搜索
查看: 1953|回复: 8
收起左侧

[讨论] Bitdefender比特梵德的ATC机制

[复制链接]
岚Azure
发表于 2020-4-2 09:57:19 来自手机 | 显示全部楼层 |阅读模式
本帖最后由 岚Azure 于 2020-4-2 11:39 编辑

从网上看的。
比特梵德,它的一身精随在于ATC主防,关于这个主防的能力,基本上可以这样说,如果有ATC拦不住的东西,其他防毒也别想防住。

一般防毒都是依据"规则触发",即使加入了云AI,也只是"更加复杂的规则触发",也就是恶意病毒在实施某一个关键行为时会被防毒阻止。

这么做的坏处就是,你得先有"规则",才能谈得上防护。所以对于0day攻击、变种极快的勒索攻击、木马攻击的应对力是不足的,即使有复杂的行为防护、也终究难逃被绕过的命运,就算病毒码跑到你系统里溜了一圈、只要不触发条件就没事。

而BD的ATC主防是"评分式"防护,它不去判断病毒造成的结果,而是去评价它的行为,这个程序改了我的注册表?我不知道目的是什么,但先调降它的安全评级、访问我的系统文件?再调降,直到程序风险阀值超过基准后直接被ATC主防击杀。

ATC对未知病毒的防御能力非常强悍、在勒索病毒防御测试中,只有BD在病毒还未开始加密前就被拦截,其他防毒都是在加密过程中触发了规则而被阻止。

当然这个ATC主防也不是无敌的,首先它的算法非常复杂,你怎么知道这个行为该不该扣分、扣多少分,扣几分才击杀?

一般规则式主防如同过关、每一道关卡都得留纪录过门禁,一旦出现问题、因为知道这东西之前做过什么、所以可以回滚资料

ATC主防的做法是直接直接派个人举枪跟着你、
触发阀值就直接枪杀,但因为没有纪录、所以资料无法回滚。

这样就有个坏处,如果不能在病毒真正造成破坏之前就,将它击毙,那么最终还是会造成损失。
ATP_synthase
发表于 2020-4-2 10:13:11 | 显示全部楼层
本帖最后由 ATP_synthase 于 2020-4-2 10:15 编辑

卡巴的SW机制也差不多吧,等等BD的ATD不能回滚吗???
一般规则式主防如同过关、每一道关卡都得留纪录过门禁,一旦出现问题、因为知道这东西之前做过什么、所以可以回滚资料

ATC主防的做法是直接直接派个人举枪跟着你、
触发阀值就直接枪杀,但因为没有纪录、所以资料无法回滚。
温馨小屋
发表于 2020-4-2 10:49:32 | 显示全部楼层
ATP_synthase 发表于 2020-4-2 10:13
卡巴的SW机制也差不多吧,等等BD的ATD不能回滚吗???

这文章说的是古时候的ATC,和ATD不一样,ATD的回滚和卡巴也不一样,ATD的回滚只能删除文件,而卡巴可以还原被加密的文件,而且ATD的衍生物删除策略不如卡巴细致,经常错删或者漏删东西,如果有资料被加密的话ATD是没办法的,这可能就与打分制有关。

BD用久了就能深刻的理解到什么是打分制了,大概半年前,我的流量监控插件,选项里打开开机启动,关闭之后再打开一次,就杀了,明显的分数到阈值了,当然现在已经修复了,但是用卡巴基本从来不会见到这种情况,所以ATD查杀率确实高,但总感觉怪怪的

评分

参与人数 1人气 +1 收起 理由
ATP_synthase + 1 感谢解答: )

查看全部评分

kim545
发表于 2020-4-2 11:37:46 | 显示全部楼层
BD有自己的回滚的你们没看到勒索回滚么,但是那个真的触发的不多不知道怎么回事
企稳向好
发表于 2020-4-2 13:43:40 | 显示全部楼层
本帖最后由 企稳向好 于 2020-4-2 13:53 编辑
ATP_synthase 发表于 2020-4-2 10:13
卡巴的SW机制也差不多吧,等等BD的ATD不能回滚吗???

按我的理解,这两个还是有些差别的
卡巴的机制是这样的:
The built-in BSS module decides whether a program is malicious or not. The module
compares each program’s real-life behavior with models of typical malware behavior. The
module analyzes program behavior and issues verdicts in real time. Kaspersky Lab’s security
solutions also provide so-called heuristic BSS-based detections which indicate that a
program’s behavior is similar to, but may not necessarily be, that of malware. In addition to
using standard detection methods, System Watcher can identify potentially malicious actions.

比较程序行为和恶意软件行为模型是否相似,从而判别是否是恶意软件。
ATD(实际从ATC就开始了)是对程序行为进行了评分,根据预设的阈值确定是否拦截。它不需要和某种确定的恶意软件行为比较,但同样的,由于需要训练模型,它也难以迅速覆盖检测模型之外的离散样本(因而常常入库了事)——而卡巴的机制理论上可以通过更新BSS实现对特定行为样本的检测。

评分

参与人数 1人气 +1 收起 理由
TimelessTT + 1 感谢提供分享

查看全部评分

TimelessTT
发表于 2020-4-2 18:59:02 | 显示全部楼层
企稳向好 发表于 2020-4-2 13:43
按我的理解,这两个还是有些差别的
卡巴的机制是这样的:
比较程序行为和恶意软件行为模型是否相似,从 ...

请问可以提供下原文的出处嘛
万分感谢!
pal家族
发表于 2020-4-2 19:11:54 | 显示全部楼层
TimelessTT
发表于 2020-4-2 19:12:32 | 显示全部楼层
pal家族 发表于 2020-4-2 19:11
https://www.kaspersky.com/enterprise-security/wiki-section/products/behavior-based-protection
htt ...

谢谢!!!
欧阳宣
发表于 2020-4-3 08:52:51 | 显示全部楼层
时代在变 别人那里听来的道听途说最好还是自己先甄别
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2020-11-28 23:10 , Processed in 0.135501 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表