主动防御
主动防御
关注数: 0
粉丝数: 10
发帖数: 54
关注贴吧数: 24
点饭论坛期待你的加入! www.mpfan.com
刘翔在奥运会会参加4*100m接力赛么? 在刘翔没有出现前,在奥运会田径赛场,100m和4*100m是个人与集体赛的重头戏,现在加上110m栏,成了三足鼎立。刘翔会不会参加4*100m这个集体项目中王者赛呢?
技术强人nasdaq深度研究微点主动防御(系列三) 系列三:为什么总要带有色眼镜歧视微点?为什么就不能一碗水端平?特征码扫描的时候,没有一个人去质询具体的特征拾取方案,没有一个人说某某杀软要是不公布特征码偏移量,不公布特征码方案,我就不承认你是特征码扫描~!大家只是在夸某某杀软病毒库巨大,升级速度快。扫描引擎脱壳的时候,没有一个人会去质询具体的脱壳方案,没有一个人说某某杀软要是不公布他的脱壳算法,不公布他的虚拟机设计方案,我就不承认你是脱壳引擎~!大家只是在夸某某杀软的扫描引擎强大,拖壳能力强。启发式扫描的时候,没有一个人会去质询具体的启发式设计方案,没有一个人说某某杀软要是不公布他的启发式算法,不公布他的虚拟机设计方案,我就不承认你是启发式引擎~!大家只是在夸某某杀软的启发式引擎功能强大。而事情换成了微点呢,有人会去质询具体的行为分析设计方案,有人会说微点你要是不公布你的监控点,不公布你的行为分析设计方案,我就不承认你是行为分析,我就认为你是胡乱报警,我就认为你是用已知特征作弊,我就认为你用黑白名单……启发式报警“suspicious Trojan/Worm”,就叫有名字?就叫准确报警?就叫光明正大的报?就叫真材实料?那微点报警“Spyware.genus”(未知间谍)、“Trojan.genus”(未知木马),和启发式的报警结果有什么不同?难道说,报洋文就叫准确报出病毒名称,报中文就是骗子?反正我是完全理解不了上面的现象,为什么事情到了微点这里就会完全变味儿,为什么微点就要被歧视?为什么微点就要被特殊化?为什么就不能一碗水端平?可能是我太偏激了吧,可能是大家都非常关注微点这个新一代的安全产品,可能是微点在样本区的表现让很多人和厂商红了眼。有人片面引用霏凡PETER的话,来为自己做例证。我想问问,为什么不去引用霏凡syst分析归纳的微点逻辑架构图呢?为什么不去引用在突破主动防御上很有研究的flo和xyzreg的话呢?不要拿霏凡来忽悠人,不才在下也可以登录霏凡查阅原帖;不要再给霏凡两个字抹黑了,出自霏凡的那篇所谓世界上只有五大杀毒引擎的文章,误导了多少人?!其实原作者早已在霏凡公开致歉的。随便说两个例子,除了那所谓的五大,至少NOD32和瑞星是自己开发的扫描引擎。系列一:http://post.baidu.com/f?kz=247391483系列二:http://post.baidu.com/f?kz=247393909
技术强人nasdaq深度研究微点主动防御(系列一) 引子lyser《我对微点不欣赏的理由》:刚才有些冲突,说些我的建议。我用过小段时间的微点,更多的部分是在各个样本区看到的微点的得意。对微点有点建议,如果微点像宣传的那样“主动防御”,那就不要说“未知”。点出来就是 “未知”,不能说是根据什么判断的吗?有何行为?微点的“已知库”一天天的巨大起来是不争的事实~甚至有赶上传统的杀软。“未知”+“已知库”+“黑白名单”……给我这个小人之心 的好事之徒 一个感觉,微点在“混” 浑水摸鱼!依靠庞大的病毒库 报出“未知”=主动防御~,而非行为判断!换个说法 就是微点自身的“宣兵夺主”~。以上为个人看法。看了lsyer《我对微点不欣赏的理由》一文很有些感触,对一个产品有人喜欢有人不喜欢是很正常的,但我觉得该文比较有代表性,表现出了一些网友对微点的常见误解。深度是一个技术讨论社区,我们应该以公正的技术理念来讨论问题,共同分析事件真相,把问题彻底搞明白。我用微点一年多了,结合我的经历谈一些我对微点的研究心得。就像题目那样,希望深度论坛的网友共同来参与对微点的深度研究,交流感受,提供选题。本文权当抛砖引玉,我自己简单预备了几个选题1.已知病毒和未知病毒有什么不同?2.质疑微点行为判断的逻辑完全讲不通,除非微点的病毒收集能力高出卡巴上百倍。3.为什么总要带有色眼镜歧视微点?为什么就不能一碗水端平?4.什么是主动?什么是被动?5.黑箱行为规则特征更重要的是保证用户安全,而不单是为了防止竞争。6.微点只能防毒,不能杀毒?(准备中...)7.微点和HIPS的区别(准备中...) ……系列一:已知病毒和未知病毒究竟有什么不同?