楼主: B100D1E55
收起左侧

[技术原创] 嗅探Microsoft的病毒扫描引擎

  [复制链接]
wopaobuguocpi
发表于 2017-2-12 19:11:11 | 显示全部楼层
月影天心 发表于 2017-2-11 11:30
对于不同的使用者来说,卡巴和WD孰强孰弱?
所以,WD是否够用,很大程度取决于个人,我还是那 ...

很有道理
ELOHIM
发表于 2017-2-12 20:04:46 | 显示全部楼层
月影天心 发表于 2017-2-11 11:30
对于不同的使用者来说,卡巴和WD孰强孰弱?
所以,WD是否够用,很大程度取决于个人,我还是那 ...

WD对于开发人员来说够用了。
对于计算机专业的人来说够用了。
对于不喜欢叨饶软件的来说足够了。
同时,WD存在一些问题。
但是免费提供病毒查杀并可以保证足够的查杀效率提供不到百分百的保护,足够了。

或许,他们在寻找百分百的安全。   黑掉WD保护的计算机很容易。
黑掉任何一款安全软件保护的计算机也很容易。
ShirahimeKanata
发表于 2017-2-12 20:34:44 | 显示全部楼层
灭灭之痕 发表于 2017-2-12 09:26
终极目标真的很难,甚至即使现在的卡巴BD都未能展现出明显的苗头,在一些大型企业里面,权限和访问控制相 ...

对勒索还是COMODO的方案 自动沙盒+白名单最管用

主防识别不了加密动作
入库就靠速度并有第一个受害者
FUZE
发表于 2017-2-12 23:04:54 | 显示全部楼层
B100D1E55 发表于 2017-2-11 12:23
不可以,而且我经常改主意,剧透就不好改了

好吧,坐等
灭灭之痕
发表于 2017-2-12 23:07:26 | 显示全部楼层
ShirahimeKanata 发表于 2017-2-12 20:34
对勒索还是COMODO的方案 自动沙盒+白名单最管用

主防识别不了加密动作

所以其实这是一个难题:理论上自动沙盒和白名单可以解决所有的恶意程序,但是付出的代价就是所有的文件都要重复确认,如果白名单太小或者白名单的“入库”不够及时,可能就会影响使用。这就好比是HIPS,只要你能把所有的文件的规则建立好,自然就很安全,但是一来你要不断添加规则,二来即使通过云消除了这种麻烦,也会出现白名单难以尽快对应到新兴程序的程度。特征码扫描入库不够快只是找不到一些病毒,白名单入库不够快,就会导致所有未确认的程序都在沙盘里面呆着,影响工作效率。
现在的安全威胁形式很多,勒索是一个,传统的病毒木马的威胁也依然存在,因此仅仅用一个方案是不合理的,对付勒索我们考虑白名单,对于常见病毒,我们采用传统的方案。但是COMODO+卡巴都装,有可能出现的问题就是电脑性能的问题。所以最后的取舍还是很麻烦,理论上每一种方案在最理想的情况下都能解决问题,但是现实情况往往需要妥协,妥协来妥协去,结果可能就是有了一堆可以钻的空子。
其实,如果给杀毒软件增加加密软件的白名单,会不会比COMODO现有的方案更好?只要不是我白名单的程序在加密我都报,勒索软件似乎也就可以解决了。
ShirahimeKanata
发表于 2017-2-12 23:16:07 | 显示全部楼层
灭灭之痕 发表于 2017-2-12 23:07
所以其实这是一个难题:理论上自动沙盒和白名单可以解决所有的恶意程序,但是付出的代价就是所有的文件都 ...

由微软做沙盘才是正解,所有程序皆运行在独立容器里面,任何的操作都需要申请权限(HIPS),有需要申请的权限列表,就像Android。
ShirahimeKanata
发表于 2017-2-12 23:41:04 | 显示全部楼层
本帖最后由 ShirahimeKanata 于 2017-2-12 23:48 编辑
灭灭之痕 发表于 2017-2-12 23:07
所以其实这是一个难题:理论上自动沙盒和白名单可以解决所有的恶意程序,但是付出的代价就是所有的文件都 ...


沙盘方案
EXC
Executable Container

以后.exe变的很少有,就像.com程序一样,
统一使用.exc,仍然基于现在的Win32,但是有个沙盘隔离
需要透过沙盘对系统操作就需要在excinfo中申请权限,右键属性就可以看到这个程序申请了什么权限
注册表,配置文件全部放到excfile中

现有的exe只需要生成一个.exc文件就可以运行在Executable Container中,完全不需要开发者操作,用户也可以自己操作。
灭灭之痕
发表于 2017-2-13 09:14:23 | 显示全部楼层
ShirahimeKanata 发表于 2017-2-12 23:16
由微软做沙盘才是正解,所有程序皆运行在独立容器里面,任何的操作都需要申请权限(HIPS),有需要申请的 ...

HIPS最大的特点就是高手手里是神器,小白手里成逗逼,如果任何操作都需要申请权限,可能会带来大量的不便,虽然理论上能带来最完备的管控。大部分PC用户对于这种东西很反感,对于HIPS不能很好地认识可能导致要么对于HIPS极大反感,要么在不知情的情况下各种OK导致漏病毒过去,所以结果可能没有那么好。而且即使安卓来说现在也有很多“流氓”在,即使是7.0,这个你当然不能怪安卓,但是如果流氓和实际的软件太接近了,给用户定夺就不大合适了。
国产的基于安卓的UI,安装软件的时候会列出一个权限列表,一般这个权限列表还不是用户在管控的,大部分用户也基本不看。这个是国产UI的一个好处(原生的用得不多,只用过4.4的),就是照顾到用户的方便,当然也因此就是有风险的,有一些流氓安装的时候用户也无可奈何。如果把权限列表一项一项分开,带来的反感可能就更多。而且基于用户判断的这种方案还可能放过专门冒充(嵌在正常程序中)的病毒(毕竟大部分用户不会去确认MD5)。就像HIPS,出了这么久了,专门用HIPS的人还是寥寥(卡饭都是如此,普通PC用户就更难说了)。
灭灭之痕
发表于 2017-2-13 09:24:21 | 显示全部楼层
ShirahimeKanata 发表于 2017-2-12 23:41
沙盘方案
EXC
Executable Container

印象中沙盘里面的程序由于受限运行效率并不高(这个认识可能有错),而且你这个其实有点接近HIPS+模式预设的样子(我安装一个HIPS,制定一个规则,所有的程序只有基础权限,较高的权限需要询问用户处理),效果差不多。
其实现实中,卡巴BD那么牛逼,为啥当初装瑞星的人那么多?都是问题所在,“这届用户不行”,因为用户不想把自己搞得很累,面对电脑、手机这些东西,还是希望省心的。360弹窗已经不多了照样一堆人不满,要是真的普及HIPS,一堆一堆的权限申请太能透支用户的耐性了。而且对于反冒充,似乎沙盘和HIPS都还需要借助传统的扫描来解决。否则我嵌一个灰鸽子到QQ的安装程序里面,都能让一堆人倒霉。
jmekoda1
发表于 2017-2-13 14:42:27 | 显示全部楼层
ShirahimeKanata 发表于 2017-2-12 23:41
沙盘方案
EXC
Executable Container

看一下主防测试病毒

过360  毛豆 沙盘轻松无压力
说白的就是漏沙
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 23:46 , Processed in 0.091940 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表