每日技术帖----之详解“主动防御”

我心约定

一.我先来解一下到底什么是“主动防御”（我的理解）

主动防御功能，字面上包含“主动”和“防御”两层意思：主动即在恶意程序对计算机做出破坏之前主动的拦截恶意程序，这里所说的主动一般是不需要人为干预的，应该说是一种智能的程序行为

而“防御”更多的是指对未知病毒的抵御效果，即不依赖病毒特征库和其他的可对照程序的情况下，对于未知病毒程序所体现出的拦截效果。这里需要注意的是因为是”防御“所以有些时候反馈的结果不是百分百可信。防御的效果也不是百分百成功的

二，“主动防御”依据的是什么？

就现在的“主动防御”来看，主要依据的是程序行为判定技术，即一个比较庞大的程序行为规则库，里面有很多可疑的程序行为规则，防毒软件通过监视一些程序对系统敏感位置的更改，访问，删除等操作。当程序的某个动作触发了主动防御规则库里的某个程序规则后，防毒软件就会发出报警，并阻断可疑程序进程，从而达到保护计算机的目的，

“主动防御”并不是单纯的应用HIPS的模式来拦截可疑程序的，在“主动防御”中同时也含一些智能的程序判定，如正常程序的一些执行流程，各个程序之间的一些逻辑以及接口等等，这样一方面可以提高实用性，另外也可以减少误报的发生

我们来看可以图片



KV之所以要拦截这个程序个人认为是为了防止此程序在用户不知情下偷偷的执行.所以要将其拦截，在KV的这个动作中既包含了主动，即在恶意程序对计算机做出破坏之前主动的拦截恶意程序，也包含了防御通过即防止其执行来保护计算机安全！

三.正确的认识主动防御功能

主动防御刚兴起不久，它还有很多不足有待提高以及完善，用户对还需要很长的一段时间去认识和发掘。它并没有特征码判定病毒那么准确，难免的有误报发生，希望辨证的看待这个问题！

谢谢大家！

                                                            江民版主  zq127

我爱舒畅

沙发,每日技术帖,积少成多,将来是比宝贵的财富

gaojb888

顶版主了

fantrasive

支持技术帖

yjwfn502

不错

kisskings

真有福气

挪威的冬天

顶一下...

不过对主动询问暂时好感不大...

要么就说是类 HIPS 要么就别叫主动防御...

因为实在没看出太多智能化

好的规则能改变很多...可惜默认规则我都没看到什么亮点

polly5771

江民的主动防御还有待完善,单一行为提示的结果就是让用户狂点允许...建议至少像Mamutu那样，告诉用户这样做的目的。最好能像微点，告诉我“是毒”或“不是毒”

当然，我测试过江民的主动防御。在已知样本有毒的情况下，当然会选阻止，其拦截率还是不错的

shuipao

微点也只是认为危险性大的就判断为病毒，江民只是以提示框上面的五角星的个数来显示危险性，这样有个好处就是很多人见到病毒字样就咔嚓，完全不去判断，能减少潜在的人为误判。。所以实际上江民和微点的处理提示方式没有什么大的区别。。

will

其实就我个人的理解  无论是启发式引擎、行为分析还是HIPS   都属于主动防御    大家认为呢？