驳《主防科普篇（主防不等于HIPS）》

sfzjn

kmelon 发表于 2011-5-27 22:38
我认为出现这种混乱的局面，是在于很多人将主防、主动防御、hips混为一谈……

我一直觉得他们是一回事。。。。主防是主动防御的简称，HIPS是基于主机的入侵防御系统，也就是主动防御吧。。。

540923555

kmelon 发表于 2011-5-27 22:38
我认为出现这种混乱的局面，是在于很多人将主防、主动防御、hips混为一谈……

同意，特别是主防这个词，到底是指主动防御，还是指HIPS

镜湖

要纠正楼主一点：启发也不是主动防御。

因为启发也是建立在特征码的基础上的。

另外，像毛豆和360hips那种技术，本质上市“API”报警器，并不是基于程序行为的防御技术，所以不能称之为“主动防御”。
如果不好理解，我就打个比方：一家博物馆安装了红外线报警器，那是个踩点的装置，只要有人踩中了报警点，报警器就会响，但是，人事从外到内触发了报警还是从内到外的过程中触发了警报，这就不是报警器能够判断的了。
hips也是如此。它只是挂钩了特定的api而已，谁调用就报警，至于程序本身到底要干什么，hips是不知道的。所以说它不是基于程序行为的防御技术，不是主动防御。还有nod将行为防御和hips分成两个模块，也是对本节论点的一个佐证。

主防的界定还是看看刘旭那篇“云安全不是救世主，治病需主动防御”，

540923555

镜湖 发表于 2011-5-29 19:07
要纠正楼主一点：启发也不是主动防御。

因为启发也是建立在特征码的基础上的。

启发和传统的特征码还是有所不同的。如果我没记错的话，启发是对编译以后，送到CPU去执行的代码进行检测，也就等同于是对行为进行检测了。至于你说的第二点，我非常赞同

leegood

主动防御和HIPS或许不存在明显的界限，我中有你你中有我，个人理解

小丑鱼ZZW

我还是坚持认为主防不是HIPS，完全是不同的概念....HIPS应该是对应用程序的控制，是对它的行为加以限制，而主防应该就是判断木马、病毒之类的

longkidd

kmelon 发表于 2011-5-27 22:38
我认为出现这种混乱的局面，是在于很多人将主防、主动防御、hips混为一谈……

就好像很多媒体把骇客当做黑客……结果，一有攻击，白客和灰客也一起挨骂~

zhq445078388

事实上
启发的两种模式
特征码模糊匹配以及查api倒入表的这种静态
以及让虚机动起来 查api请求的伪动态
而第二点 目前做到的就是瑞星和微点
但是 触发型的毒你要怎么去判断？
不是一开始就需要调用的api在倒入表是看不到的
而触发型的 在虚拟机中永远都不会动

所以 启发式还是一种鸡肋
启发式充其量只是个特征码的补充


另外 主防的定义是“根据行为”启发你根据的是行为吗。。根据的是静态特征
智能hips只是标记恶意点 根据加权形式做的 也不是 如果我多点触碰系统文件 哪怕我最后给改回去
智能hips也会判黑
而微点不会

540923555

zhq445078388 发表于 2011-8-6 23:59
事实上
启发的两种模式
特征码模糊匹配以及查api倒入表的这种静态

启发式杀毒也是根据行为的，它是在程序编译以后，根据送到CPU的执行命令判断一个程序的行为的

zhq445078388

540923555 发表于 2011-8-7 10:54
启发式杀毒也是根据行为的，它是在程序编译以后，根据送到CPU的执行命令判断一个程序的行为的

你说的那个方法

目前就微点做到了。。
让程序动起来 查请求的api