求介绍BD的ATC原理

fireherman

ysj963 发表于 2016-10-4 19:33
所以说主动防御到底是靠什么判断是不是病毒呢？这也太危险了。

每个杀软都不同（那是人家的核心技术和商业机密），我又不是程序员，请勾引杀软公司的老板，然后查询吧。

ysj963

fireherman 发表于 2016-10-4 19:36
每个杀软都不同（那是人家的核心技术和商业机密），我又不是程序员，请勾引杀软公司的老板，然后查询吧。 ...

我只能说我相信BD库大，但不相信它比ESET对病毒木马行为特征的理解更深。其实我最希望变成COMODO哪种模式，装机的时候就装上，先扫一遍，然后放行现在扫过的，以后未知的进来再识别。不知道这种是不是一种折中的手段。还是建议哪家受收购了COMODO算了，省的折腾。。

fireherman

ysj963 发表于 2016-10-4 19:47
我只能说我相信BD库大，但不相信它比ESET对病毒木马行为特征的理解更深。其实我最希望变成COMODO哪种模式 ...

Comodo就是靠HIPS和防火墙来防御的，前提是要懂得如何写规则。

你的想法真……

Comodo主要的营收是数字证书，是真正的“隐形富豪”，如果不是因为他推出杀毒软件CFW，CIS等，可能大部分普通用户根本不知道有这家公司。（就像 GoDaddy （数字证书，域名等）那样，除了站长等网络特殊用户，普通人根本听都没听过）

大胆说句：现在很多杀毒软件公司，都未必有那样的财力能“吞下”Comodo这头“大象”。

fireherman

ysj963 发表于 2016-10-4 19:47
我只能说我相信BD库大，但不相信它比ESET对病毒木马行为特征的理解更深。其实我最希望变成COMODO哪种模式 ...

BD目前的发展方向是“云入库”，ESET目前依旧是传统病毒入库。

一个杀软也好，一个公司也好，能不能生存发展，取决于他有没有前瞻性。

就好比30年前的Apple，开创了个人电脑的先河，却只能独处一偶；IBM奠定了PC的架构，但只为他人作嫁衣；而Intel就是在这2个发明者的手里，把个人电脑市场据为己有，原因就是Intel的前瞻性。

而进10年，Apple风光无限也是因为其领导者的前瞻性（乔布斯）；所以……难听的说句，国产的手机再怎么搞噱头都没用：你怎么样都要跟着人家的屁股走。

ysj963

fireherman 发表于 2016-10-4 20:07
BD目前的发展方向是“云入库”，ESET目前依旧是传统病毒入库。

一个杀软也好，一个公司也好，能不能生 ...

个人觉得真正的趋势还是  系统公司和正规软件公司共同制定更好的软件通用规则，规则乱，HIPS也乱，规则清楚简明，HIPS也更容易使用，弄不好以后WINDOWS要在HIPS领域崛起。。。  

windows7爱好者

HIPS都快频临灭绝了
楼主你还在倒着想.....
HIPS只有在专业人士手中，特殊环境下，才能更好的发挥用处
现在都讲求智能化，高效率，主防毫无疑问是符合时代潮流的
你要问ATC，很简单，程序运行，ATC内置规则，这些规则就是评分标准，一个程序作出添加启动项的行为，则根据评分规则，进行加分，当加分到一定程度，达到击杀的标准时，ATC就会认为此程序是危险的，就杀掉了
但是这样很容易误报，所以ATC会联网查询信誉，所以ATC并不是万物杀，误报控制的很好的
缺漏之处，请@ccboxes 补充

pkuyzy

windows7爱好者 发表于 2016-10-4 20:38
HIPS都快频临灭绝了
楼主你还在倒着想.....
HIPS只有在专业人士手中，特殊环境下，才能更好的发挥用处

http://bbs.kafan.cn/thread-2038268-1-1.html
求问一下ATC是会联网查信誉吗？

活跃威胁控制在特定程序在特定操作系统中运行时监控它们的动作。它寻找类似恶意软件的行为，并基于每个进程的动作及其前后操作给予评分。当一个进程的总分达到给定的阈值，该进程将被报告为有害的。依据用户的配置文件，Bitdefender将终止、隔离进程并修复威胁，或询问用户以确认要采取的操作（取决于Bitdefender产品的配置文件）。用户配置文件适用于特定产品，其用法因产品而异。

ysj963

windows7爱好者 发表于 2016-10-4 20:38
HIPS都快频临灭绝了
楼主你还在倒着想.....
HIPS只有在专业人士手中，特殊环境下，才能更好的发挥用处

看来做的好的永远是80分技术，20分方便！

windows7爱好者

pkuyzy 发表于 2016-10-4 21:02
http://bbs.kafan.cn/thread-2038268-1-1.html
求问一下ATC是会联网查信誉吗？

会的，以前有论坛前辈说过
不然ATC确实无法控制误报

ccboxes

首先楼上那几位都在说什么啊。。。。。。。。。。。。。。。。。。。。。
基本没对的。。。。。。。。。。。。。。。
关于各种概念我在坛里科普过好几回了
这次写个长的，欢迎讨论。另外求原创加分，冲击正式写手 。
以下解释如无特殊说明，均针对可执行文件病毒。
为方便说明，每个名词会找一个例子讲解

