查看: 6573|回复: 22
收起左侧

[讨论] 讨论一下

[复制链接]
command360
发表于 2021-9-23 13:04:14 | 显示全部楼层 |阅读模式
几天前我在火绒的论坛发了一个建议,现转到卡饭与大家一起讨论

原帖地址:https://bbs.huorong.cn/thread-90659-1-2.html

原文如下:

---------------------------------------------------------------------------------------------

五年前知道了有火绒这款安全软件,一直用到现在,真的是非常不错的一款软件。

火绒一直以来都注重于本地的反病毒引擎,对云引擎持观望态度。对此我一个门外汉也不敢妄加评价,但还是想来发表一下自己对火绒未来的云引擎的一些建议。

仅当作抛砖引玉。

1.基于恶意行为监控的反馈体系。当遇到未知的病毒,并被火绒的“恶意行为监控”拦截时,该威胁的行为模式将被上传回火绒的服务器,并给予高优先级进行分析(给高优先级是因为毕竟本地主防已经报毒了)。

2.基于日常行为监测的反馈体系。对运行中的文件进行实时行为监控,并把这些行为模型上传回火绒的服务器进行深度分析。当然,这大概是火绒现今就有的功能,只不过希望在引入云引擎时可以使针对该威胁的解决方案能被客户端快速应用上(也就是快速加到云库中),而不是像现在的一天一更地下放病毒库。undefined

3.基于HVM的反馈体系。本地引擎不报毒的情况下,查询云库中的信息,如果云库中没有该文件的信息,可以考虑把用HVM跑出来的行为回传给火绒的服务器进行分析,从而快速更新云库。

知道火绒不上传文件,所以我就没提上传文件一事。毕竟上传文件在带给服务器压力的同时也有用户隐私问题。

最后衷心祝愿火绒研发出高质量的云检测系统!



---------------------------------------------------------------------------------------------


欢迎大家踊跃讨论
00006666
发表于 2021-9-23 13:12:52 | 显示全部楼层
本帖最后由 00006666 于 2021-9-23 13:19 编辑

云端部署沙箱类的行为分析系统,其实要比本地的HVM要可靠很多,HVM要考虑很多性能方面的问题,同时本地的动态启发式引擎也很难分析出样本的所有行为。

(其实目前的火绒主防很大程度上都是基于本地HIPS规则,恶意行为监控主要针对勒索防护)
杀软病综合医院
发表于 2021-9-23 13:53:17 | 显示全部楼层
类似意见两年前就有人提了,但火绒不考虑。因为火绒的定位就是工具性,轻便性,无骚扰性,可DIY性。你说的那些投入大,竞争激烈,收益效果不好。
桑德尔
头像被屏蔽
发表于 2021-9-23 14:54:59 | 显示全部楼层
我只是怎么感觉火绒的主防特别类似于单步主防,实际效果感觉比卡巴这种成熟主防差很多
00006666
发表于 2021-9-23 15:00:54 | 显示全部楼层
本帖最后由 00006666 于 2021-9-23 15:02 编辑
桑德尔 发表于 2021-9-23 14:54
我只是怎么感觉火绒的主防特别类似于单步主防,实际效果感觉比卡巴这种成熟主防差很多

单步主防是有云联动的(类似于360那种的),其实火绒的是HIPS
command360
 楼主| 发表于 2021-9-23 15:26:11 | 显示全部楼层
00006666 发表于 2021-9-23 13:12
云端部署沙箱类的行为分析系统,其实要比本地的HVM要可靠很多,HVM要考虑很多性能方面的问题,同时本地的动 ...

火绒不上传用户文件,我都不知道他们样本哪来的

所以我就提了这种利用本地HVM来跑样本行为,再把行为序列上传的解决方案

不过确实要考虑性能问题,把用户机卡死了谁用啊
command360
 楼主| 发表于 2021-9-23 15:35:36 | 显示全部楼层
桑德尔 发表于 2021-9-23 14:54
我只是怎么感觉火绒的主防特别类似于单步主防,实际效果感觉比卡巴这种成熟主防差很多

这可能跟火绒很喜欢学习eset有关系

多步主防有,但如果不是那种感染量很多、威胁范围很大的,火绒的主防就没有反应

也就是说,能在文件系统拦截就在文件系统拦截,我感觉火绒是这样一种策略
桑德尔
头像被屏蔽
发表于 2021-9-23 15:36:56 | 显示全部楼层
command360 发表于 2021-9-23 15:35
这可能跟火绒很喜欢学习eset有关系

多步主防有,但如果不是那种感染量很多、威胁范围很大的,火 ...

但是据说由于火绒解决不了动启带来的巨大性能拖累,已经开始悄悄玩静启了
command360
 楼主| 发表于 2021-9-23 15:42:04 | 显示全部楼层
桑德尔 发表于 2021-9-23 15:36
但是据说由于火绒解决不了动启带来的巨大性能拖累,已经开始悄悄玩静启了

静启啊

静启的话要应对代码混淆什么的可就难一些了

不过火绒目前HVM还是在起作用的
00006666
发表于 2021-9-23 15:47:30 | 显示全部楼层
command360 发表于 2021-9-23 15:26
火绒不上传用户文件,我都不知道他们样本哪来的

所以我就提了这种利用本地HVM来跑样本行为,再 ...

样本可以从用户上报,也可以通过威胁情报的渠道来获取,比如说virustotal之类的以及其他的一些平台。

本地的动态启发,受限于性能等原因,运行时间是很有限的,而且由于不是完整的虚拟机模拟,存在很大可能会被绕过。

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 22:38 , Processed in 0.134998 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表