以微点的这篇病毒快报为例:http://bbs.micropoint.com.cn/showthread.asp?tid=14430已知病毒命名:Trojan.Win32.VB.bjs未知病毒命名:Trojan.genus(未知木马)我想问问大家,如果不看上面那份病毒快告的具体内容,单从名字上判断,谁能去分出已知木马和未知木马有什么不同?相同点在于:已知和未知都明确说明了是木马程序不同点在于:已知命名详细说明了这个木马是VB编写的Win32程序,序号是bjsVB编写的Win32程序,序号是bjs,这两点真的很有用么?显然不是,因为我们更关心的是这个程序是不是木马!所以,其实微点报已知和报未知对于用户来讲感受是基本一样的。至于lsyer提到的“见到未知就心烦”,完全属于其个人的心理作用。因为已知命名并没有比未知命名更多出什么有用的信息,难道说微点报警“未知木马.007”,加上个序号看着就爽了么?当然,我也很理解lsyer对于“未知”这个提法的反感,因为“未知”一词,在心理上确会给人一种比较茫然的感觉。但是要注意,对于“未知”提法的修改应属于建议性质,而不是反对性质。欢迎大家一起来讨论出一个更好的提法,譬如说叫“新病毒”、“新木马”好不好?
有了这套组合,你的电脑就百毒不侵啦。 单一的安全软件能让你完全放心它的安全保障率吗?单一的安全软件能解决你遇到的所有病毒吗?答案是否定的吧。可你是不是还毅然决然滴坚强滴苦苦滴在寻求着到底那些安全软件能提高你电脑的安全保障系数呢?好吧,你可以歇着了,我来告诉你解决方案。宽带网通了,上网方便了,下载快了,麻烦也多了。现在病毒很少,但是木马和流氓软件实在太烦人了,常上网,迟早是要中毒滴~!在俺和木马流氓长期不懈不卑不亢种瓜得瓜种豆得豆的斗争中,总结出一套无敌的防护方案,哇咔咔,给人装机之后再也不用担心打爆我的手机了。很多朋友提到的安全意识最重要是不对的。全无敌的安全软件是不存在的,但如果我们可以发挥各个软件的优点,完全可以把他们搭配成一套无敌的安全系统。一、杀流氓是第一位的流氓和病毒还不大一样,病毒程序非常隐蔽,编写水平非常高,一般很难被发现,也基本不会影响电脑使用。流氓就太缺德了,自身编写的水平差,中了流氓的系统经常会出问题,大摇大摆的在系统中运行但就是不让删除。。。所以呢,磨刀不误砍柴工,安全防护的第一招就是杀流氓!无论是清除能力还是清除数量,360做的都是最好的。只有把流氓软件杀干净了,接下来的操作才会顺畅,要不什么问题都可能会出现。。。操作:每周扫描一次下载:http://www.360safe.com
恶意程序 Malware.Win32.Agent.g 病毒名称Malware.Win32.Agent.g捕获时间2007年8月3日病毒症状 该恶意程序运行后遍历所有盘符释放autorun.inf和svchost.exe文件到每个分区的根目录下,试图通过Windows自动播放功能传播,即使使用右键菜单“打开”“资源管理器”等命令也会触发该恶意程序运行; 该恶意程序会严重干扰用户操作: 修改windows主题设置,使得当前窗口和鼠标菜单中所属内容全部变为黑色,因用户在全黑色窗口中完全无法正常操作,从而间接使得部分安全工具失效; 恶意掉换鼠标左右健的功能; 将自身程序复制三份到Program Files目录下,命名为regedit.exe、cmd.exe、winlogon.exe,利用微软系统在环境变量复用的bug使得在运行cmd.exe、regedit.exe的时候会优先运行该恶意程序,因winlogon.exe直接由系统内核system加载,使得病毒的阴谋未能得逞; 该恶意程序通过net user命令,强行将Windows管理员Administrator的用户密码改为七位大写英文字母(不包括引号):“FREEDOM”,如果重启后发现无法登陆系统的用户,请尝试使用该密码进行登陆。感染对象Windows NT/Windows 2000/ Windows XP/ Windows 2003传播途径可移动存储安全提示 已安装微点主动防御软件的用户,无论您是否已经升级到最新版本,微点主动防御都能够有效防御该盗号木马程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理;如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现“Malware.Win32.Agent.g”,请直接选择删除。 