虛擬環境跑行爲然後打分吧
白皮書說到底也是面向用戶的 具體技術內容用戶知道了也聽不懂
不能防捆綁
不是HIPS 建議好好學習下主防和HIPS的區別
ysj963
 楼主| 发表于 2016-10-4 17:28:58 | 显示全部楼层
T.Yoshiyuki 发表于 2016-10-4 17:19
大概是虛擬環境跑行爲然後打分吧
白皮書說到底也是面向用戶的 具體技術內容用戶知道了也聽不懂
不能防捆 ...

我是不明白为什么代码不就代表了行为,还用虚拟行为跑?是不是也算一种更大范围的动态启发。
3801187
发表于 2016-10-4 18:06:44 来自手机 | 显示全部楼层
本人在百度百科上看觉的ATC是万物杀的几率比较大
ysj963
 楼主| 发表于 2016-10-4 19:14:00 | 显示全部楼层
3801187 发表于 2016-10-4 18:06
本人在百度百科上看觉的ATC是万物杀的几率比较大

我也是这么想的。。。
fireherman
发表于 2016-10-4 19:20:32 | 显示全部楼层
本帖最后由 fireherman 于 2016-10-4 19:38 编辑

ATC是【主动防御系统】的一种

HIPS是【主机入侵防御系统】

名字相似,但两者是不同的。

简单地说……主动防御属于动态防御(病毒、木马、程序等已加载到内存),HIPS属于静态防御(病毒、木马、程序等未加载到内存)

实例就如:

一个恶意程序,叫 abc.exe ,运行它后,它会在系统目录生成一个 123.sys 的驱动文件

主动防御:运行abc.exe后,发现它写入文件到系统目录的 123.sys 是一个病毒,于是把abc.exe“从内存里赶出来”并且删除abc.exe和123.sys。
(123.sys 出生后马上夭折,“被主动防御杀死”)

HIPS(规则):运行abc.exe后,(HIPS定义的规则)侦测到abc.exe写文件123.sys到系统目录,且该规则并不允许abc.exe这么做,于是阻止。
(123.sys 从来没见过这个世界,“胎死腹中,HIPS让它流产”)

比喻可能很猥琐,MM免观。
ysj963
 楼主| 发表于 2016-10-4 19:28:07 | 显示全部楼层
本帖最后由 ysj963 于 2016-10-4 19:29 编辑
fireherman 发表于 2016-10-4 19:20
ATC是【主动防御系统】的一种

HIPS是【主机入侵防御系统】


再说说原理呢,我相信能听懂。我是觉得HIPS相对更安全!
fireherman
发表于 2016-10-4 19:31:08 | 显示全部楼层
ysj963 发表于 2016-10-4 19:28
再说说原理呢,我相信能听懂。我是觉得HIPS相对更安全!

编辑了回复,你在看看。
ysj963
 楼主| 发表于 2016-10-4 19:33:51 | 显示全部楼层
fireherman 发表于 2016-10-4 19:31
编辑了回复,你在看看。

所以说主动防御到底是靠什么判断是不是病毒呢?这也太危险了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-8-20 07:39 , Processed in 0.147291 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表