楼主: asdx145266
收起左侧

[微点] 微点对白加黑的防御增强了吗

[复制链接]
柯林
发表于 2020-2-1 20:31:37 | 显示全部楼层
asdx145266 发表于 2020-2-1 10:36
hips可以防御白加黑了吗?白加黑已经出来好几年了,就我现在看的能防御白加黑的好像也就BD 大蜘蛛  ...

这是一个不好回答的问题,说可以,会误导普通用户,说不可以,老粉丝们不干。
这东西关键在黑dll,从识别上来说,特征码匹配或云端黑白名单,是最管用的,直接拉黑它就ok。
至于HIPS规则,要是规则很严厉,凡是不绝对可信的程序,都当作病毒或恶意程序,高危动作一概拦截,原理上讲,应该也是逃不掉的。但是这样的用法,现在已经不流行了,现在都追求智能易用,以毛豆为例,只要exe是可信的,其行为一般就放行了,如果杀不掉黑dll,可能就中招了——具体看病毒行为。
名字无所谓
发表于 2020-2-2 01:04:35 | 显示全部楼层
没有100%防御都算被过,敢问谁可以做到100%防御白+黑?
lifan88
发表于 2020-2-2 16:14:31 | 显示全部楼层
名字无所谓 发表于 2020-2-2 01:04
没有100%防御都算被过,敢问谁可以做到100%防御白+黑?

可以肯定地告诉你,白加黑就是针对小白化的杀软的策略之一。。。

杀毒软件面对的用户并不是人人hips大佬,就是hips大佬也能骗过去。

杀毒软件想要有市场必须简单,不能有太多外人看不懂的东西,不能误报,所以杀软必须小白化。所以针对普通用户的白加黑出现了。

Malwaredefenders/火绒4.0的权限提至最高(读文件/加载dll都列入监控范围),发现还是有把我骗过去了
2345某exe用来无文件白加黑,某外{过}{滤}挂利用自动更新骗联网远控,hips只能防后手,前手根本不知道他想干嘛。。

100%防白加黑就是逆向,然后发现全是vmp。。。
asdx145266
 楼主| 发表于 2020-2-2 16:35:47 | 显示全部楼层
lifan88 发表于 2020-2-2 16:14
可以肯定地告诉你,白加黑就是针对小白化的杀软的策略之一。。。

杀毒软件面对的用户并不是人人hips大 ...

现在杀软正在向智能化发展,所以我现在很纠结不知道该选哪个杀软。国外的杀软对黑DLL好像也就BD系列还行,其他的都是靠云 靠入库,黑DLL成本太低了
无语~
发表于 2020-2-2 18:01:34 | 显示全部楼层
我不是给了个相对比较省事的方案嘛当然如果楼主是小白的话,一样行不通
柯林
发表于 2020-2-2 18:31:07 | 显示全部楼层
asdx145266 发表于 2020-2-2 16:35
现在杀软正在向智能化发展,所以我现在很纠结不知道该选哪个杀软。国外的杀软对黑DLL好像也就BD系列还行 ...

主要是签名验证管理这一块有漏洞,现在的毛病是,只要发个签名,下面管一大堆文件,想做坏事太容易了,如果改进一下,变成:厂商签名代表资格+签名编码对应唯一程序,想作怪就难了——首先,没厂商签名就是三无产品,直接拉黑即可,其次,签名后面的具体编码凭证的有效性(与唯一程序的哈希值、程序名、大小、出品人相对应)是二次验证,对不上的一律是假,直接咔嚓!能这么管理就简单了,现在这种,相当于公交公司只订了一块车牌,然后满大街的公交车都挂着这块车牌在路上跑,不乱套才有鬼,都是懒惹的祸。
柯林
发表于 2020-2-2 18:41:59 | 显示全部楼层
lifan88 发表于 2020-2-2 16:14
可以肯定地告诉你,白加黑就是针对小白化的杀软的策略之一。。。

杀毒软件面对的用户并不是人人hips大 ...

HIPS上严厉规则,说实话,是个矛盾的用法——如果都已经怀疑或确定它是病毒,直接弃用即可;而把所用者当作“嫌犯”,太多弹窗,体验性太差了,除了具有“测试病毒的快感”,一般人用真不知道意义何在。如果规则设成“非白”即拦的模式,那就意味着新加的软件一概用不了,实际上就等于“除了这几个软件,其它的我一概不用”,管住手就行了(不下新东西、不安新软件)。而且严厉规则面对的最大问题是系统更新(及时打补丁,比什么规则都管用,如果系统千疮百孔,建立在系统上的防御有多少可靠度就是最大的问题),安全与易用一直是个矛盾。
lifan88
发表于 2020-2-2 21:51:37 | 显示全部楼层
柯林 发表于 2020-2-2 18:41
HIPS上严厉规则,说实话,是个矛盾的用法——如果都已经怀疑或确定它是病毒,直接弃用即可;而把所用者当 ...

emmm严厉规则的hips实际上是对高级用户和特殊用户的(在逆向分析和动态分析提供一些帮助,抓文件,抓联网,防止破坏文件等等)

后面的我无法评价。。。反正MD和火绒4.0(不是5.0)都凉了,也说明大势所趋了
lifan88
发表于 2020-2-2 21:54:58 | 显示全部楼层
asdx145266 发表于 2020-2-2 16:35
现在杀软正在向智能化发展,所以我现在很纠结不知道该选哪个杀软。国外的杀软对黑DLL好像也就BD系列还行 ...

引用某人的话:国外杀软也就那样,对国内网络形势不明朗,实际上也不太行(毕竟我们不允许外网搜集我们网络情况)

其余的看自己,老司机也是会翻车的。。。详见我的翻车录:https://bbs.kafan.cn/thread-2154141-1-1.html
yjwfdc
头像被屏蔽
发表于 2020-2-2 22:31:44 | 显示全部楼层
柯林 发表于 2020-2-2 18:41
HIPS上严厉规则,说实话,是个矛盾的用法——如果都已经怀疑或确定它是病毒,直接弃用即可;而把所用者当 ...

除了这几个软件,其它的我一概不用”,管住手就行了(不下新东西、不安新软件)
======================================
管住手就行了吗?管住手也不行,桌面会越来越多软件,广告会越来越多。安全软件也会自动免费入屋。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 09:40 , Processed in 0.097750 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表