微点对白加黑的防御增强了吗

柯林

asdx145266 发表于 2020-2-1 10:36
hips可以防御白加黑了吗？白加黑已经出来好几年了,就我现在看的能防御白加黑的好像也就BD 大蜘蛛  ...

这是一个不好回答的问题，说可以，会误导普通用户，说不可以，老粉丝们不干。
这东西关键在黑dll，从识别上来说，特征码匹配或云端黑白名单，是最管用的，直接拉黑它就ok。
至于HIPS规则，要是规则很严厉，凡是不绝对可信的程序，都当作病毒或恶意程序，高危动作一概拦截，原理上讲，应该也是逃不掉的。但是这样的用法，现在已经不流行了，现在都追求智能易用，以毛豆为例，只要exe是可信的，其行为一般就放行了，如果杀不掉黑dll，可能就中招了——具体看病毒行为。

名字无所谓

没有100%防御都算被过，敢问谁可以做到100%防御白+黑？

lifan88

名字无所谓 发表于 2020-2-2 01:04
没有100%防御都算被过，敢问谁可以做到100%防御白+黑？

可以肯定地告诉你，白加黑就是针对小白化的杀软的策略之一。。。

杀毒软件面对的用户并不是人人hips大佬，就是hips大佬也能骗过去。

杀毒软件想要有市场必须简单，不能有太多外人看不懂的东西，不能误报，所以杀软必须小白化。所以针对普通用户的白加黑出现了。

Malwaredefenders/火绒4.0的权限提至最高（读文件/加载dll都列入监控范围），发现还是有把我骗过去了
2345某exe用来无文件白加黑，某外{过}{滤}挂利用自动更新骗联网远控，hips只能防后手，前手根本不知道他想干嘛。。

100%防白加黑就是逆向，然后发现全是vmp。。。

asdx145266

lifan88 发表于 2020-2-2 16:14
可以肯定地告诉你，白加黑就是针对小白化的杀软的策略之一。。。

杀毒软件面对的用户并不是人人hips大 ...

现在杀软正在向智能化发展，所以我现在很纠结不知道该选哪个杀软。国外的杀软对黑DLL好像也就BD系列还行，其他的都是靠云 靠入库，黑DLL成本太低了

无语~

我不是给了个相对比较省事的方案嘛当然如果楼主是小白的话，一样行不通

柯林

asdx145266 发表于 2020-2-2 16:35
现在杀软正在向智能化发展，所以我现在很纠结不知道该选哪个杀软。国外的杀软对黑DLL好像也就BD系列还行 ...

主要是签名验证管理这一块有漏洞，现在的毛病是，只要发个签名，下面管一大堆文件，想做坏事太容易了，如果改进一下，变成：厂商签名代表资格+签名编码对应唯一程序，想作怪就难了——首先，没厂商签名就是三无产品，直接拉黑即可，其次，签名后面的具体编码凭证的有效性（与唯一程序的哈希值、程序名、大小、出品人相对应）是二次验证，对不上的一律是假，直接咔嚓！能这么管理就简单了，现在这种，相当于公交公司只订了一块车牌，然后满大街的公交车都挂着这块车牌在路上跑，不乱套才有鬼，都是懒惹的祸。

柯林

lifan88 发表于 2020-2-2 16:14
可以肯定地告诉你，白加黑就是针对小白化的杀软的策略之一。。。

杀毒软件面对的用户并不是人人hips大 ...

HIPS上严厉规则，说实话，是个矛盾的用法——如果都已经怀疑或确定它是病毒，直接弃用即可；而把所用者当作“嫌犯”，太多弹窗，体验性太差了，除了具有“测试病毒的快感”，一般人用真不知道意义何在。如果规则设成“非白”即拦的模式，那就意味着新加的软件一概用不了，实际上就等于“除了这几个软件，其它的我一概不用”，管住手就行了（不下新东西、不安新软件）。而且严厉规则面对的最大问题是系统更新（及时打补丁，比什么规则都管用，如果系统千疮百孔，建立在系统上的防御有多少可靠度就是最大的问题），安全与易用一直是个矛盾。

lifan88

柯林 发表于 2020-2-2 18:41
HIPS上严厉规则，说实话，是个矛盾的用法——如果都已经怀疑或确定它是病毒，直接弃用即可；而把所用者当 ...

emmm严厉规则的hips实际上是对高级用户和特殊用户的（在逆向分析和动态分析提供一些帮助，抓文件，抓联网，防止破坏文件等等）

后面的我无法评价。。。反正MD和火绒4.0（不是5.0）都凉了，也说明大势所趋了

lifan88

asdx145266 发表于 2020-2-2 16:35
现在杀软正在向智能化发展，所以我现在很纠结不知道该选哪个杀软。国外的杀软对黑DLL好像也就BD系列还行 ...

引用某人的话：国外杀软也就那样，对国内网络形势不明朗，实际上也不太行（毕竟我们不允许外网搜集我们网络情况）

其余的看自己，老司机也是会翻车的。。。详见我的翻车录：https://bbs.kafan.cn/thread-2154141-1-1.html

yjwfdc

柯林 发表于 2020-2-2 18:41
HIPS上严厉规则，说实话，是个矛盾的用法——如果都已经怀疑或确定它是病毒，直接弃用即可；而把所用者当 ...

除了这几个软件，其它的我一概不用”，管住手就行了（不下新东西、不安新软件）
======================================
管住手就行了吗？管住手也不行，桌面会越来越多软件，广告会越来越多。安全软件也会自动免费入屋。