琼台听雨 2008-3-3 23:13
HIPS或杀软结合还原系统是未来的发展方向??
E盾4.0测试版发布,在改进中第一条就是写明加入了沙盒系统,这是否意
味着这是今后杀毒软件的一个方向??我治不了你我还不能还原么?在以前相当长的一段
时间,网吧安装还原精灵或者还原卡保证机器的正常运行,此外没有什么特殊的防护,后
来出现了某些穿透还原的病毒,但也只是小范围的,技术低一点的,利用BUG删除还原精灵
,技术高一点的直接利用驱动穿透,在那时驱动技术还不成熟的情况下,这种情况并没有
完全传播,如同熊猫烧香一样,机器狗应运而生,这只小狗肆虐了各个个人用户的电脑,
各个网吧的电脑,用户们发现,原来可以抵挡熊猫烧香,可以还原木马的什么还原卡,冰
点还原,影子系统等等已经不可靠了,单纯依靠还原系统已经无法挡住来势汹汹的机器狗
,用户面对机器狗下载的大量木马往往以只能跟以前一样重装系统,完全是个无奈的选择
。其实很多高手指出,只要挡住机器狗的关键驱动释放就能挡住机器狗完全进驻系统,所
以有些用户想到了还原系统+杀毒软件或者HIPS,但是在这种防御下,想单纯用还原系统来
减轻系统资源的占用就没有多大的意义,用户在还原系统下还是担心是否安全,Returnil
的新版本为了对抗类似机器狗的技术,加入HIPS的某些功能,看似非常强大,但是否会经
受住考验还是一个未知。杀软或HIPS结合还原系统是否是一个方向依然值得讨论,首先,
从侧重上来说,还原系统已经可以过滤大部分病毒,那么是否应该侧重于杀软对内核驱动
的检测及其对木马的警示(对于还原系统,木马一样可以泄露用户信息)还是应侧重于还
原系统,杀软只是一个辅助的工具,减小其系统占用。对于HIPS上述的不完全实用,也许
对于有经验的用户,还原功能只是一个鸡肋。其次,从易用性上考虑,用户是否会习惯在
杀软的保护下还要进行较为繁琐的数据转储也是一个问题,单单只是一个信任目录或者自
行转储就是一个漏洞,所以加入杀软也许还是真有必要。暂时想到这么多,欢迎砖拍。
虫二 2008-3-12 16:34
还用说么?
杀软一拉流的都加入了主动防御,Vista也加入了UAC(虽然比较LJ)。
整体防御才是王道。
tiancai2nd 2008-3-13 17:29
特征码+HIPS,发展趋势
swans 2008-3-22 17:25
[quote]原帖由 [i]yiluo[/i] 于 2008-3-22 15:26 发表 [url=http://bbs.janmeng.com/redirect.php?goto=findpost&pid=11940439&ptid=719135][img]http://bbs.janmeng.com/images/common/back.gif[/img][/url]
安全,linux才是王道: JM12 [/quote]安全是安全,但易用性太差
了,不易上手,关键是普及率低,要是能达到Windows的普及率,也无安全可言
