一个亲戚用江民速智版被盗50万（白加黑木马）

显示全部楼层 · 发表于 2017-11-1 10:53:07

dsb2466 发表于 2017-10-30 21:23
任何一款安软对于加入了信任区的文件，对其任何操作都是直接放行的，如果按照你所说的那样去做信任区，那 ...

你这个问题问得好，首先你要明白，信任区既不是法外之地，也不是某些软件的保护伞。不是说一旦进了信任区就彻底安全了，软件就不再受管制了，不是这样的。我个人认为信任区就好比一个临时工专用的上班通道。你要知道不是所有的软件都需要通过信任区工作的，正常（五证齐全的）的软件安全软件是不会拦截的，如果一个非恶意软件被安全软件拦截说明它和正常（五证齐全的）软件肯定有一些区别，可能是由于缺少了某些必要的东西，从而导致安全软件无法识别。那么在问题解决之前可以通过信任区来运行该软件，如果该软件是恶意软件伪装的，那么在出现明确风险行为时依然会被安全软件拦截。我认为这才是信任区的正确使用方法。如果像你说的那样加入了信任区的文件，对其任何操作都直接放行，远的不说，前不久国内某安全厂商就发生过一次白名单安全事故，这和添加信任区是一样的，万一用户判断失误把恶意软件加进信任区，那么后果不堪设想。

显示全部楼层 · 发表于 2017-11-1 11:01:09

yfdyh000 发表于 2017-11-1 10:14
直接处理有利有弊，误杀添麻烦，系统崩溃也未尝不可能。不同用户/环境的需求不同，很难一概而论。

这个可以设置的，只是趋势科技默认自动处理而已，如果你确认被移除的文件是安全的，你可以还原，还原后该文件会自动进入例外列表里面。我个人喜欢让安全软件自动处理威胁

显示全部楼层 · 发表于 2017-11-1 11:25:21

刻舟求剑发表于 2017-11-1 10:53
你这个问题问得好，首先你要明白，信任区既不是法外之地，也不是某些软件的保护伞。不是说一旦进了信任区 ...

据我所知不存在这样的安全软件只能劳烦您自个儿编一个了。

显示全部楼层 · 发表于 2017-11-2 02:28:09

刻舟求剑发表于 2017-11-1 10:53
你这个问题问得好，首先你要明白，信任区既不是法外之地，也不是某些软件的保护伞。不是说一旦进了信任区 ...

从你的回复，能看出你对安软的相关原理或者常识并不了解。

首先你要明白，信任区既不是法外之地，也不是某些软件的保护伞。

信任区是需要用户手动添加进去，目的就是因为杀软的某些提示对用户造成了困扰，所以，无论这个提示是正确的还是错误的，一旦用户点击了添加信任的按钮，就代表用户不希望有这个提示。如果作为杀软，对于在信任区的文件还继续坚持提示，那么，这就不是一个合格的杀软，因为你已经和你存在的初衷相违背了。

我个人认为信任区就好比一个临时工专用的上班通道。

信任区是VIP通道，不是临时通道

你要知道不是所有的软件都需要通过信任区工作的，正常（五证齐全的）的软件安全软件是不会拦截的，如果一个非恶意软件被安全软件拦截说明它和正常（五证齐全的）软件肯定有一些区别，可能是由于缺少了某些必要的东西，从而导致安全软件无法识别。

没有“五证齐全”的说法。安全软件判断一款软件是否有病毒，会从多个维度进行判断，要说“证”的话，那我估计也就只有数字证书了，对于大厂的数字证书而言，杀软一般会直接加白（云端或者本地库），目的是为了防止误报。而对于更多的没有证书的文件的话，拦截提示框又分为病毒提示框和主防行为提示框，病毒这种提示框比较容易简单理解，就是代码上重合度较高，或者文件的命名呀、存放位置呀、调用方式呀之类的，符合规则就报毒，这种误报率较小，但是依然会有误报。而对于主防类的话，只要一个未知的程序运行之后，某些行为符合我们的提示规则（比如灰或者未知的进程间注入、文件释放、甚至是文件读写），则杀软都会报出提示。

那么在问题解决之前可以通过信任区来运行该软件，如果该软件是恶意软件伪装的，那么在出现明确风险行为时依然会被安全软件拦截。

“明确风险行为”——问题来了，什么才是明确的风险行为：

关机算不算明确的风险行为？——脚本关机，杀软一定要拦截，还不准用户加白？
进程之间的HOOK算不算明确的风险行为？——外{过}{滤}挂或者辅助常用的正常系统功能，杀软就一定要拦截，还不准用户加白？？
powershell执行代码算不算明确的风险行为？——用户正常写的，作为杀软就一定要拦截，还不准用户加白？？？

上面只是列举了最简单的3个操作逻辑，他们是既可以作为正常功能使用，但同时也是病毒作恶常用的3种方式，如：

脚本关机就是常见的恶作剧程序（寒暑假放假的时候，小学生就很喜欢写这种东东）
白加黑程序的常见手段
一种越来越流行的利用office来攻击的方式

所以，很多东西不是你所理解的非黑即白的策略，杀软通常还会存在灰和未知（当然，未知在某些逻辑下，会直接当黑处理）。信任区的存在，正是解决了【当杀软出现误报的情况下，用户可以在杀软公司修复之前，自己处理，以免发生更大的问题】，如果按照你所理解的方式来设计信任区，那么一旦出现误报问题的时候，基本上也就是你公司倒闭的时候啦。。哈哈

显示全部楼层 · 发表于 2017-11-2 11:17:40

江民现在还活着吗。。

显示全部楼层 · 发表于 2017-11-2 12:17:20

本帖最后由王国之心00 于 2017-11-2 12:19 编辑

蒙宝宝发表于 2017-11-2 11:17
江民现在还活着吗。。

菲尔微点已经半死不活了，江民搞房地产搞红酒，资金比瑞星金山火绒雄厚的多。江民的个人版杀毒现在就是个壳子而已，主要靠企业安全和副业赚钱。当年王江民搞房地产还是明智的，现在看看那些专一搞安全的瑞星微点菲尔金山都被360腾讯这些搞死了。

显示全部楼层 · 发表于 2017-11-5 17:50:59

王国之心00 发表于 2017-11-2 12:17
菲尔微点已经半死不活了，江民搞房地产搞红酒，资金比瑞星金山火绒雄厚的多。江民的个人版杀毒现在就是个 ...

咦，江民做房地产和红酒去了？什么时候的事情我竟然都不知道。。。

显示全部楼层 · 发表于 2017-11-5 19:22:14

某位朋友貌似对安全软件甚至是计算机知识严重缺乏了解。但又非常喜欢yy。
无论是在网络论坛还是显示社会，这样都很不可取。

[分享] 一个亲戚用江民速智版被盗50万（白加黑木马）