被宽化的杀软里的主动防御

fatelinegod

RT 第一次在这发帖 不太懂什么 只说一些看法 都比较浅 八好意思了

首先主动防御在以前就不是个严格的定义，现在看也包括很多，一部分人认为启发式也算（强虚拟机查API吧）一类，行为拦截的HIPS、乃至沙盘等都可以算是。但是一个完整的行为拦截机制是要比杀软代码级的安全一些，强虚拟机查API没几个杀软能做到真正像样的，对付免杀能把特征码能定位在PE头的就几个。至于什么是完整HIPS呢，我想就是所谓的3D4D吧，也是针对下面所说的杀软集成HIPS所说。

现在更多的是杀软集成了所谓的HIPS，其实很少有完整的，大多数都是简单的HOOK一些，拦截一部分的如结束自身进程（ZwTerminateProcess）、远程注入（ZwCReateThread等），正规的驱动挂载（ZwLoadDriver），注册表操作（ZwSetValueKey）等，我想这一部分是由于要简化弹框，另一部分有的这种简化的所谓主动防御依然是很弱的，很多是拿掉ZwTerminateProcess就可以干掉杀软进程，并且干掉后的也不会像某些完整的HIPS那样——“即使进程结束、依然在工作”。这一部分有点难达不到3D4D的要求，用网络现成的代码就可以绕过。但是他只是杀软的辅助，如果有一个好的引擎这就是足够的了。

还有一部分在引入智能或半智能的完整HIPS，比如卡巴8，虽然还有很多要改进，但是这么短时间做到这样已经很厉害了。即使一个专门做HIPS的厂商，测试期都可能长达数年。此外，norman、犀牛那种路子也不错，当然犀牛我不太了解，记得还是预设HIPS策略为主，很难说是杀软为主。

另外说下判断微点是不是HIPS的问题，拿很久以前咖啡等是不是杀软的问题类比下其实很简单。我不知道这样说对不对：微点是先进行特征扫描，然后进入黑白名单，之后核心是HIPS规则判断。而咖啡是先过他的FD和RD，之后核心是杀软引擎。这样看，谁的本质是什么，很明显。

RT

其实想说的就一句话，大家说的主动防御，HIPS类的行为拦截，如同杀软一样，依然水平层次不齐，正如不能看到某些同学刚研究出动态启发式就说好，也不能看到主动防御就觉得强，可能要中计的。

[ 本帖最后由 fatelinegod 于 2008-9-17 09:57 编辑 ]

wslam

good ar!! 同意

赞成你的说法。。。技术还很不成熟，但是前途还是值得期待的~~~[:26:][:26:][:26:]

嘁。不稀罕~

所谓的宽化，是很多人混淆了HIPS（主机入侵防御）和主动防御，因为简称都是“主防”。

loveyuwei

LS一语中的。。

华语天空

看到主动防御没啥感觉，现在哪个杀软不说自己是主动防御，可事实只有他们自己知道！！当然受伤的就是我们了

fatelinegod

非常感谢～～～

robinvsr

楼主的意思我都明白拉。但楼主还是没有说清楚在杀软中HIPS真伪的真正区别方法啊。说的太笼统啦.虽然我玩了那么多年的杀软凭直觉可以区分。呵呵.还有如果照您最后的那种区别微点是不是真正HIPS的方法那先杀毒引擎后主动防御的KIS2009岂不是不能划为杀软要划为HIPS啦

飘渺虚无

很多定义都是这样模糊的。。。

伞兵づ泡泡

还主动防御……

我就喜欢叫：行为拦截

就是行为拦截，啥主动不主动的