关于SONAR是否就是特征码检测的问题

kfwsadhjkl

微点的主防也是基于特征码的
bbs2811125 发表于 2010-6-15 17:08

也有行为分析的

jiayan72392

我的意思是，主防作为除了扫描以外的另一种病毒防护手段，却并没有展现出其不同之处，和扫描一样都是依赖 ...
kfwsadhjkl 发表于 2010-6-15 17:07

SONAR有一部分判断规则需要特征码，但不全是，是基于特征码的一种扩展。

ming9888

如果按照楼主的逻辑，就可以得出结论，主动防御应该能防止所有基于特征码扫描未发现的未知病毒？

bbs2811125

也有行为分析的
kfwsadhjkl 发表于 2010-6-15 17:09

但依然没有脱离特征码
智能的主防/HIPS能达到80%-90%的拦截率已经很不错了
再想要提升只能借助于手动的HIPS，

kfwsadhjkl

如果按照楼主的逻辑，就可以得出结论，主动防御应该能防止所有基于特征码扫描未发现的未知病毒？
ming9888 发表于 2010-6-15 17:14

你理解有问题，主防应该作为特征码扫描的另外一种补足，特征码不管用的时候主防应该能通过其他方式来防护。

ming9888

主动防御的行为规则也是需要经常升级的，不可能完全取代特征码防御技术。

jiayan72392

你理解有问题，主防应该作为特征码扫描的另外一种补足，特征码不管用的时候主防应该能通过其他方式来防 ...
kfwsadhjkl 发表于 2010-6-15 17:16

SONAR正是一种特征码补充的体现，但是请明白一点，没有哪种技术能够做到100%的防护。

kfwsadhjkl

我可从来没说主动防御就应该100%拦截，防止所有。

kfwsadhjkl

但是从某个角度来说它和扫描应该是相互补足的。

jefffire

回复  kfwsadhjkl 的帖子

UAC只拦提权，那个样本应该在提权前有一些触发规则的行为
asusandy111 发表于 2010-6-15 16:54

我继续科普一下，为什么UAC提示一定是在程序运行之前。
在NT 6.X操作系统中，当用户登录后，LSA会查看该用户的访问令牌（相当于权限许可证）。如果发现里面有高级特权，就会自动创建两个令牌，一个是管理员访问令牌（Full Token），一个是标准用户访问令牌（UAC Token）
  由winlogon启动初始化进程userinit链接到标准用户访问令牌，由userinit进程启动的explorer进程也自动继承连接到标准用户访问令牌，因此只要是explorer进程启动的其他进程也链接到标准用户访问令牌。这样就极大的提升了系统安全性。
   如果你双击一个未知可执行文件，由于它是由explorer启动的，于是就自动连接到标准用户访问令牌，这样它的权限就被限定了。即便它有提权行为，也会被自动拒绝。而有些程序需要特权执行，那么怎么办呢？？这时应用程序必须在执行前提前通知windows“我需要更高权限”。这样windows才会给这个程序有更高权限的机会。所以你必须提前通知，这样UAC弹框就产生了，而且肯定是在程序执行前弹框