我是来“砸场子”的：FS 的 deepguard 无法防御住 鬼影病毒 和 全盘感染型病毒

qq373163143

恋亿晓 发表于 2011-4-15 18:15
回复 16楼 fzq198776 的帖子

诺顿的sonar，FS的DG，ESET的启发都是需要有特征码作为辅助的，就像诺顿不更 ...

分析得有道理啊，不能单拆来看..........就像卡巴要是你只用绿色版扫描器.................结果还是比较悲剧，相同，要是comodo的防火墙和D+分开来，相信comodo和其他一些墙也会是差不多的境遇吧？个人愚见，个人愚见

sixru

进来学习了

Qoome

楼主真多余，你见过卡巴直接靠他那个所谓的主动防御来杀毒的么
主动防御只是杀软的其中一个有益补充，并不是杀软的全部
被黄绿卫士洗脑的家伙

fzq198776

Qoome 发表于 2011-4-16 22:31
楼主真多余，你见过卡巴直接靠他那个所谓的主动防御来杀毒的么
主动防御只是杀软的其中一个有益 ...

如果 主动防御 过度依赖特征码，那么只要 黑客 对病毒进行特征码免杀（这个并不难），那这个主动防御就可能 不给力了

fzq198776

qq373163143 发表于 2011-4-16 21:11
分析得有道理啊，不能单拆来看..........就像卡巴要是你只用绿色版扫描器.................结果还是 ...

卡巴 单靠主动防御绝对可以，KIS2011 的 应用程序控制 和 HIPS 绝对可以担当大任

gikouhaku

听各位的解释我不担心了 ~险些又要换杀软

ccc-a

卡巴的立体防御体系：
1，进行病毒库、DNA库、不正常的混合壳和可疑程序核对，没有则进行2
2，扫描启发分析，虚拟机在这里进行启发分析，具体可以见到的报法为Heur.Downloader等，没有则进行3
3，扫描启发+扫描DNA启发分析，具体报法为Heur.Trojan.Generic、 Heur.Virus.Generic等，没有则进行4（1），4（2）

注：以下步骤按照自动模式下的智能HIPS（4d）分析
4（1）、核对白名单和数字签名，没有则进行5（1）
5（1）、自动分组（沙盘运行），并根据初步判断的danger index进行分析，使本体获得相应组别的权限。
6（1）、有些病毒会释放衍生物，此时，每生成一个衍生物并激发运行，都会重复前几个步骤。这里有可能会随着衍生物的行为，使本体病毒的组别发生变化，例如从低受限---->高受限
7（1）、生成的衍生物有些是可以通过1、2、3进行拦截的或者嵌入驱动等等。而有些则被过，此时进入动态行为启发分析，即与行为库中的某些病毒行为进行核对，详见的报法Behavior Similar Trojan xxxx
8（1）、如果没有则会进行整体的最后核对以及评估，包括云安全机理都会在这里进行分析。
这也就是为什么卡巴的立体防御比较难过得原因（注意，有些关键步骤已经省略！）

ccc-a

想某楼所言似乎“某巴的HIPS既无规则又无病毒库比对就能如何如何，是否太天方夜谭了”？
那么HIPS是如何运行的呢？靠的是啥机制啊？光是“不升级就能如何白名单”或者“不升级的规则”？

jrsmith

雖然是使用者，感覺FS強大在於F-Secure Aquarius這個東東啦！

hj5abc

回复 35楼 fzq198776 的帖子

其实你已经混淆了
卡巴的程序控制，HIPS是基于什么，DG，SONAR这类主防又是基于什么。
卡巴的主防小部分是分析，而更多是权限和行为的控制 和其二有本质区别
就像sandbox和sandbox analyzer 你已经混在一起了