楼主: leisong
收起左侧

[讨论] 从360与病毒的实战中看360主防的漏洞和缺陷以及360相对的优势

  [复制链接]
leisong
 楼主| 发表于 2010-5-30 10:25:01 | 显示全部楼层
本帖最后由 leisong 于 2010-5-30 10:27 编辑

------------白羊座: 感谢指出问题,RD和AD的同步防御,进程追杀很快就能开发完成-------------------

好啊
你不能早点出来说啊
到时我会测试本贴列出的剩余样本,给大家一个直观的改进印象。
希望拦截方面的漏洞包括拦截断网也能及时补了,到时我会开贴测试的

PS:原来某人虽然嘴硬,回去还是认真研究的,当然也不一定是因为本帖
jefffire
头像被屏蔽
发表于 2010-5-30 10:32:30 | 显示全部楼层
回复 61# leisong


    白羊的回复在哪儿??
  某人在“小白”面前是一定要保持俯视的高度的,然后回去就改代码了。。。。
白羊座
发表于 2010-5-30 10:41:11 | 显示全部楼层
回复 61# leisong


    关于组策略和计划任务的拦截,有必要说明一下,360主动防御的拦截很大程度上依赖白名单,而这两项的白名单目前手机程度不够,如果调整级别为未知均拦截,误报可能非常多,而在云查杀中,是强制所有位置启动项全部报出的,所有云查杀比主防能识别更多启动项目

至于断网的防护,我之前已经说过了,不恰当的说,比如360现在防御了20种(具体数目不好统计)断网方式,但是实际上可用的断网方式可能有100种,而其他的云防护软件也许只防了最常见的5种。他们防御5种,能防御99%的断网,而360防御20种,也许只能防御90%的断网,这就是用户量的差距,被针对的多了,是没有办法的。你测试的样本的断网方法,当天就已经做出修改,但是走过内部测试、beta测试升级到正式版本是需要时间的。木马针对360的攻击特别多,正常软件与360的改进发生冲突的风险也比其他安全软件大得多。严格的测试是必须的,360的用户量是一般安全软件的20倍,但是接到的不兼容反馈并不比其他安全软件多,这一点上,说明360的QA测试是相当过硬的。

当然这些都不是借口,目前的主动防御单纯的去防护这些威胁,显然是很困难的事。但并不代表断网就能成为攻击360的杀手锏。这类网马的URL、脚本会被网盾拦截,进入用户电脑可能会被360杀毒侦测到,那么这个木马是否还能够爆发呢?答案显然是不能的。防御的根本不在于保证100%的安全,任何安全软件都做不到,但是如果有一款安全软件提供的防御体系,能够及时,迅速的用多种途径多层拦截来抵御木马的爆发,将流行木马迅速绞杀,那么这就是出色的安全软件。
leisong
 楼主| 发表于 2010-5-30 10:42:05 | 显示全部楼层
回复 62# jefffire

1F,人气加分那里
jefffire
头像被屏蔽
发表于 2010-5-30 10:45:49 | 显示全部楼层
回复 63# 白羊座


    说的很好,很在理。
jefffire
头像被屏蔽
发表于 2010-5-30 10:49:16 | 显示全部楼层
回复 63# 白羊座


    对于针对性的断网,360能不能在正常联网被阻断后,用些非常规的方法联网呢??比如插IE,svchost等。这样病毒除非彻底断网或者能突破360的自保,不然很难断360的网了。
jefffire
头像被屏蔽
发表于 2010-5-30 10:49:40 | 显示全部楼层
回复 64# leisong


    看见了
白羊座
发表于 2010-5-30 10:52:38 | 显示全部楼层
回复 66# jefffire


    我所说的防断网很多时候就是这样工作的,当然不是通过插IE什么的,而是强行绕过木马的拦截联网,毕竟很多断网方式,不能确定一定是木马断网,也可能是一些XX代理FQ软件之类的
609180550
发表于 2010-5-30 11:15:21 | 显示全部楼层
学习了!
leisong
 楼主| 发表于 2010-5-30 11:20:31 | 显示全部楼层
回复 63# 白羊座

这段解释本该早点出来的
你说的有道理
不过360如果也有本地的防御架构,不是可以在断网后也能得到保护么,看看你们对网盾防御架构的描述,一层套一层的防御,总共套了6层防御,仅评论这段描述而言,架构之清晰,防御之严密,逻辑之严谨令人不得不佩服。
而360主防呢?何时有网盾这样严密而清晰的层层防御的架构????连DW这样黑白分明的两极架构都没有。当然像DW的两级架构缺点也很明显,对信任区的彻底放任使得带毒安装包是个问题。拿DW举例只是为了说明360的本地防御什么架构都没有?什么架构都没有也能号称智能主防么?

不错,是软件都有漏洞,但既然明知360防不了全部的断网方式,为什么就不能考虑一旦被断网后的本地防御架构????提出这个只会被MJ避实就虚扯到技术上来,但难道被各家智能HIPS都采用的权限分组、内置规则以及适当的权限继承这种形式的智能HIPS不是解决安全和易用平衡点的有效方式么??如果对其它智能主防形式都不屑一顾,360有更有效的更好的防御方式,那也像阐述网盾那样逻辑清晰而严谨的阐述一番啊,问题是现在360主防连个完整的防御理念都没有。

也许,我只是期望太大了,谁让360的技术实力傲视群雄,总之,下一版有进步就是好事。毕竟主防才刚刚起步。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 08:02 , Processed in 0.095532 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表