楼主: 小小瞻
收起左侧

[技术原创] 【新增微点】10大杀软本地主防测试—对抗勒索软件【参测杀软中含无本地主防的杀软】

  [复制链接]
驭龙
发表于 2017-1-6 10:38:49 | 显示全部楼层
jefffire 发表于 2017-1-5 21:43
根据你说的“第一受害者” 推出主防比云重要。这一点我没理解没错吧。
而“第一受害者”的依据就是你的 ...

姐夫淡定吧,楼上二位喜欢的是直接双击测试,其他在二位眼里并不重要,只关心自己的测试结果,而不考虑环境以及真实的黑产业的发展(新威胁放出的瞬间,如果不是免杀,那何必放出),我们还是改为吃瓜群众吧。

我现在只关心安软厂商对未来产品的规划和构想,其他个人测试什么的,一笑而过即可。
houtiancheng
发表于 2017-1-6 10:46:21 | 显示全部楼层
本帖最后由 houtiancheng 于 2017-1-6 10:47 编辑
小小瞻 发表于 2017-1-6 05:01
首先,既然是信誉未知的,何来的上传云端分析,信誉未知就是云端分析的结果。其次,你说云可以把信 ...

信誉云确实遇到全新文件就只能回报一个“未知文件”了事,不过jefffire的意思是那种:

文件运行->查信誉->信誉未知->本地启发判断潜在的威胁程度->潜在威胁程度较高->阻止->将此文件上报->云端分析行为+机器学习分类->脉动更新至本地->下次运行,直接报毒(如果分析结果为黑文件)/直接放行(如果为白文件)

的策略。
这样一来,只要云够快,用户的受到阻止的等待时间也不会太长。

貌似诺顿默认设置就是这种策略,只不过因为中间还是夹了个本地启发来判断是否需要立即阻止,所以还是不能达到100%拦截率(这样就已经是万物杀了,要是去掉这个环节……估计没人受得了)。

ps:以上流程纯粹是测试而来的猜测,无逆向基础
驭龙
发表于 2017-1-6 10:51:22 | 显示全部楼层
houtiancheng 发表于 2017-1-6 10:46
信誉云确实遇到全新文件就只能回报一个“未知文件”了事,不过jefffire的意思是那种:

文件运行->查信 ...

给你一篇微软的PPT,就明白姐夫的意思了
http://bbs.kafan.cn/thread-2060917-1-1.html

关于诺顿,你去Symantec区找一下,姐夫当年逆向分析的帖子,看看吧
houtiancheng
发表于 2017-1-6 10:52:39 | 显示全部楼层
驭龙 发表于 2017-1-6 10:51
给你一篇微软的PPT,就明白姐夫的意思了
http://bbs.kafan.cn/thread-2060917-1-1.html


我看过你的帖子,如果我没理解错的话,帖子里说的大概就是我说的这个流程
qftest
发表于 2017-1-6 10:54:29 | 显示全部楼层
houtiancheng 发表于 2017-1-6 10:38
+1
我在另一个帖子里和一个人讲了很久才说服他……
真希望官方能改个名字

我倒觉得Emsisoft的BB是个混血HIPS,不是纯种的,因为BB含有自动行为分析的部份、并不完全依靠用户选 择判断(例如Ransomware侦测等),我记得Fabian曾经说过
驭龙
发表于 2017-1-6 10:55:10 | 显示全部楼层
houtiancheng 发表于 2017-1-6 10:52
我看过你的帖子,如果我没理解错的话,帖子里说的大概就是我说的这个流程

我回复你的时候,你的帖子没有编辑完成

另外各家云都有区别,并不是都像你说的那样,但有的确实是跟你说的差不多
阿里小白帽
发表于 2017-1-6 11:02:27 | 显示全部楼层
BD还是那么的强悍
houtiancheng
发表于 2017-1-6 11:03:51 | 显示全部楼层
qftest 发表于 2017-1-6 10:54
我倒觉得Emsisoft的BB是个混血HIPS,不是纯种的,因为BB含有自动行为分析的部份、并不完全依靠用户选 择 ...

求链接~
我看之前的防勒索测试,好像都是类似HIPS的行为弹窗而不是类主防的报毒弹窗
qftest
发表于 2017-1-6 11:18:24 | 显示全部楼层
houtiancheng 发表于 2017-1-6 11:03
求链接~
我看之前的防勒索测试,好像都是类似HIPS的行为弹窗而不是类主防的报毒弹窗

Fabian的原话不知道上哪找,很久以前在鬼佬论坛看见的,而且是碎片式的答疑,不是集中于某个帖子里,只记得大概意思是Emsisoft增加了行为监测与自动分析,如果想求证的话可以给Fabian发邮件
我觉得hips与主防的最大区别,hips是根据规则无脑给出逐步警示以供选择(无视最终结果),而主防是自己分析流程细节后经过综合判断再主动给出结论(不提供流程中的逐步选择),尽管两者最后都会提供一个弹窗要求用户确认,但从这个特征上说Emsisoft的确含有自动行为分析部份,从自动分析结果弹窗内容来看虽然不是十分精准或者说有缺陷,但有时的弹窗内容确实是自动分析结果确认而不是逐步确认
小小瞻
 楼主| 发表于 2017-1-6 12:12:36 | 显示全部楼层
qftest 发表于 2017-1-6 11:18
Fabian的原话不知道上哪找,很久以前在鬼佬论坛看见的,而且是碎片式的答疑,不是集中于某个帖子里,只记 ...

同样的,求链接或者证据。因为根据我这次测试和以前的测试,Emsisfot 没有出现过主防的弹窗。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 03:08 , Processed in 0.090113 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表