三鹿零还是有发展前景的

猪头无双

http://bbs.kafan.cn/thread-758061-1-1.html

这帖子提到常见的启发引擎技术，还是比较老的帖子

http://www.symantec.com/content/ ... re%20Protection.pdf

这是sonar的官方白皮书，看好地址哟

基于行为的实时防护
SONAR 在进程运行时监控其行为，例如，尝试更改浏览器主页，安装浏览器工具栏，监控击键以及其他近 1,400 项行为。它还考虑进
程，将各行为都置于完整的环境下：
• 出处 - 原始文件是否是从可信站点下载的，是否是从网络共享复制的，是否是通过可移动介质安装的等等
• 内容 - 原始文件是使用高熵值加密、“打包”和伪装的吗？2 它导入哪些 Windows® 功能？代码是使用商业解决方案还是一个黑客喜欢的低端非主流编译器编写而成的？
• 关系 - 进程创建的任何可执行文件有被识别为恶意软件的吗？
以完整环境呈现的行为结果清单随时可使用实验室开发并通过 LiveUpdate 分发的分类规则进行评估。通过实时监控进程，SONAR 可以对应用程序行为（包括高度混淆的恶意软件副本的行为甚至是待创建威胁的行为）进行编目。环境信息有助于该解决方案提高速度，同时抑制错误警报。
应用程序行为分类
虽然 SONAR 监控的大量行为可以为区分恶意还是良性进程的规则奠定广泛的统计基础，但是规则本身的质量和效率同等重要。设法
“即时”评估客户端系统内进程的规则型解决方案在质量和效率方面竞争激烈：更高的精确度消耗更多的处理能力；性能降级意味着面临
更高的漏报和/或错误警报风险。、
SONAR 采用了一种不同的方法，可以在最大限度提高有效性的同时不牺牲工作效率。系统和专家在赛铁克实验室里脱机分析联机收集到
的应用程序实例的行为（到目前为止这些行为已达数亿个），创建出客户端系统应用时几乎没有性能影响的分类规则。赛门铁克已经制定
了 1,000 多项这样简单的复合规则，基本的示例包括：
• “由 VeriSign® 签名的”（可靠）
• “中止赛门铁克进程”（恶意）
• “修改浏览器主页”但“不是在 Visual Basic 中开发的”（可靠）
对读取或写入注册表敏感区域、创建可执行文件、修改 DNS 设置等代码的其他规则。
收集和分析所有这些信息依靠赛门铁克的独特优势，包括世界上规模最大的应用程序实例存储库以及囊括世界各地数亿个情报站的网络，3它们可以持续提供新实例。还有两个优势值得一提。
首先，覆盖范围广泛以及广泛分布的其他赛门铁克安全技术为 SONAR 分类提供了其他来源没有的环境和分析功能，其中包括：
• 防病毒 - 该代码创建的可执行文件看得出是病毒吗？
• 入侵防御 - 这种应用程序是显示出类似 Bot 的行为，还是尝试创建 Bot？
• 基于信誉的安全 – Symantec Insight 信誉系统可计算所有文件的社区信誉，应用程序是否被它的高级分析功能归类为恶意的？4
其次，赛门铁克技术和安全响应中心通过以下有效方式扩大了分类规则的范围：
• 确定定义威胁系列的行为顺序，例如“PC Scout”虚假防病毒软件系列的成员，都从 Temp 文件夹启动，将“AVE”写入到
Windows 注册表，创建“hostinfo.txt”文件，然后修改浏览器主页面，这个顺序一成不变
• 审核并证明计算机授权的分类规则,以将其分门别类，这样 IT 安全管理员就可以更好的理解和运用
• 发布整合了来自 SONAR、其他赛门铁克防护技术和赛门铁克人际情报的恶意软件说明，例如，对 RougueAV!gen20 和 Zbot!gen1
的报道
人工分类提高了响应速度，因为与逐个实例测试、分析和发布规则相比，逐个系列的方式速度更快。此外，由于各规则不仅要由数量更大
的证据提供支持，还要依托经验丰富的安全专家的专业知识以及经验，因此与单纯的机器分类相比，它还减少了误报的情况。
行为策略锁定
赛门铁克在新分类规则或变更后的分类规则就绪或重新认证后即给予分发，不会由于固定的更新安排或缓慢的补丁程序周期造成延迟。客
户端计算机启动时就立即使用规则识别和删除恶意软件。
但是，在少数情况下，只识别和删除是不够的。对于由 Tidserv Rootkit 控制的 Windows Print Spooler Server 尝试修改分区表的非进程威胁，就无法将其同无害的代码区分开来，换言之，即无法将其识别为恶意软件。此外，删除感染主要 Windows 系统文件的寄生病毒威胁时还会影响系统的稳定性。
在上述情况下，SONAR 会锁定可疑代码，拦截并阻止非法注册表更改、文件删除、文件夹创建等操作，同时允许执行对系统、用户或网络没有风险的操作。这种方法可以防御可能影响应用程序实用工具或系统稳定性的过度行为，同时仍可以提供出色的防护，防御甚至是高度加密、单个实例定制的恶意软件或零日恶意软件。
实时行为监控、计算机和人工分类与阻止或锁定可疑代码功能的完美组合，可以提供最后一道防线，高效防御那些经过了工程设计以躲避
基于特征的传统防病毒技术的复杂恶意软件。它在执行时删除或隔离威胁，而不删除高度信任的文件，不捆绑复杂模拟程序中的系统资源，也不依靠用户来区分真假恶意软件警报或将真正的电子邮件与网页仿冒社交骗局攻击区分开来。

