关于熊猫云

BILLz

问一下，行为阻断指什么?

hao124637689

看看这个http://antivirus.about.com/b/2006/09/06/what-is-behavior-blocking.htm，
翻译了一段：
    在其最简单的形式，行为阻监视文件活动，防止某些修改操作系统或相关文件。例如，行为阻断器可监测系统注册表，并警告用户，如果一个正在执行的相应的文件正在试图修改它。当然，对一些程序来说，这样做合法，像安装程序。但是其他文件可能有恶意的意图。行为阻断器的一个关键的好处是会提问这是否是预期的行动，用户是否要允许它。

limpidsky01

简单来说就相当于中国的微点主动防御，智能型hips。

1246920195

不知道，呵呵

荷塘月

偶来学习的。

阴雨艳阳天

不懂，了解了

月黑高

二楼正解

醉酒

虾米东东

jason_jiang

2L那个链接是06年的东西，跟熊猫云一点关系都没有
官方原话如下

3.3.3 TruPrevent行为阻断
这项技术的代号为KRE（Kernel Rules Engine，内核规则引擎），是TruPrevent的另一个主要组件，也称为应用程序控制与系统加固。
黑客和恶意软件会向正常程序注入代码，利用其权限攻击系统。为了抵御这种类型的攻击，一个很简便的方法就是使用基于规则的阻断技术，限制正常程序能在系统中实施的行为。
KRE由一系列策略组成，这些策略包括了一系列允许或阻止特定应用程序行为的规则。这些规则可用来控制应用程序对文件、用户帐户、注册表、COM对象、Windows服务和网络资源的访问。
KRE不仅为管理员提供了自定义规则的余地（译注：仅限部分企业产品），而且预置了一系列由熊猫实验室管理并更新的默认策略。这些策略可保护Windows系统免受针对常见弱点的攻击，而不管系统是否安装了必要的安全补丁。TruPrevent等行为阻断技术可主动防止Office、Adobe Reader、Windows Media Player等应用程序置入或运行任何可执行代码，为这些常用软件的已知和未知漏洞提供真正的零时差防护。

一个最简单的行为阻断例子：
正常情况下C盘根目录不存在explorer.exe这个文件。如果它存在，windows会在开机时试图运行它，而不是运行windows目录下的explorer.exe。如果一个恶意程序把自己放到c:\explorer.exe，它就有机会在开机时运行。所以KRE有一条规则阻止任何程序创建c:\explorer.exe。你打开C盘根目录，随便建一个空文件，把它改名成explorer.exe，系统会报错“需要administrator权限才能进行此操作”，同时熊猫云提示“拦截了1个危险操作”。

对熊猫云的其他科普请看我旧帖
http://bbs.kafan.cn/thread-981860-1-1.html
http://bbs.kafan.cn/thread-715555-1-1.html
http://bbs.kafan.cn/thread-706567-1-1.html