使用其它杀毒软件的用户,请尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。 如果您的计算机重启后输入原有密码无法正常登陆Windows,请您尝试使用七位大写英文字母(不包括引号):“FREEDOM”,作为密码进行登录,并建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。点评 当前,恶意程序越来越多的采用社会工程学,本例中提到的恶意程序使用了一种较为新颖的恶意手法强行干扰用户操作,使得部分安全软件即使弹出报警提示,也会因窗口全黑而无法继续执行杀毒操作。一般用户多认为是系统出现了错误,大多会选择重启计算机,但这恰恰中了恶意程序的圈套,重启后管理员口令被修改,系统无法登录。 此外,该恶意程序还利用了微软环境变量的缺陷,使得部分用户试图使用cmd命令手工清理病毒时反而激活了该恶意程序。对此大家可以使用绝对路径来运行真正的cmd.exe文件,方法如下:开始,运行,%systemroot%\system32\cmd.exe,确定即可。
评测】流氓会Rootkit,谁能挡得住? 转自:http://bbs.deepin.org/read.php?tid=242899作者:比萨斜饼技术探讨,追求客观公正,对事不对人Rootkit,我个人的理解应该是两个单词的缩写,root相当于计算机管理员,kit应该是工具包的意思。Rootkit就是一种常被黑客用于控制系统,隐藏文件,保护自己的木马后门无法被清除的内核级恶意程序。无意间看到360说CNNIC使用了Rootkit技术进行自我保护,下面就以CNNIC为靶子,把几款常见的插件清理工具进行一轮大测试,车轮大战CNNIC~!看看究竟谁有能力击破CNNIC的rootkit保护~!节目预告:第2楼 360第3楼 瑞星卡卡第4楼 微点主动防御第5楼 微点延迟删除的秘密第6楼 超级兔子第7楼 恶意软件清理助手 总结:瑞星卡卡、超级兔子、恶意软件清理助手这三款软件需要不断加强,尤其是瑞星卡卡,虎门犬子,真给瑞星丢脸。。。微点作为一款综合性安全工具,属于一种多面手的角色,在处理Rootkit等难缠问题比较好用和省力,但是,由于不是专门为插件卸载软件,用微点干掉Rootkit后,还需要手工删除掉安装目录。微点的潜力比较好,利用右键菜单几乎可以清理掉所有难缠的插件。综合来说360表现极为抢眼,如果能进一步增强自我保护,可以在已安装插件的环境中下载,并把专杀的功能融入就太完美了~!
流氓会Rootkit,谁能挡得住? 转自:[url]http://bbs.deepin.org/read.php?tid=242899[/url]作者:比萨斜饼[color=Red][size=4]技术探讨,追求客观公正,对事不对人[/size][/color]Rootkit,我个人的理解应该是两个单词的缩写,root相当于计算机管理员,kit应该是工具包的意思。Rootkit就是一种常被黑客用于控制系统,隐藏文件,保护自己的木马后门无法被清除的内核级恶意程序。无意间看到360说CNNIC使用了Rootkit技术进行自我保护,下面就以CNNIC为靶子,把几款常见的插件清理工具进行一轮大测试,车轮大战CNNIC~!看看究竟谁有能力击破CNNIC的rootkit保护~![img]http://www.mysea.net/download/js/get163.asp?url=http://img.photo.163.com/bZpfkUSjFc7jeHVWH5FgHA==/9288674232592750.gif[/img]节目预告:第楼 360第楼 瑞星卡卡第楼 微点主动防御第楼 微点延迟删除的秘密第楼 超级兔子第楼 恶意软件清理助手 总结:瑞星卡卡、超级兔子、恶意软件清理助手这三款软件需要不断加强,尤其是瑞星卡卡,虎门犬子,真给瑞星丢脸。。。微点作为一款综合性安全工具,属于一种多面手的角色,在处理Rootkit等难缠问题比较好用和省力,但是,由于不是专门为插件卸载软件,用微点干掉Rootkit后,还需要手工删除掉安装目录。微点的潜力比较好,利用右键菜单几乎可以清理掉所有难缠的插件。综合来说360表现极为抢眼,如果能进一步增强自我保护,可以在已安装插件的环境中下载,并把专杀的功能融入就太完美了~!
李永波还需要努力呀 看了今天的菲律宾公开赛,感觉中国羽毛球的板凳厚度还是不够,李永波在这方面真的该学习学习乒乓球.
1
下一页