还是那句话，小白不可怕。多看书，少说话。

ysj963

猪头无双 发表于 2016-10-13 11:55
再顺便给你一击

http://bbs.kafan.cn/thread-2033697-1-1.html

我不是说云没用，但是本地也需要加强，毕竟很多时候笔记本都是出于移动中，安装、插U盘，还有的地方限网速，反正我也是过于综合症了，不搞了，我也不是搞技术的，我属于爱好定制用户！我觉得真正接近完美的东西开发商也的确不会去做，我只是想诱导开发商去做有利于用户的事！我们今天提点要求他们还不答应，要是不提要求，都不知道会成什么样子。假如以后人家近距离强行用蓝牙和无线连上你的电脑，你的安全软件又连不上云，怎么办？

猪头无双

ysj963 发表于 2016-10-13 12:45
我不是说云没用，但是本地也需要加强，毕竟很多时候笔记本都是出于移动中，安装、插U盘，还有的地方限网 ...

真要是那样的话，恭喜你，你可以直接用HIPS了，有好的规则，杀软都不必用。

传说中还有一个东西叫影子系统，他有个近亲叫沙盘，沙盘的近亲是虚拟机。这三样哪一样装好了都可以不再考虑杀软的问题。

ysj963

猪头无双 发表于 2016-10-13 12:07
http://bbs.kafan.cn/thread-758061-1-1.html

这帖子提到常见的启发引擎技术，还是比较老的帖子

再说句话，三鹿林现在的各种模块也很容易被专业厂家模仿，只不过人家没有花那么大精力去搞，人家主营业务收入足够了，360是在人家不注意的地方开了一刀，人家要是正面过来搞，也是很危险的。而且你说专业HIPS会导致系统崩溃，这也对，我一直都是在说默认不开专业HIPS，小白也不回去折腾专业选项，其实360最容易让系统崩溃的恰恰是优化选项，会搞的一会这不能用，一会那不能用，他不是也摸索着过来了吗，如果能增加专业HIPS选项，影响你吗？你可以不用啊！有免责条款。又没逼你用。你还不允许别的用户对产品提出功能改进？360会怕影响系统崩溃？咱们坐等360发展，看看以后的版本！谁输，谁送一套情趣内衣！外加安全用品！

猪头无双

ysj963 发表于 2016-10-13 12:53
再说句话，三鹿林现在的各种模块也很容易被专业厂家模仿，只不过人家没有花那么大精力去搞，人家主营业务 ...

好主意，我应下了。你可以去直接找周鸿祎提意见了。

还是那句话，你加了专业HIPS又如何，架不住装B用户的自我卖弄。加了之后又如何，早晚也是被废弃。 看东西要看最后结果。

猪头无双

最后再说一句，还是那句话，既然专业用户少，360主打占领小白市场，PC端就不会加专业HIPS，加了没几个用的，还平白无故增加体积，

为了你那区区千分之一用户，就要强迫其它99.9%的人必须接受？呵呵，是个正常的管理者就不会考虑这么干的，闲置资源浪费，还不能生钱，不如游戏来的快。

你就慢慢自娱自乐去吧，我也不再回了。反正这五六十楼爬下来，谁有理谁没理大家心知肚明。

ysj963

猪头无双 发表于 2016-10-13 13:06
最后再说一句，还是那句话，既然专业用户少，360主打占领小白市场，PC端就不会加专业HIPS，加了没几个用的 ...

放以前360不会，以后，360可是要做安全企业的巨擘的！是要对政府、军队、互联网提供保护的！我也就说到这。
、

猪头无双

ysj963 发表于 2016-10-13 13:23
放以前360不会，以后，360可是要做安全企业的巨擘的！是要对政府、军队、互联网提供保护的！我也就说到这 ...

你把360想的过于伟大了。政府企业军队都有瑞星这样的老牌，专版保护的。

MelissaBenoist

ysj963 发表于 2016-10-13 13:23
放以前360不会，以后，360可是要做安全企业的巨擘的！是要对政府、军队、互联网提供保护的！我也就说到这 ...

国家部门大部分还是用的老牌杀毒   江民 金山 微点 瑞星 的企业版用的居多

ysj963

猪头无双 发表于 2016-10-13 13:29
你把360想的过于伟大了。政府企业军队都有瑞星这样的老牌，专版保护的。

那就好，希望三鹿林 永远都是2号！安全！我希望三鹿零的用户以笔记本为主，想当年还没人知道三鹿零的时候看着别人电脑一天到晚重装是一件多么心满意足的事！