【第三弹】9款杀软启发及主防测试（BDF86.25%领先）

torpedoo

houtiancheng 发表于 2017-1-22 20:23
组件(文件)当然在本地……
我是说本地主防规则和判断能力，按照你的说法其实还是没有吧？

本地没有的，规则放在云端有个好处，就是避免被破解，增强未知威胁防御能力，这是最大的原因。

vm001

houtiancheng 发表于 2017-1-22 20:23
组件(文件)当然在本地……
我是说本地主防规则和判断能力，按照你的说法其实还是没有吧？

本地应该有啊，很多都在本地，但是很大部分是需要查云才能起到作用。。

houtiancheng

vm001 发表于 2017-1-22 21:21
本地应该有啊，很多都在本地，但是很大部分是需要查云才能起到作用。。

我明白你的意思了……
规则虽然在本地就有，但是如果查不到信誉的话就默认放行来降低误报

这看来我怎么觉得360的主防其实更多的是一个HIPS+云白名单……距离真正的智能主防还有距离啊

houtiancheng

torpedoo 发表于 2017-1-22 20:38
本地没有的，规则放在云端有个好处，就是避免被破解，增强未知威胁防御能力，这是最大的原因。

你说的这种好处，我理解为将行为判断和未知文件上传捆绑了起来。
如果想要尝试绕过主防，病毒作者就必须联网运行->强制提交他做的病毒样本。
这样厂商就第一时间获得了他的新样本。
否则，他做的病毒就没法测试是否能过主防，于是被过的概率就下降了。
简而言之，通过反复本地测试主防触发条件来过主防的手段变得无力了。
（当然，这得是强制上传样本的前提下……）

vm001

houtiancheng 发表于 2017-1-22 21:26
我明白你的意思了……
规则虽然在本地就有，但是如果查不到信誉的话就默认放行来降低误报

也不是单纯的hips，360这个有复杂的进程关系判断的。。
也不是所有的灰文件都弹窗。。
还有一些白利用的拦截。。
比如lnk执行cmd来执行白exe加载黑dll。。
360会拦截这个lnk来执行cmd，这时候识别的父进程是explorer，进程是cmd
然而，你主动运行cmd是不会拦截的，同样父进程是explorer进程是cmd

houtiancheng

vm001 发表于 2017-1-22 21:40
也不是单纯的hips，360这个有复杂的进程关系判断的。。
也不是所有的灰文件都弹窗。。
还有一些白利 ...

我不了解钩子的具体操作，但直觉告诉我双击cmd->cmd打开和双击lnk->cmd打开调用的接口应该是不一样的，HIPS把钩子都挂上之后应该能察觉出区别……

如果说它确实有不错的智能判断能力……那为什么不加强本地的判断？误报这么高？
断网=失去保护的风险总觉得挺大……

rrorr

隔壁被锁了我复制到这里来
我以前测趋势恢复快照后要等一等才能100%拦截（等10分钟后再复制进去），但是查看趋势的云状态又是正常的。当然了也有可能只是云主防不稳定，我也只是对比测试了3-4次恢复快照后等10分钟，后来等的不耐烦了直接把快照删掉，从此趋势就消失在了我的虚拟机里

houtiancheng

rrorr 发表于 2017-1-22 21:56
隔壁被锁了我复制到这里来
我以前测趋势恢复快照后要等一等才能100%拦截（等10分钟后再复制进去），但是查 ...

啊咧为啥被锁了……

是这样吗……不过我这段时间估计都不会再做联网测试了，所以没法研究了

vm001

houtiancheng 发表于 2017-1-22 21:51
我不了解钩子的具体操作，但直觉告诉我双击cmd->cmd打开和双击lnk->cmd打开调用的接口应该是不一样的，HI ...

先解释第一个，其实就是判断命令来源。。
然后说这个断网，实际普通用户环境很少有不联网的情况，这是其一，其二断网状态下病毒是哪里来的，其三现在的病毒木马大部分是利益为主，断网同样对他也没什么好处，用户也不会受到实际的损失。。其四断网状态下病毒来源就是剩下移动介质这一个，360在断网状态下对U盘监控好像比较严，会提示在沙箱内运行程序

vm001

rrorr 发表于 2017-1-22 21:56
隔壁被锁了我复制到这里来
我以前测趋势恢复快照后要等一等才能100%拦截（等10分钟后再复制进去），但是查 ...

这个现象360也有，首先是避免卡系统所以需要系统程序全部加载以后，防御软件的监控开始加载，然后就是防御软件的主防也好实时监控也好，引擎需要一个初始化过程