搜索
查看: 1632|回复: 15
收起左侧

[讨论] 温故而知新

[复制链接]
cloud01
发表于 2018-3-5 10:06:08 | 显示全部楼层 |阅读模式
回顾了一下:原帖https://bbs.kafan.cn/thread-2059441-1-1.html
大神ccboxes的以前一段文章:突然发现卡巴的主防似乎优点不如ESET的AMS啊。都是要对比病毒库的话 ,eset的ams似乎拦截更早啊。卡巴的主防看起来有些复杂 ,有谁懂的来讲讲具体的 运作吗?
主动防御
:主防属于执行后保护,在主防运作时,可疑程序已经加载并正在执行。其定义现今仍有争议,本文取广义,因而分为两种。同时由于主防建立在HIPS的基础上,HIPS的缺点主防也存在。

单步主防在HIPS的基础上,预先设定从宽松到严格的几套限制规则(默认阻止与询问的行为依次增加),一个新程序运行时,首先通过其他手段判断该程序的可疑程度,再根据这个可疑程度分别套用限制强度不同的规则,实现安全程序进行某动作默认放行,可疑程序进行同一动作时询问或阻止。优点是相对于使用繁琐的HIPS,实现了安全性和便利性的平衡;缺点是极度依赖云端信誉库以判定程序可疑程度(不联网时要么安全性大降,要么弹窗烦死),被白加黑针对严重,存在误放过恶意动作的可能性。典型的例子就是360,背靠全国最大的云端信誉库,360也是目前最优秀的单步主防之一。

多步主防在HIPS的基础上去除规则模块,用类似静态启发的启发分析模块代替。在可疑程序实机运行时,实时获取其执行的真实动作,与启发特征库中的行为方式进行比对,发现行为近似就终止其运行,有的多步主防还带回滚功能,可以在终止可疑程序运行后逐步撤销其对系统进行的更改。优点是打破了静态启发的天花板,不再受花指令、加壳等免杀方式的困扰,对变种查杀能力强;缺点是对行为模棱两可的可疑程序(如流氓软件,勒索软件)效果不好,存在误放过恶意动作的可能性(回滚部分弥补了该缺陷)。BD的ATC,诺顿的SONAR、卡巴的SW等都是多步主防。


桑德尔
发表于 2018-3-5 10:14:35 | 显示全部楼层
我感觉ESET的AMS从本质上说属于扫描的一部分,并不是真正意义上的主防
青衣染雪
发表于 2018-3-5 10:44:04 来自手机 | 显示全部楼层
又开始了
cloud01
 楼主| 发表于 2018-3-5 10:50:54 | 显示全部楼层
桑德尔 发表于 2018-3-5 10:14
我感觉ESET的AMS从本质上说属于扫描的一部分,并不是真正意义上的主防

ams感觉是在扫描文件和 文件执行后的中间层 ,在内存页既对比病毒库,又用到HIPS拦截。。所以ESET拦截点最早 ,又有很全面的分析。但上面有说主防也是对比病毒库,只不过不在内存页,多步主防滞后,需要回滚。但有的主防又没有回滚。。 到底那个效果好撒?
cloud01
 楼主| 发表于 2018-3-5 10:51:12 | 显示全部楼层

来吧,来吧 ,相约2018!
桑德尔
发表于 2018-3-5 11:33:16 | 显示全部楼层
cloud01 发表于 2018-3-5 10:50
ams感觉是在扫描文件和 文件执行后的中间层 ,在内存页既对比病毒库,又用到HIPS拦截。。所以ESET拦截点 ...

效果这种东西,只能拿大数据来看,而事实是不管你用哪个技术,漏了1次就够你受得了
2605276004x
发表于 2018-3-5 11:39:27 来自手机 | 显示全部楼层
问题是卡巴主防拦截率非常高,基本60%+。拦截点故意靠后,所以误报率低
cloud01
 楼主| 发表于 2018-3-5 12:37:16 | 显示全部楼层
桑德尔 发表于 2018-3-5 11:33
效果这种东西,只能拿大数据来看,而事实是不管你用哪个技术,漏了1次就够你受得了

这的确是的,大范围防御都有瓶颈的。只有重点防御才有真正效果,不过厂商能做的也是就是提高防御率 ,尽量解决问题而已,我们也就是找点乐子。
cloud01
 楼主| 发表于 2018-3-5 12:43:13 | 显示全部楼层
2605276004x 发表于 2018-3-5 11:39
问题是卡巴主防拦截率非常高,基本60%+。拦截点故意靠后,所以误报率低

这个拦截率也不算高吧。。。我感觉卡巴其实对于未知病毒主防还是有点效果的。ESET的启发现在就像假的一样,对于未知病毒根本不行。但对于变种效果又很好。对于现在的趋势来说似乎卡巴更适合现代复杂环境。卡巴要是也能反流氓就好了。
2605276004x
发表于 2018-3-5 13:08:11 | 显示全部楼层
cloud01 发表于 2018-3-5 12:43
这个拦截率也不算高吧。。。我感觉卡巴其实对于未知病毒主防还是有点效果的。ESET的启发现在就像假的一样 ...

虽然比不上万物杀和bd的atd,但卡巴的拦截率在保证低误报的前提下我觉得已经最好了,反观sep,我经常主动去排除(虽然我知道危险性),这就是让我们自己承担责任而bd呢?我虽然用的时间不长,但体验太差,兼容性不行,有些东西不是排除或关闭防护就能用,还杀过我的微软签名的系统文件(根据部分坛友bd貌似没少干过),幸好没出问题。而卡巴,虽然拦截点靠后,但一般至少基本让我用,大部分也都能成功回滚,拦截率还算可以。至于eset,现在我只想黑eset
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-6-18 21:49 , Processed in 0.044823 second(s), 3 queries , Redis On.

快速回复 返回顶部 返回列表