楼主: yjwfdc
收起左侧

[分享] 建议火绒出个手动hips测试版,稳定后整合到火绒里。

  [复制链接]
yjwfdc
头像被屏蔽
 楼主| 发表于 2018-11-30 16:36:47 | 显示全部楼层
HEMM 发表于 2018-11-30 16:28
啧啧啧,干大事的人啊~
火绒的HIPS.....我用不习惯....
COMODO我也不怎么用了,提不起劲儿,倦怠 ...

本来想用COMODO的,去COMODO区问过支不支持双硬盘,人家还说“你不是只用过md吧”

其实我真的只用过eq 和 md,读得书少,其它不会啊。

想问问COMODO是不是用美国的拼音的,我连中国的拼音都不会,更不会美国拼音。

主要还是听说会规则突然不见了,所以就没试了。、

还有一个秘密说你听,我很懒,安全软件我通常只学一个,eq能用时,只用eq,md能用时,只用md,连玩游戏都是一段时间只玩一个,比如现在只玩英雄联盟,玩英雄联盟我还只玩一个英雄,骗你是小狗。

欧阳宣
头像被屏蔽
发表于 2018-11-30 16:38:02 | 显示全部楼层
yjwfdc 发表于 2018-11-30 16:07
只能说明你不懂hips,
什么智能主防能防99.99%呢?
问问@www-tekeze 有什么智能主防比火绒加几条规则安 ...

我只是在跟你比较hips和智能主防相比有什么缺点 你避而不谈 反而不停觉得说hips不好的人都是不懂hips

那要不你先用你的最棒的规则试试这个挺新的样本

https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2137761&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline

火绒能监控杀 请关闭实时监控 只开你的hips模拟最早遇到这个样本的时候 这个js是用哪条规则防住的 需不需要弹窗 需不需要人工判断 麻烦跟我细讲讲 你多半是把powershell栓得死死的

www-tekeze最早测这类gandcrab的时候是翻了车的,即便有自定义规则

https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2135920&pid=42897370

所以正事是什么?是提高检测率!是把本来人脑就不是很分得清的东西交给专业人士,比如病毒分析师 写成特征库再推送 而不是什么闭门造车自己鼓捣自己以为安全的规则。不管是通过改进特征库 添加启发定义还是加快拉黑速度 加强检测率才是火绒现在的唯一要务

而恰恰近几年各家大厂提高检测率的时候无疑都采用了机器学习+云端大数据的组合

这年头重新做手动hips是一个既在商业上不讨好也在易用程度上不讨好的事情,而效果也没有好到哪里去。原因上面虽然你避而不谈但是我已经说得很清楚了。

说个人爱好是因为你在举例子的时候总喜欢强调你自己用hips用得多么舒心,安全,你毫不掩饰对手动hips的喜爱,就像喜欢复古的倒插锁一样。但是在企业版产品里加入一个手动hips组件显然不能看个人感情。你必须考虑一个普通的it人员上手这个方案是不是容易 采用这个方案对企业来讲成本高不高 而智能主防相比hips这方面显然是有优势的

再看看竞品,卡巴铁壳这些大厂的企业级方案都是(不错的查杀+很快的拉黑速度+严密的智能主防)的结构,如果火绒加入了一个手动hips组件,真的会提高竞争力么?现阶段对火绒来讲,提高竞争力是不是老老实实做好查杀最有效?所以说你在不考虑技术定位和商业可行性的情况下用自己对hips的喜爱想要强加给火绒,有什么问题?
HEMM
发表于 2018-11-30 16:40:17 | 显示全部楼层
yjwfdc 发表于 2018-11-30 16:36
本来想用COMODO的,去COMODO区问过支不支持双硬盘,人家还说“你不是只用过md吧”

其实我真的只用过eq ...

支持双硬盘.....我没掉规则了~
你还真是专情啊~该不会还烧得一手好菜吧?
懒还写那么多条规则,很难想象你不懒的样子= =.................
欧阳宣
头像被屏蔽
发表于 2018-11-30 16:51:49 | 显示全部楼层
HEMM 发表于 2018-11-30 16:19
我一般给powershell和CMD降权.......不过最近我超级的猛......就是.......就是关闭防护........
我个人 ...

不作死啥都能很安全 架不住不知道的人一路乱点 所以还不如不让他们点

然后这一步就可以淘汰需要弹窗的hips了。全自动hips的极致就是智能主防,那岂不是最后就殊途同归了么
yjwfdc
头像被屏蔽
 楼主| 发表于 2018-11-30 16:57:57 | 显示全部楼层
本帖最后由 yjwfdc 于 2018-11-30 17:12 编辑
欧阳宣 发表于 2018-11-30 16:38
我只是在跟你比较hips和智能主防相比有什么缺点 你避而不谈 反而不停觉得说hips不好的人都是不懂hips

...

