查看: 2006|回复: 15
收起左侧

[讨论] 你的装备为什么需要“自定义规则”类的功能?

[复制链接]
jone_jys
头像被屏蔽
发表于 2019-2-17 09:52:28 | 显示全部楼层 |阅读模式
现在的安全软件越来越“智能化”。各种主防,包括机器分析、行为分析、大数据分析、、、各种琳琅满目的功能应接不暇。即便这些超前的功能越来越厉害,但最基础的“特征码识别”还是得以了延续,有的做了特征码库的精简,有的做了特征码的通配。


总之,特征码识别依然是最原始,最有效的手段之一。


那么,现在的安全软件既然这么厉害了是不是就能无敌了呢?显然,想无敌还差得太远。无论你的特征库有多大、多广,无论你的主防多牛逼,在牛逼的新病毒面前都是不值一提的(不接受反驳)。


既然这样,如果安全软件具备“自定义规则”,让人工来干预呢?看到这里,肯定很多高手又要开始各种喷了。什么大多使用者都是小白,安全软件服务的都是大众,没人愿意去折腾。。。。。其实,这种喷无非只是给自己心中“理想化”的安全软件找个借口而已,他们自己也清楚安全软件没可能那么理想。


我也是小白,但是叫我学习掌握一点“最基础的”自定义规则还是易如反掌的,无需折腾,不浪费时间,只需要按照安全软件的帮助说明即可完成。


下面我举个例子来说明你的装备为什么需要“自定义规则”?


现在是大数据时代,你的数据是“无价”的。那么保护你的数据就尤其重要了,以现在流行的勒索病毒为例,这厮就是专为破坏数据而生的。有了自定规则功能,只想将这些重要的数据额外的保护起来即可。


将重要的数据用规则保护起来以后,无论你平时安装个小软件,还是浏览H网,还是其他XXX,都不用担心你的数据被破坏了。当然,你非得说安软本身漏洞或被病毒破坏了导致规则失效?那这是后话另当别论。


看看,只需要自己手动做那么一点点事情就能将数据安全得以很大的提升,何乐不为!



上面这张图,是我实机测试勒索病毒时记录的日志。

测试时关闭了“按访问扫描”即实时监控;打开了“自适应防护”即行为分析;打开了“访问保护”即自定义规则。
截图中所记录的日志(大几千条拦截)全部是我制定的“自定义规则”给拦截的(仅2条规则而已)。看看病毒破坏的那些文件,可想而知如果没有规则给拦截,我的数据将“全军覆没”/。

当然举一反三,你也可以用来保护系统重要文件不被破坏。

PS:这软件的行为分析,如果是联网状态可完美拦截,而断网就跪了。可想安全软件太依赖网络的话也是坑爹。

我所用过的,国产安软有自定义功能的推荐“火绒全功能安全软件”;国外的有迈克菲企业版,强烈推荐ENS10.x系列。

仅以此贴 ,致敬依然保留自定义规则的功能的安全软件。这一最基本、最原始的功能是“数据保护”的最后一道屏障。







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +4 收起 理由
yjwfdc + 3 版区有你更精彩: )
HEMM + 1 人类进步的叛徒,快把规则交出来~

查看全部评分

314122674
发表于 2019-2-17 16:21:51 | 显示全部楼层
虽然安全方案不是无敌的,新的威胁永远是层出不穷。
但考虑到实际情况,不做针对的情况下,主动防御在面对新威胁还是起到了相当关键性的作用。
利用这种规则我觉得只是一种不够自信的表现,并且它一定阻碍了更好的技术发展。
安全软件平时并不在于杀,更重要的是在于防。
如果你觉的自己一定会中招,并且安全软件还防不住,那你还装它干什么呢。
浮空墓碑
发表于 2019-2-17 16:28:22 | 显示全部楼层
防火墙,NoScript比HIPS更不可或缺。
沙丁鱼VX
发表于 2019-2-17 18:42:48 | 显示全部楼层
现在最怕的是披着合法外衣的恶意软件,过的一干二净
yjwfdc
头像被屏蔽
发表于 2019-2-17 21:48:10 | 显示全部楼层
314122674 发表于 2019-2-17 16:21
虽然安全方案不是无敌的,新的威胁永远是层出不穷。
但考虑到实际情况,不做针对的情况下,主动防御在面对 ...

明知空气被污染了,还呼吸吗?
jone_jys
头像被屏蔽
 楼主| 发表于 2019-2-17 23:18:05 来自手机 | 显示全部楼层
314122674 发表于 2019-2-17 16:21
虽然安全方案不是无敌的,新的威胁永远是层出不穷。
但考虑到实际情况,不做针对的情况下,主动防御在面对 ...

看来层主根本没看完楼主的帖子。
1 楼主没有否定“主防”技术做出的贡献;
2 自定义类的功能何来阻碍了新技术的发展?你这居于啥得来的结论?
3 楼主所反映的自定义规则类的功能不就在于说明安软重在“防御”吗?
4 不是主观肯定安软会跪,事实上举例不是已经跪了嘛!最后还不是依赖你们以为“最笨”的规则给拦截了吗?
5 规则不是万能的,但起码用户可以用这一功能针对性的提前做一些保护。无论你的新威胁是啥样的只要没有干掉安软本身,就没法破坏规则所保护的数据。

来来来,谁告诉我你的装备可以拦截全部的勒索病毒?我可以肯定的告诉你我指定的规则100%完美防御而且毫不影响日常使用,即这些规则任何时候无需关闭。不服来战!
314122674
发表于 2019-2-17 23:58:16 | 显示全部楼层
本帖最后由 314122674 于 2019-2-18 00:01 编辑
jone_jys 发表于 2019-2-17 23:18
看来层主根本没看完楼主的帖子。
1 楼主没有否定“主防”技术做出的贡献;
2 自定义类的功能何来阻碍了 ...

你自己都说了,是实机自己进行测试。
那么你日常什么情况下会自己碰到勒索类型的威胁,并且心甘情愿的双击了。
还有你只是测试了这一款安全方案,如果你测试的谁都防不住,那你可以证明自定义规则的简单有用。还有就是最新的威胁你不一定能第一时间碰到,等流行起来就谁都防的住了。
jone_jys
头像被屏蔽
 楼主| 发表于 2019-2-18 00:09:42 | 显示全部楼层
314122674 发表于 2019-2-17 23:58
你自己都说了,是实机自己进行测试。
那么你日常什么情况下会自己碰到勒索类型的威胁,并且心甘情愿的双 ...

嗯!实机主动测试的,就是为了说明这一观点。你的装备需要这种功能。

测试的样板就在那里,你去看看跪了一大片。
jone_jys
头像被屏蔽
 楼主| 发表于 2019-2-18 00:15:25 | 显示全部楼层
有针对性的自定义防护还不存在“误报”。谁触犯这个规则谁的动机就不纯洁。以此检阅某些软件是否安分。
小草猫
头像被屏蔽
发表于 2019-2-20 14:29:28 来自手机 | 显示全部楼层
jone_jys 发表于 2019-2-18 00:15
有针对性的自定义防护还不存在“误报”。谁触犯这个规则谁的动机就不纯洁。以此检阅某些软件是否安分。[:20 ...

还有有两款国内杀软支持自定义规则 瑞星V17 瑞星安全云 其中安全云有一种防勒索机制 建立本地白名单 对修改文件的行为非白即黑式百分百拦截 而且接合监控可以迅速拉黑勒索 并且支持自定义文件保护
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 22:02 , Processed in 0.136594 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表