安防知识杂谈

caolizhen

，BBT讨论排版比较乱，抱歉了


启发是主动防御的一种

区别于特征码杀毒的都可以叫做 主动防御

现在业界对主动防御还没有一个很好的定义

广义上 只要不是特征码发现威胁都可以叫做主动防御 在这个方面主动防御是区别于特征码的概念

但目前 主动防御还没有一个确定的意义和概念 大家都不同

即使是病毒的特征各个厂家都是理解不同的。

微点用到了HIPS技术的 内制规则与触发点或者阀值的 病配合特征码 行为对比匹配 ，针对病毒的防御软件

微点的内制规则较严 所以初期误报较多 目前白名单比较完善 所以还行 但是对于单步匹配还是弱项

行为库，这也是我们病毒自动分析机的难点

分析目前病毒行为 并依据病毒分类或者单个病毒进行病毒名定义 并与病毒行为进行挂钩 当某个程序与某病毒全部规则匹配 就可以认定是病毒 部分匹配可以报 变种活未知病毒

但报未知病毒 里面有一部分是正常软件的行为与病毒行为重合 也报为 未知病毒

这就是误报的产生

卡巴就是结合的

又有虚拟机，又有Gen

如果微点学TF不报未知病毒而报具有潜在威胁的行为呢？ 那么误报这个词从何而来 误报也只是针对 未知病毒这几个词而已

TF和微点对于行为的 回滚方式不一样

所以TF会隔离winrar

微点之前 我还用aston的时候

第三方资源管理器 可以取代explorer

Aston,一个容易使用、执行速度快的Winsdows外壳虚拟桌面软件

用aston先在windows里创建一个文件 然后在用as运行一个毒 早期的微点会删除运行的毒的文件 然后删除之前创建的正常文件 然后再删除aston


微点现在好像是分程序用途的分级白名单

不同等级的白名单其允许的权限不同

比如浏览器

其运行的程序就不会继承其浏览器白名单的权限

因为浏览器一般不会运行程序 除非网马

微点好像是取程序的MD5＋文件头数据和数字签证来进行文件识别的

卡巴09把回滚取消是一个败笔（回滚：就是之前的动作都有纪录 如果发现是病毒 就回滚到修改之前的状态 主要指注册表 而文件可能是用的重定向
）（重定向：IntelliMirror的一个特性，允许用户和管理员将一个文件夹的路径重定向到一个新位置。）

太信赖他的杀毒能力了

他的自动分组 有可利用的机会…… 而且取消了回滚…… 有危险性

微点好像是操作虚拟化

KB2009
经过三层防御的层层过滤，能够生还的病毒应该很少。

1. 仿真白名单程序

2. 检测文件特征码和内存特征码

3. 绕过行为分析，需要很好的思维能力（难度相对于特征码要难很多）

pass这三步就可以避开接下来的沙盘，几率下降了很多。

这要涉及到策略判断问题...很难的

如果策略判断存在问题的话，嘿嘿

攻击者将很容易通过一些策略方面的机巧...

而不是靠什么高深的技术就可以轻易的pass这个防御了。

BIOSROOTKIT可以写部分代码进BIOS 解毒的方法就是刷BIOS

BIOS RootKit本身要实现安装.sys到BIOS中....HIPS

BIOSRootkit \ PCi Rootkit \ IsApNPrOOTKIT...

1394火线对用户机器物理攻击

攻击者通过1394端口迅速获取Windows系统的准入权

这意味着你在一瞬间可以完全控制任何你能插入1394接口的计算机

允许读写所有的存储器

ring是内核的登机

Ring0是CPU的指令集的特权级别

HIPS都一样 就是规则优先级 功能实现方式不同

[ 本帖最后由 caolizhen 于 2008-8-10 22:12 编辑 ]

spaceplane

那么你是如何解决兄弟姐妹的电脑安全问题的？

caolizhen

1 format

2 重新分区

3 换硬盘

4 重置BIOS

5 换电脑

woai_jolin

我真是服了LZ
主动防御只包括行文拦截和前眈性防御
什么区别于特征码就是主动防御
至于前聸性防御 自己去AVC网站去看吧

caolizhen

主防现在没有明确的定义，完全可以自己理解

启发是主动防御的一种

区别于特征码杀毒的都可以叫做 主动防御

现在业界对主动防御还没有一个很好的定义

广义上 只要不是特征码发现威胁都可以叫做主动防御 在这个方面主动防御是区别于特征码的概念

但目前 主动防御还没有一个确定的意义和概念 大家都不同

[ 本帖最后由 caolizhen 于 2008-8-10 22:03 编辑 ]

caolizhen

1 行为分析

2 写了是好像，好像

tiancai2nd

嗯 ，主防确实没有规定必须是什么样子的，大家理解可以不一样。我还同意yimike的一些观点，防御就不要谈主动了，主动的叫进攻

caolizhen

我不想把此贴改成口水贴

spaceplane

你这帖肯定成口水帖

caolizhen

原帖由 woai_jolin 于 2008-8-10 22:07 发表


EQ能配对特征码 我服了



微点不仅仅考规则 微点有自己的特征库 当运行病毒时 病毒释放的恶意代码 微点进行拦截


微点的编程师是不是这么说的？？？

EQ那个我打错了，应该是微点，抱歉，连个一起看，和你说的意思一样