★★★ 关于360木马防火墙不得不说的“秘密” ★★★转自360论坛

aqingge

一、木马防火墙非网络防火墙
　　有部分用户把木马防火墙当做网络防火墙了，其实两者完全不是一回事。网络防火墙可以说是对程序访问的限制（即传统简称为防火墙）；木马防火墙，则可以说是对木马（或者说是恶意程序）的防御。
　　另：360也有自己的网络防火墙，具体请看http://labs.360.cn/360firewall/index.html

二、360木马防火墙属于云主动防御安全软件
　　说起主动防御，许多人并不陌生，那么360的木马防火墙又为什么属于云主动防御软件？因为木马防火墙创新式的把“云”和“主防”有机结合在一起，是一种基于云安全的主动防御方法（简称为云主防技术），不会给本地用户造成过多负担，还能保持较高的拦截率和智能性，此技术目前已申请国家专利


三、360木马防火墙的基本工作原理
　　360木马防火墙的拦截机制采用的是单步拦截法，即对某一程序的单步行为进行分析和判断，对于那些可能影响系统安全的行为，同时触发该行为的程序又不在可信名单之列，便会弹窗提示用户程序的行为，并由用户进行判断做出选择。
　　单步拦截能够对恶意程序的每一个危害动作进行有效的拦截，最大的保证安全性，但是同时如果黑白名单不是足够大的话，弹窗提示就会比较多，用户需要进行频繁的选择，不方便用户操作，不够人性化。这就限定要求了单步拦截法要足够人性化就要有足够庞大的黑白名单库。
　　对于拥有3亿用户的360而言，收集足够庞大的黑白名单，并不是难事。但是如果把如此庞大的黑白名单库放在本地，那么会大大地加大本地用户的负担。因此360把海量的黑白名单库放在云端，由云端进行分析，即云结合主防的形式。
　　具体的工作流程是这样的：如果某一程序的动作触发了主防规则，360木马防火墙则会进行云端查询，在黑名单的直接报毒，在白名单的直接放行，不在黑白名单的未知程序，则转由云端的行为分析器（其中就包括云端QVM人工智能引擎）来判断此程序的动作是否有危害。

四、360木马防火墙的弹窗类型
　　360木马防火墙的弹窗类型总的来说分为：安全，风险，危险，报毒 四种

安全（基本可以确定不是病毒）
在白名单内的程序直接放行，不弹窗，部分程序动作会给予提示已放行（默认智能模式下）


调为手动模式，白名单内的部分程序动作依旧要弹窗（智能模式和手动模式仅安全弹窗方式不同）


报毒（基本可以确实是病毒）
在黑名单的程序直接报毒（例图为拦截鬼影2）


由云端QVM行为鉴定为病毒（注意看所报病毒名称，QVM报毒名称均为Malware.QVM**.Gen）


不在黑白名单库内，云端行为分析器又不敢确定某未知程序为病毒时，云端行为分析器会记录下此程序的动作，并将弹窗挂起，按照危险程度不同，一般分为两种弹窗（即风险和危险）

风险（无法判定是否病毒，危险程度一般）


危险（无法判定是否病毒，危险程度高）


　　例图中，风险弹窗示意有程序在修改组策略启动项，危险弹窗示意有程序修改硬盘主引导记录区以获取电脑权限，明显可以看出后者的危险程度高得多，用户碰到这种弹窗一定要小心谨慎！
　　因为此类弹窗存在一定量的误报，所以可供用户选择的项目也比较多（不像报毒窗口，选项就那么一两个。。。。）

五、360木马防火墙采用“云主防”的优势
　　前面已经提到360木马防火墙采用的是单步拦截，能最大的保证安全性，采用云结合主防的形式，又解决了不够人性化的难题。而“云主防”的另一个优势在于升级方便：当发现某病毒可绕过360云主防时，因为规则框架设置在云端，所以能够很快的进行升级规则防御，堵住缺口，阻止病毒进一步蔓延，最大限量地保证用户的安全（这也是许多免杀制作者苦恼的地方，因为针对360的免杀出来没多久往往就被修复了，360的更新速度得赞一个）。
　　“云主防”因为其本身的规则框架优势，再加上单步拦截的安全性，云端分析的人性化，满足了绝大部分用户的要求，而且拦截病毒的能力相当之高（联网情况下）　

六、“云主防”的缺陷
　　万物不可能十全十美，360的“云主防”有这么多优势，自然也有缺陷！
　　“云主防”既然是云结合主防的形式，靠的是云端分析，那么没云则不构成“云主防”，所以云主防的缺陷就是：怕断网。
　　不可否认，在联网情况下，360的“云主防”可以说是近乎无敌的存在（可能我的说法有些夸张，但是有条件的同学可以在虚拟机或者影子系统上测试一下，真的是非常强悍）。但是在断网情况下，防御效果将会大大减弱。（所以请各位用360的同学不要断网测试病毒，那是相当恐怖的一件事）

你想怎样

干脆把木马防火墙的名称 就直接改为    云主动防御 模块

这样最好,     直接了当

毕竟有些软件对系统的修改或者是所谓的"攻击" , 但他们并不是木马 ,不过是有些正常的软件会加入IE插件,  增加开机启动项目.  比如一些下载软件.

洛阳鬼铲

解释的很清楚，小白很受益

lzw555

不错，但是图都挂了。是我这边的问题？

七彩阳光

有一些收获谢谢

SmilePad

期待LZ个性签名再往后一张

hutuch

受益匪浅，但是没有图呀？

晚风中的泪

文章真好，可惜图挂了，修复下吧

-oAo-

你想怎样 发表于 2011-4-2 02:06
干脆把木马防火墙的名称 就直接改为    云主动防御 模块

这样最好,     直接了当

我也觉得叫木马防火墙很容易误导小白放弃真正的防火墙

七宝

回复 1楼 aqingge 的帖子

图挂 了，请修复