楼主: 4534543
收起左侧

[讨论] 提个问题,对于主防,怎样才算是拦截成功?

  [复制链接]
baerzake
发表于 2011-5-27 03:23:58 来自手机 | 显示全部楼层
本帖最后由 焉逢 于 2011-5-29 23:06 编辑

微点的能力不要看卡饭的测试,因为卡饭的样本有很多重复并且无实质恶意行为的微点不会报,比如卡饭的测试包经常会有很多的下载者病毒,母体并无实质危害,微点当然不会报,实际上微点对于绝大多数未知病毒的拦截能力很强,当然因为是多步分析,对一些单步病毒不给力也是事实,而数字看似有云弹框很少,但只要弹框我保证普通用户会傻眼,剩下的只是猜大小而已,我是客观的说无任何偏见,我认为微点目前需要的是加强一些重要动作的单步拦截,因为有些单步很明摆是病毒行为,而数字则需要加强多步分析能力,否则单步拦截再强说老实话对普通用户没多大意义,实用性甚至不如纯hips,人家好歹能搞个静默的规则出来

对于微点,比如有程序修改tcpip.sys,你就可以直接报病毒啊,虽然有些程序也会改但很少,加白就可以了啊,或者加强云联网验证,至于数字既然聚集了国内众多牛人,开发多步应该可以尝试,虽然不容易,在智能主防领域现在微点确实可以算翘楚,微点算是在智能主防领域给中国挣了光,

手机党原谅我的三连发吧,有人说单步加多步最好,我同意,但不是简单相加,我个人认为比较完美的状态是单步在前弹框拦截,这个时候怎么走取决于用户,如果用户选择对了也没什么可说的了恭喜他吧,而万一选择错了,那么多步就可以发挥作用了,前面的单步被用户允许后,当程序的可疑动作加权到一定比例后多步可以直接报病毒,这样单步和多步的优点可以相加而缺点可以互补,也许有人说你前面单步允许后可能病毒目的已经达到了,这一点确实存在,所以对于一些特定单步应直接阻止,如果还会有漏网之鱼,那我要说永远没有绝对得安全,但至少二者加和要远远强于单纯的单步或多步

评分

参与人数 1人气 +1 收起 理由
wusuwusu + 1 版区有你更精彩: )

查看全部评分

wazhqi
发表于 2011-5-27 07:13:27 | 显示全部楼层
baerzake 发表于 2011-5-27 04:40
手机党原谅我的三连发吧,有人说单步加多步最好,我同意,但不是简单相加,我个人认为比较完美的状态是单步 ...

这个不错。顶一下
ezpod32432
发表于 2011-5-27 09:55:20 | 显示全部楼层
本帖最后由 ezpod32432 于 2011-5-27 09:55 编辑

火鸟版主说的很好。。。
能结合最好。。。
jefffire
头像被屏蔽
发表于 2011-5-27 09:58:24 | 显示全部楼层
本帖最后由 jefffire 于 2011-5-27 09:58 编辑
baerzake 发表于 2011-5-27 04:40
手机党原谅我的三连发吧,有人说单步加多步最好,我同意,但不是简单相加,我个人认为比较完美的状态是单步 ...


卡巴目前就是这样,不过卡巴自动模式下单步HIPS基本不生效,而PDM智能模块又比不上微点。
baerzake
发表于 2011-5-27 10:11:32 | 显示全部楼层
jefffire 发表于 2011-5-27 09:58
卡巴目前就是这样,不过卡巴自动模式下单步HIPS基本不生效,而PDM智能模块又比不上微点。

恩,在多步方面能比得上微点的不多,基本可以说没有,不过gdata的主防看测试不错,但能不能比得上微点也很悬。
jefffire
头像被屏蔽
发表于 2011-5-27 10:13:47 | 显示全部楼层
baerzake 发表于 2011-5-27 10:11
恩,在多步方面能比得上微点的不多,基本可以说没有,不过gdata的主防看测试不错,但能不能比得上微点也很 ...

有双引擎,主防差点也无所谓了。最近GD主防又要大更新,这样下去超微点只是时间问题。
baerzake
发表于 2011-5-27 10:15:17 | 显示全部楼层
jefffire 发表于 2011-5-27 10:13
有双引擎,主防差点也无所谓了。最近GD主防又要大更新,这样下去超微点只是时间问题。

哈哈那很厉害了,希望微点也要加油
4534543
 楼主| 发表于 2011-5-27 10:22:42 | 显示全部楼层
baerzake 发表于 2011-5-27 04:40
手机党原谅我的三连发吧,有人说单步加多步最好,我同意,但不是简单相加,我个人认为比较完美的状态是单步 ...

我觉得,如果是您说的那种单步加多步的拦截模式的话,单步拦截后无论用户允许与否均记录作为多步分析的依据,这样就完美了
baerzake
发表于 2011-5-27 10:24:09 | 显示全部楼层
4534543 发表于 2011-5-27 10:22
我觉得,如果是您说的那种单步加多步的拦截模式的话,单步拦截后无论用户允许与否均记录作为多步分析的依 ...

这个当然可以实现呵呵,关键是看有没有厂商去做了。
4534543
 楼主| 发表于 2011-5-27 10:29:25 | 显示全部楼层
baerzake 发表于 2011-5-27 10:24
这个当然可以实现呵呵,关键是看有没有厂商去做了。

不容易啊,微点的话拥有足够的多步分析的经验和技术积累,但是它没有巨大的用户群,导致单步分析需要的白名单不够大,数字黑白名单足够强大,但是一个智能的多步分析主防不是一天两天能够做出来的。

如果微点和数字能够强强联手,那中国的安软就应该在世界上有一席之地了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 21:12 , Processed in 0.107055 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表