如何延伸规则库

爱·妖姬

主动防御是以规律性进行防御，但是我们不要忘了规律性是在随机性的基础上总结出来的，规则是死的，人是活的，主动防御不是最终的解决办法，随着斗法升级，依靠规则库的主动防御难免陷入和特征库一样的尴尬境地。。。。

本帖主要是想听听大家的建议，如何能更加有效地走在木马前头？

其实有个想法不过不知道是否可行，假设一个恶意程序有6个动作：A、B、C、D、E、F，这6个动作微点都可以有效跟踪记录，根据其中的B、C、D微点将其拦截删除了，那么B、C、D就是一串规则，作者如果探到这条规则，那么他就会修改，去掉B或C或D，又或者使用其他手法打乱或绕过，这个时候绕过主动防御就变为可行！

但是如果加入规则库自动延伸功能呢？这个其实是特征库的自动提取给的启示，不过假如规则库自动延伸变为现实将无比强大！A、B、C、D、E、F根据其中的B、C、D拦截删除后，提取A、B、C或C、D、E或B、C、F或A、E、F等等，甚至如果想精细防止误报可以全提取A、B、C、D、E、F作为一条新的延伸规则，那么就算作者探到原来的规则，他想绕过也就难了很多。当然这样就不排除出现一些用户可以拦截一些用户不能的情况。

下面的朋友欢迎继续。。。。

[ 本帖最后由 爱·妖姬 于 2008-3-1 15:11 编辑 ]

我爱舒畅

说的比较深了，沙发，慢慢研究

zjf954

不行，微点的行为分析库到底怎么分析目前还是未知的，泄露会造成巨大损失。所以这个建议否决

爱·妖姬

原帖由 zjf954 于 2008-3-1 15:33 发表
不行，微点的行为分析库到底怎么分析目前还是未知的，泄露会造成巨大损失。所以这个建议否决

事实上是它的行为分析库是不会泄露的，就好象刚才那个比方，B、C、D的探索出来已经是相当困难的，那6个动作微点可以在黑箱里暗中记录而不需要摆上日志，只要删除以后提示用户“已经提取新规则，下次启动后生效”即可，微点有一个比江民聪明的地方就是不会把自己的规则点摆出来，而是让别人慢慢猜去。。。。

wwtd

楼主可以去研究下HIPS，根据自己常用的软件制定适合自己的规则，效果应该比微点更好，就是耗时稍长

rauliang

门外汉，看不懂，继续关注

zjf954

自动生成规则对人工智能的要求很高。等于说要他自己学习。如果能实现。就不仅是杀毒技术的突破，而是人工智能技术的化时代突破。难度很大，基本不可能

zjf954

当然也欢迎微点在对此研究几年，争取能有突破

hds_ss

要求太高了,还是等大家的消息吧

wangxia

为什么微点不能自己生成行为库！还要广大用户自己去猜！