@windows7爱好者  @fireherman  @欧阳宣  @T.Yoshiyuki @ysj963

以下开始解释，首先要知道几个名词：

启发式分析：与最初始的基于特征比对的查杀技术（安软简单的将文件数据与病毒库中的数据比对，如MD5，相同则查杀）不同，使用启发式分析的安软试图通过一系列手段还原出可执行文件的实际行为，并将其与记录病毒行为方式的启发特征库相比对，在最理想的情况（安软可完全解析出目标文件可能执行的动作）下，一个启发特征就可以查杀一整类病毒，大大节省了空间和性能。实质上是对工程师分析病毒过程的模仿。


设计难度和实现难度：对于工程师（不是对用户！）而言，要评价一项技术是否易用看两方面：一、设计难度，即该技术本身逻辑的复杂程度，逻辑越复杂，编写时越容易出错，对性能的消耗越大；二、实现难度，即该技术对系统环境要求的苛刻程度，要求越苛刻，基础架构就越复杂，运行越不稳定。举个例子，我现在正在编写的智能车控制程序，可以平稳控制小车沿赛道行驶，只需要在小车上焊两个传感器即可正常工作（实现难度小）代价就是使用了复杂的控制算法以仅凭两个数据预测小车可能的姿态和轨迹，使得芯片功耗大，程序BUG多，反应稍慢（设计难度大）。师兄的程序需要在小车上焊六个传感器以获得小车的实际姿态，任何一个不正常就会跑飞（实现难度大），但算法简单，程序短小（设计难度小）


静态启发：属于执行前保护的一种，即安软在可疑文件载入到内存并执行前，对其数据进行的启发式分析，整个过程中，可疑程序没有运行，典型的像ESET的高级启发式（各大都有，但ESET的效果可称最好），对于由高级语言（C++等）编写的程序，由特殊的反编译器反编译(没学过编程的人可能难以理解编译的概念，也不需要，你就知道代码需要编译才能被系统识别运行就行），根据得到的代码分析出程序可能执行的命令种类和顺序，再与启发特征库中的行为方式比较，近似则报毒。这种方式的优点是能在恶意软件对系统造成影响前查杀，能识别大部分变种病毒，实现简单；缺点是受限于PC的性能和反编译器能识别的代码种类，杀毒引擎不可能彻底解析出程序要执行的命令，只能解析出一部分不知正确与否的命令用以比对，可以被加花指令等方式绕过，换种说法就是，静态启发的查杀率存在天花板，无论如何改进引擎都无法逾越


动态启发：为弥补静态启发的缺点，而出现的一种启发技术（如BD的B-HAVE技术），可以看作主防的前身，原理是在可疑程序实机运行前，现在一个隔离的、受到监控的虚拟环境中运行可疑程序几十或几百毫秒，从何获得程序在这一小段时间内的准确行为，将其与启发特征库作比较。优点是能识别不少利用无关指令混淆真正行为的病毒，缺点是占用大，拖慢系统反应速度，以及最致命的——只要在真正的有害行为前加入几秒钟的延时就可绕过。现在存在感已越来越低，几乎无法在平常使用中见到。


HIPS：主机入侵防御系统的英文缩写，拥有FD（文件防护）、RD（注册表防护）、AD（应用程序防护）三种功能。在任何程序试图执行任何行为时拦截并弹窗询问用户是否放行，一般可通过预设规则来减少弹窗数量，增加易用性，实质上是一种把系统控制权完全交给用户的安全工具，其效果完全取决于用户计算机水平，缺点是需要深入系统底层的内核驱动以拦截其他程序的行为，实现困难，对系统运行干扰大大神用此裸奔毒网，小白用此徒增烦恼。


主动防御：主防属于执行后保护，在主防运作时，可疑程序已经加载并正在执行。其定义现今仍有争议，本文取广义，因而分为两种。同时由于主防建立在HIPS的基础上，HIPS的缺点主防也存在。

单步主防：在HIPS的基础上，预先设定从宽松到严格的几套限制规则（默认阻止与询问的行为依次增加），一个新程序运行时，首先通过其他手段判断该程序的可疑程度，再根据这个可疑程度分别套用限制强度不同的规则，实现安全程序进行某动作默认放行，可疑程序进行同一动作时询问或阻止。优点是相对于使用繁琐的HIPS，实现了安全性和便利性的平衡；缺点是极度依赖云端信誉库以判定程序可疑程度（不联网时要么安全性大降，要么弹窗烦死），被白加黑针对严重，存在误放过恶意动作的可能性。典型的例子就是360，背靠全国最大的云端信誉库，360也是目前最优秀的单步主防之一。

多步主防：在HIPS的基础上，去除规则模块，用类似静态启发的启发分析模块代替。在可疑程序实机运行时，实时获取其执行的真实动作，与启发特征库中的行为方式进行比对，发现行为近似就终止其运行，有的多步主防还带回滚功能，可以在终止可疑程序运行后逐步撤销其对系统进行的更改。优点是打破了静态启发的天花板，不再受花指令、加壳等免杀方式的困扰，对变种查杀能力强；缺点是对行为模棱两可的可疑程序（如流氓软件，勒索软件）效果不好，存在误放过恶意动作的可能性（回滚部分弥补了该缺陷）。