楼主: fzq198776
收起左侧

[讨论] 我是来“砸场子”的:FS 的 deepguard 无法防御住 鬼影病毒 和 全盘感染型病毒

  [复制链接]
tigerllhc
发表于 2011-4-15 17:11:54 | 显示全部楼层
本帖最后由 tigerllhc 于 2011-4-15 17:12 编辑

实际运行了以上三个病毒,结果如下(Win 7 x64,FS杀毒引擎和DG均开启):
1.被DeepGuard成功拦截

2.第2个病毒虽未被DG拦截,但实际上并不能运行,即对系统无害。

3.第3个病毒再次被DG成功拦截。

4.对以上病毒进行扫描。

结论:DeepGuard似乎只对能“作威作福”的“活病毒”起作用,并且只是FS的一部分,不能代表FS的综合实力。
fzq198776
 楼主| 发表于 2011-4-15 17:13:56 | 显示全部楼层
本帖最后由 fzq198776 于 2011-4-15 17:14 编辑
tigerllhc 发表于 2011-4-15 17:11
实际运行了以上三个病毒,结果如下(Win 7 x64,FS杀毒引擎和DG均开启):
1.被DeepGuard成功拦截


你开了 BD 引擎之后,此时起作用的 就是 特征码扫描了,可以说 DG 中 有一部分就是 特征码扫描直接识别出的,但是特征码扫描没意义,容易被免杀,我要看的是纯 DG 的能力,也就是一个病毒被进行了特征码免杀 后,DG的实力
tigerllhc
发表于 2011-4-15 17:29:21 | 显示全部楼层
重新做了一次实验,关闭Virus Scan,只开启DeepGuard和Firewall,结果和之前一样,一个根本不能运行,另两个则被DG拦截。

fzq198776
 楼主| 发表于 2011-4-15 17:34:48 | 显示全部楼层
本帖最后由 fzq198776 于 2011-4-15 17:37 编辑
tigerllhc 发表于 2011-4-15 17:29
重新做了一次实验,关闭Virus Scan,只开启DeepGuard和Firewall,结果和之前一样,一个根本不能运行,另两个 ...


请你下载了 V 大的 FS 后 不要 更新病毒库,直接测试,因为 我 发现 DG 是会 调用特征码的
tigerllhc
发表于 2011-4-15 17:43:37 | 显示全部楼层
fzq198776 发表于 2011-4-15 17:34
请你下载了 V 大的 FS 后 不要更新病毒库,直接测试,因为 我 发现 DG 是会 调用特征码的

习惯用原版的,就不另行安装了,而且DG本身有自己的升级病毒库,如果禁止更新毒库,同时也等于弄残了DG(没找到只令DG升级的方法)。作为FS的一个组成部分,能做到如此防毒能力对于我而言是足够了。另外硬要强求DG如微点主防一般似乎并不合理,毕竟定位是不一样的。
fzq198776
 楼主| 发表于 2011-4-15 17:45:28 | 显示全部楼层
本帖最后由 fzq198776 于 2011-4-15 17:46 编辑
tigerllhc 发表于 2011-4-15 17:43
习惯用原版的,就不另行安装了,而且DG本身有自己的升级病毒库,如果禁止更新毒库,同时也等于弄残了DG( ...


靠特征码 我觉得 没意思,毕竟做特征码免杀并不难,我喜欢纯靠行为 的 防御。。。而且还要智能。。。而且还要能破解。。。
恋亿晓
发表于 2011-4-15 18:15:50 | 显示全部楼层
本帖最后由 恋亿晓 于 2011-4-15 18:16 编辑

回复 16楼 fzq198776 的帖子

诺顿的sonar,FS的DG,ESET的启发都是需要有特征码作为辅助的,就像诺顿不更新病毒库,sonar没用,不开文件防护,sonar直接不给你打开;ESET不更新病毒库,它的启发和摆设一样;而你不更新病毒库,关闭文件防护直接上DG,DG和没用差不多。
杀软之中的各个组件也都是互相联系的,你这么测试,就等于把法拉利拆了个轮子然后去和兰博基尼比赛一样[:26:]

评分

参与人数 2经验 +3 人气 +1 收起 理由
光之优雅 + 3 版区有你更精彩: )
hj5abc + 1 说的不错~

查看全部评分

猴纸
发表于 2011-4-15 18:30:19 | 显示全部楼层
回复 17楼 恋亿晓 的帖子

说得好
楼主完全脱离了实际使用情况
猴纸
发表于 2011-4-15 18:31:19 | 显示全部楼层
回复 16楼 fzq198776 的帖子

我能想到的是铁壳唯一还给PCTOOL剩下的TF
再配合局长最新版的规则
tigerllhc
发表于 2011-4-15 18:49:38 | 显示全部楼层
fzq198776 发表于 2011-4-15 17:45
靠特征码 我觉得 没意思,毕竟做特征码免杀并不难,我喜欢纯靠行为 的 防御。。。而且还要智能。。。而 ...

在F-seucre官网上找到了DeepGuard的白皮书,引用其中DG如何工作的部分,并大致翻译了一下。
(下载地址:http://www.f-secure.com/system/fsgalleries/white-papers/f-secure_deepguard_2.0_whitepaper.pdf
1. 程序启动时首先由传统基于特征码的引擎扫描是否含有威胁,如果有即被屏蔽。 (此时DG尚未登场)
2. 如果通过了之前的扫描,DG登场快速预览文件,并在FS的实时防护网络数据中心查询(F-Secure Real-time Protection
Network),检查文件是否是被FS安全实验室(F-Secure Security Labs)确认的文件。一旦甄别出文件为“善意”或“恶意”,则自动采取合适的措施。
3. 如果实时防护网络显示文件为未知,此时DeepGuard 2.0将会用Gemini和Pegasus引擎来检查文件(原文中提及了Pegasus,实际已从V9的FS中剔除)。以此评估程序的行为是否该被允许运行,未知程序的检查也会更为严格。

由此看来,基于传统特征码的扫描是先于DG的,只有通过后DG才会粉墨登场。目前DG用的引擎有且只有Gemini,根据FS白皮书对其的定义为,一个对文件进行静态扫描的启发式引擎,它会在文件中寻找诸如打包、未签名等恶意软件常具有的特征。另外白皮书中还强调了一点“对于恶意软件,作者能轻易改变其外貌,但DG对此一点都不在乎,DG认定恶意软件是基于软件的作为,而恶意软件仍然会会做它注定该做的事情。(言下之意逃不出DG的掌心,特征码免杀对于DG无效)”。
另外DG的确也有自己的病毒库,但此毒库非彼毒库,并不是传统基于特征码的毒库,而是基于行为的毒库,鄙人臆断其可能为行为规则。所以,DeepGuard应该可以说是一个基于行为的智能防御,但有“云”的特点。
“夫不可陷之盾与无不陷之矛不可同世而立”,骇客与安防技术一直此消彼长,作为DG、FS,乃至任何杀软意图防住所有未知病毒,那显然是不可能的。

评分

参与人数 3经验 +3 人气 +2 收起 理由
光之优雅 + 3 感谢解答: )
bayern + 1 言之有理
hj5abc + 1 码字辛苦~

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 11:48 , Processed in 0.099814 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表