从360与病毒的实战中看360主防的漏洞和缺陷以及360相对的优势

leisong

------------白羊座: 感谢指出问题，RD和AD的同步防御，进程追杀很快就能开发完成-------------------

好啊
你不能早点出来说啊
到时我会测试本贴列出的剩余样本，给大家一个直观的改进印象。
希望拦截方面的漏洞包括拦截断网也能及时补了，到时我会开贴测试的

PS:原来某人虽然嘴硬，回去还是认真研究的，当然也不一定是因为本帖

jefffire

回复 61# leisong


    白羊的回复在哪儿？？
  某人在“小白”面前是一定要保持俯视的高度的，然后回去就改代码了。。。。

白羊座

回复 61# leisong


    关于组策略和计划任务的拦截，有必要说明一下，360主动防御的拦截很大程度上依赖白名单，而这两项的白名单目前手机程度不够，如果调整级别为未知均拦截，误报可能非常多，而在云查杀中，是强制所有位置启动项全部报出的，所有云查杀比主防能识别更多启动项目

至于断网的防护，我之前已经说过了，不恰当的说，比如360现在防御了20种（具体数目不好统计）断网方式，但是实际上可用的断网方式可能有100种，而其他的云防护软件也许只防了最常见的5种。他们防御5种，能防御99%的断网，而360防御20种，也许只能防御90%的断网，这就是用户量的差距，被针对的多了，是没有办法的。你测试的样本的断网方法，当天就已经做出修改，但是走过内部测试、beta测试升级到正式版本是需要时间的。木马针对360的攻击特别多，正常软件与360的改进发生冲突的风险也比其他安全软件大得多。严格的测试是必须的，360的用户量是一般安全软件的20倍，但是接到的不兼容反馈并不比其他安全软件多，这一点上，说明360的QA测试是相当过硬的。

当然这些都不是借口，目前的主动防御单纯的去防护这些威胁，显然是很困难的事。但并不代表断网就能成为攻击360的杀手锏。这类网马的URL、脚本会被网盾拦截，进入用户电脑可能会被360杀毒侦测到，那么这个木马是否还能够爆发呢？答案显然是不能的。防御的根本不在于保证100%的安全，任何安全软件都做不到，但是如果有一款安全软件提供的防御体系，能够及时，迅速的用多种途径多层拦截来抵御木马的爆发，将流行木马迅速绞杀，那么这就是出色的安全软件。

leisong

回复 62# jefffire

1F，人气加分那里

jefffire

回复 63# 白羊座


    说的很好，很在理。

jefffire

回复 63# 白羊座


    对于针对性的断网，360能不能在正常联网被阻断后，用些非常规的方法联网呢？？比如插IE，svchost等。这样病毒除非彻底断网或者能突破360的自保，不然很难断360的网了。

jefffire

回复 64# leisong


    看见了

白羊座

回复 66# jefffire


    我所说的防断网很多时候就是这样工作的，当然不是通过插IE什么的，而是强行绕过木马的拦截联网，毕竟很多断网方式，不能确定一定是木马断网，也可能是一些XX代理FQ软件之类的

609180550

学习了！

leisong

回复 63# 白羊座

这段解释本该早点出来的
你说的有道理
不过360如果也有本地的防御架构，不是可以在断网后也能得到保护么，看看你们对网盾防御架构的描述，一层套一层的防御，总共套了6层防御，仅评论这段描述而言,架构之清晰，防御之严密，逻辑之严谨令人不得不佩服。
而360主防呢？何时有网盾这样严密而清晰的层层防御的架构？？？？连DW这样黑白分明的两极架构都没有。当然像DW的两级架构缺点也很明显，对信任区的彻底放任使得带毒安装包是个问题。拿DW举例只是为了说明360的本地防御什么架构都没有？什么架构都没有也能号称智能主防么？

不错，是软件都有漏洞，但既然明知360防不了全部的断网方式，为什么就不能考虑一旦被断网后的本地防御架构？？？？提出这个只会被MJ避实就虚扯到技术上来，但难道被各家智能HIPS都采用的权限分组、内置规则以及适当的权限继承这种形式的智能HIPS不是解决安全和易用平衡点的有效方式么？？如果对其它智能主防形式都不屑一顾，360有更有效的更好的防御方式，那也像阐述网盾那样逻辑清晰而严谨的阐述一番啊，问题是现在360主防连个完整的防御理念都没有。

也许，我只是期望太大了，谁让360的技术实力傲视群雄，总之，下一版有进步就是好事。毕竟主防才刚刚起步。