主动防御-----木马，叹息的墙壁

stevenji2000

当下的网络世界充斥着蠕虫、木马、流氓软件、恶意插件、间谍软件，人们的上网安全受到严峻挑战，几乎所有上网用户都曾受到过它们的困扰。
相对于其他来说，个人认为对用户威胁最大的莫过于木马，它隐蔽性强，往往中马用户很长时间也无所察觉，最新的木马都采用了驱动级隐藏技术，即便被杀毒软件发现也不容易彻底杀掉，最严重的是它可以在不知不觉中盗取用户资料，窥探用户隐私，而且当前木马功能非常强大，操控者几乎可以象操控自己的电脑一样将你玩弄于股掌之中，所以，其危害远甚于蠕虫等病毒
传统特征码扫描为主的杀毒软件愈来愈显现出局限性来，面对频繁的变种及各种加壳工具，杀软厂商们只能被动的升级病毒库，疲于奔命，应接不暇，而一些黑客高手做的免杀处理可以轻易通过众多的杀软，小范围使用的木马甚至能很长时间都不被查杀，在此情况下，众多主流杀毒软件厂商纷纷推出了带主动防御模块的新一代杀毒软件，目前国产大概有江民2007，微点、费尔等，它们依托庞大的病毒库，采用部分HIPS模式，依照病毒木马的行为方式，提前在病毒木马可能渗透的地方设置关卡，变被动为主动，将木马拦截在系统大门之外。如国产江民2007的系统监控不但针对木马可能创建的位置做了预处理及预判而且还有对于IE浏览器保护，此外，很重要的一点，它留给了用户一定的空间去定义适用于个人的规则，我想，很多有经验的用户会喜欢这一点。
因为还没有真正实现智能化（个人感觉很难实现），这种方式也有一定的局限性，就是不太适合新手使用，新木马或变种虽然其也可以在创建前拦截，但需要和用户有一个交互，不熟悉系统的新手极有可能会出现误点的情况，使病毒木马突破主动防御（建议这部分用户使用一些高手配制的规则包），但是在有一定经验的用户手中，主动防御是一件强大的武器，合理使用足以抵挡目前已知病毒木马的入侵，即便强行侵入其功能也将受到很大的限制或是变成死马，可以留给用户更多的时间去处理,减少用户损失。虽然现在声称有的木马可以突破主动防御但笔者测试的多款主流木马皆不能完美的突破（这里所说完美是在不让对方有所察觉的情况下），因此今后的木马可能会采取的更强的伪装手段了，攻击方式也会翻样更新。以一款木马为例，它既不修改注册表、也不创建服务，也不添加启动项，也不对其他程序进行注入，它的特征也不在病毒库内，它只求一次攻击不求长久控制，这样的木马通过主动防御的概率就变的非常大了，即便现在号称主动防御最强的微点也只是在木马运行后简单提醒XXX访问远程地址。道高一尺，魔高一丈，智能化主动防御之路还很漫长。
强大的杀毒能力+主动防御+防火墙才是安全之道，没有主动防御的杀软终将被淘汰
    我觉得，合理有效的设置主动防御规则，严密看管注册表敏感键值，系统文件夹、服务，多学习了解一些系统知识将能完全拒病毒木马于系统大门之外的。

个人建议的安全配置，仅论国货
江民2007+天网
瑞星/江民/金山/东方卫士+微点
费尔没用过，呵呵，在此不做评价

目前大量国外杀软进入中国，我感觉虽然在技术上我们有差距，但国产杀软更贴进中国人的使用习惯，许多附加功能也很有用，总之，再强大的杀软也只是辅助工具，提高自身的安全意识才第一的。

此贴首发于卡饭,本人非任何软件枪手

bridgewr

首先说一下，楼主肯定没用过微点吧，微点可不是hips，hips是用户做一个动作，他就提示，让用户选择，所以hips只适用对电脑有一定了解的用户，并不适合普通用户，什么都报和没报一样哈。

我对微点试用的一年来说，微点是真正的智能行为判定，不是针对某个单一的动作进行报警，并不是一个程序做了某个单一的动作，比如写注册表等，微点就报警，它是针对一个程序一系列的行为来进行监控，发现一个程序有病毒或木马的行为，微点才会报警。比hips要智能的多，而且适合普通用户使用。

stevenji2000

虽然装了微点但只是在测试中使用,平时是不开的所以的确可能了解不够透彻
但如果仅仅是行为判定似乎也不是那么叫人放心,它的升级包括行为规则吧
HIPS非常烦琐但很安全而智能化的话虽然易用但一定会有漏洞,似乎很难协调

Paxson

呵呵 微点的判断是很复杂的。呵呵。

微点几乎没让用户参与的过程 一般都直接报。所以很适合大众用户

虽然微点比较强  但是肯定规则还不够强 但是对于病毒来说 市面95％以上可以正常运行的病毒 应该可以拦下。

微点也只是提高了病毒编写的门槛而已  呵呵 hips也一样 叹息墙 还为之过早

ly250094040

叹息之墙

有点不明白

用12黄金圣衣制造阳光破墙的时候

那几个白痴干嘛穿着它

活活被烧死

stevenji2000

微点可否由用户自定义规则？

stevenji2000

谢谢，矛与盾的较量终不会完结
各位对于如何突破主动防御有什么高见呢