切断360云链接过主防，7.7.1005B已可防御

估计就是以前说的脚本引擎吧。。不知道是个神马样子

Tron

单身熟男 发表于 2011-3-6 17:35
估计就是以前说的脚本引擎吧。。不知道是个神马样子

跟脚本引擎啥关系都没有，这个是灭一切过主防的

xiayang1221

回复 92楼 Tron 的帖子

大侠 你还是直接出HIPS吧，我向你投降~~

jefffire

xiayang1221 发表于 2011-3-6 17:51
回复 92楼 Tron 的帖子

大侠 你还是直接出HIPS吧，我向你投降~~

已经有MD了   

xiayang1221

回复 94楼 jefffire 的帖子

我估计他们不敢再客户端上这个东西，太麻烦了，估计用户会崩溃的

jefffire

xiayang1221 发表于 2011-3-6 17:59
回复 94楼 jefffire 的帖子

我估计他们不敢再客户端上这个东西，太麻烦了，估计用户会崩溃的

360卫士也是以HIPS为基础的吧，把规则放在云端。

xiayang1221

回复 96楼 jefffire 的帖子

我觉得完全没必要这样做，这样做的一个鲜明的缺陷就是断网情况下，对木马毫无反应~先泪奔一下上次断网情况下中了Parite.b感染性病毒，结果XP都进不去，现在还是用的WIN7(双系统)。我觉得应该这样做，安置一个主流规则在客户端，并且将客户端触发报警阀值的操作一边也上传给服务器，可随病毒库一起实时调整客户端规则~~
我相信病毒不可能在一个更新周期里面会做到大规模爆发，所以我觉得云主防更大的意义在于“名称”而不在于它的实际价值~

jefffire

xiayang1221 发表于 2011-3-6 18:12
回复 96楼 jefffire 的帖子

我觉得完全没必要这样做，这样做的一个鲜明的缺陷就是断网情况下，对木马毫无反 ...

主要规则还是白名单为主，客户端恐怕放不下。微点这种智能分析专家系统，碰到对抗性强的容易消息还没传出去呢，先自己挂了。

xiayang1221

回复 98楼 jefffire 的帖子

白名单不会占用太大容量，想想病毒库就知道了，另外一个本地的主流规则应该保持检测率在90%以上，所以客户端没那么容易被KILL,实时更新只是微调作为一个补充。
主要规则是绝对不能只放在服务器上的，不然就是对断网用户的不负责，补充一下：我们知道360对非白文件写开机启动项都会报警，仅此一项我就不懂360为什么要把这个规则放在云端，因为即使连网360依然不能实时的去除报警（非恶意文件，比如我写的一个带开机自启动的小程序），那他为什么不把规则下放到客户端，都是报警嘛，报警比不报警安全~

jefffire

xiayang1221 发表于 2011-3-6 18:30
回复 98楼 jefffire 的帖子

白名单不会占用太大容量，想想病毒库就知道了，另外一个本地的主流规则应该保持 ...

MD5 sha1做的白名单小不了。
360的本地防御确实有点搞不懂。