好长,我就回几点吧,
1.火绒hips还未出来,我拿什么规则来测试,或者叫 @左手 ,拿我几年前没防加密病毒的规则用md试试吧。

2.是我的个人爱好,所以我就不能提出来,那我就不用说话了。我提出来的,都是我的个人爱好啊。

3.火绒现在也有hips的,只是未够好,你意思是把它也去除吗?

还有,在那个贴,@www-tekeze没说防不住啊,他说的是全部点允许才加密吧,不过他的规则是有问题的,他只防删除,我都叫他把写入也打勾的了。
HEMM
发表于 2018-11-30 17:01:51 | 显示全部楼层
欧阳宣 发表于 2018-11-30 16:51
不作死啥都能很安全 架不住不知道的人一路乱点 所以还不如不让他们点

然后这一步就可以淘汰需要弹窗的 ...

哈哈哈~
HIPS需要时间磨啦,只能专业和有经验,至少得有兴趣的人才能用一用。
现在没什么人有兴趣弄这个吧,这是事实......
自定义防护是其中一种防护的选择,但并非选择的最终答案。
喜欢用啥用啥吧,只要运用得当都会降低中标率的.......
喜欢AI的用AI,喜欢主云的用云,喜欢自定义的自定义,都没啥毛病,只要自己开心就好,这些工具都是用来服务与你的。
yjwfdc
头像被屏蔽
 楼主| 发表于 2018-11-30 17:03:21 | 显示全部楼层
HEMM 发表于 2018-11-30 16:40
支持双硬盘.....我没掉规则了~
你还真是专情啊~该不会还烧得一手好菜吧?
懒还写那么多条规则,很难想 ...

太专了不好,烧的菜自己能吃得下,其他人就吃不下了。

规则是抄的,抄的,懒就抄作业,这是差生的特点。

评分

参与人数 1人气 +1 收起 理由
HEMM + 1 我听你吹~反正你的规则成型别忘记给我一半=.

查看全部评分

欧阳宣
头像被屏蔽
发表于 2018-11-30 17:12:10 | 显示全部楼层
本帖最后由 欧阳宣 于 2018-11-30 17:13 编辑
yjwfdc 发表于 2018-11-30 16:57
好长,我就回几点吧,
1.火绒hips还未出来,我拿什么规则来测试,或者叫 @左手 ,拿我几年前没防加密病 ...

火绒hips又没出来又是“现在也有hips的”,那到底有没有啊,还需不需要按您要求重新造轮子啊

也不说不让您说吧 您的技术是扎实的 只是在我觉得需要看问题视野大一点 眼光长远一点 从这个技术在反病毒方案中的定位上来看这个问题。这个防毒技术的发展有他自己的趋势,而趋势变成了现在这个样子也不是没有原因没有道理的,如果一定要觉得就是逆流而上最好 我感觉真的未必

火绒现在按我的标准已经有hips了,只是没有办法在完全自动化的情况下独当一面才开放了规则编辑来补充。这么做我觉得其实是把很多本应该官方做的事和很多应该花的时间精力推锅给了用户,其实是一种偷懒的行为。

虽然这么说,但是我觉得火绒在需要用户判断的hips上的步伐应该就到这里为止,差不多了。我不知道火绒愿不愿意在主防上继续减少用户判断的次数。如果是的话,那我满心欢喜,因为弹窗减少到0的最后就是完全自动挡的智能主防,我举双手赞成。如果不是的话,那也应该多搞搞查杀,或者至少在引入机器学习的情况下多搞搞PE类文件的查杀,这样可以给人更显性的安全感。这一点见效很快,也不需要云端就能做到,百度的慧眼引擎就是个好例子。

说到底咱俩都是在操心火绒
yjwfdc
头像被屏蔽
 楼主| 发表于 2018-11-30 17:15:48 | 显示全部楼层
欧阳宣 发表于 2018-11-30 17:12
火绒hips又没出来又是“现在也有hips的”,那到底有没有啊,还需不需要按您要求重新造轮子啊

也不说不 ...

火绒hips又没出来又是“现在也有hips的”,那到底有没有啊,还需不需要按您要求重新造轮子啊
==========================
我没说清楚,应该说火绒现在已经有半个hips的了。应该按我要求做个完整的。

还有,在那个贴,@www-tekeze 没说防不住啊,他说的是全部点允许才加密吧,不过他的规则是有问题的,他只防删除,我都叫他把写入也打勾的了。
yjwfdc
头像被屏蔽
 楼主| 发表于 2018-11-30 22:00:28 | 显示全部楼层
欧阳宣 发表于 2018-11-30 16:38
我只是在跟你比较hips和智能主防相比有什么缺点 你避而不谈 反而不停觉得说hips不好的人都是不懂hips

...

下载了那个病毒测试了一下,只需几条文件规则就可以防住了。几条文件规则可防所有文件加密,一劳永逸
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 23:43 , Processed in 0.107619 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表