【文本版|topic】 标题 全文 高级搜索    名人堂 帮助 论坛制度 意见反馈 | 首页 博客 周新贴 专题 求职 读书

	社区导航: 专家门诊   门诊点播 申请专家 意见建议 嘉宾访谈 网络技术   网络管理  >>VPN管理  >>网络流量管理  >>网络设备管理  >>网络解决方案 网管软件 网络工程  >>综合布线  >>系统集成 思科技术 华为技术 网络安全  >>病毒木马  >>流氓软件  >>ISA 存储备份 服务器硬件 操作系统   Windows Linux & Advanced Application Unix & BSD & Solaris 数据库   微软SQL Server专区  >>SQL Server 2008  >>SQL Server数据库管理  >>SQL Server数据库开发  >>微软商务智能 Oracle 10g / 9i MySQL & PostgreSQL & Sybase DB2 程序设计   C/C++ .Net Java Php Web PowerBuilder 系统应用   Web及应用服务器 Mail服务器  >>Exchange 其他常用服务器软件 考试认证   软考论坛  >>网络管理员  >>网络工程师 主流IT厂商认证 ITAA实验室 CIO及信息化   管理软件 信息化咨询 站长交流   建站经验交流 网站运营推广 网页设计美化 IDC技术交流 综合交流   PC应用  >>软件应用  >>硬件应用 英语天地 新闻评论 职场人生 生活日记 体坛奥运 开心灌水 士兵突击 吃喝玩乐 下载基地  技术文档 工具软件 课件试题 方案案例 源代码 影视天地 原创视频 技术白皮书  >>存储管理  >>Cisco  >>Linux  >>Solaris  >>Oracle  >>更多... 51CTO产品服务 活动专区 产品与服务  >>IT技术自测  >>技术黄皮书  >>微软MVP专区  >>商务竞拍  >>特色功能介绍  >>论坛小技巧 站务交流  >>论坛公告  >>斑竹申请  >>意见建议  >>市场合作 斑竹茶馆 【设为首页 | 收藏本站】

51CTO技术论坛» PC 应用 » 软件应用 » 解答：《实战揭露瑞星主动防御本质》       [ 打印]  [ 订阅]  [ 收藏]  [ 推荐给朋友]   [ 本帖文本页]

论坛跳转: →IT综合区←  > 技能交换  > 项目外包  > 产品采购  > 求职招聘 →专家门诊←  > 专家门诊      > 嘉宾访谈  > 原创网络技术视频      > 视频讨论专区  > 微软SQL Server专区 → 网络技术←  > 网络管理      > VPN管理      > 网络流量管理      > 网络设备管理      > 网络解决方案  > 网管软件  > 网络工程      > 综合布线      > 系统集成  > 思科技术  > 华为技术  > 锐捷技术  > 网络安全      > 赛门铁克      > 病毒木马      > 流氓软件      > ISA  > 存储备份  > 服务器硬件 →操作系统←  > Windows  > Linux & Advanced Application  > Solaris & BSD & Unix → 数据库←  > 微软SQL Server专区      > SQL Server 2008      > SQL Server数据库管理      > SQL Server应用开发      > 微软商务智能  > Oracle 10g / 9i  > MySQL & PostgreSQL & Sybase  > DB2 →程序设计←  > C/C++  > .Net  > Java  > Php  > Web开发  > PowerBuilder →系统应用←  > Web及应用服务器  > Mail服务器      > Exchange  > 其他常用服务器软件 →考试认证←  > 软考论坛      > 网络管理员      > 网络工程师  > 北大青鸟  > 主流IT厂商认证 →CIO与信息化←  > 管理软件  > 信息化咨询 →站长交流←  > 建站经验交流  > 网站运营推广  > 网页设计美化  > IDC技术交流 →娱乐休闲←  > PC 应用      > 软件应用      > 硬件维护  > 英语天地  > 新闻评论  > 职场人生  > 体坛奥运  > 升级版生活日记  > 贴图灌水beta版  > 51cto版士兵突击  > 吃喝玩乐FB生活 →下载基地←  > 技术文档  > 工具软件  > 课件试题  > 方案案例  > 源代码  > 影视天地  > 技术白皮书      > Cisco      > Windows      > Linux      > Unix      > Solaris      > BSD      > Oracle      > My SQL      > MS SQL      > MPLS      > Sybex      > Programe      > WEB      > 存储硬件      > 存储管理      > 存储概念 →51CTO产品与服务←  > 活动专区  > 产品与服务      > IT技术自测      > 技术黄皮书      > Most Valuable Professional      > 商务竞拍      > 特色功能介绍      > 论坛小技巧  > 站务交流      > 论坛公告      > 斑竹申请      > 意见建议      > 市场合作 →信息发布←  > 信息发布

标题: [转载] 解答：《实战揭露瑞星主动防御本质》  ( 查看:243  回复:3 )    全文标题 本版搜索全坛搜索
技术员 技术员  帖子 113 精华 0 无忧币 260 积分 229 阅读权限 30 注册日期 2007-7-19 最后登录 2008-5-21 离线 [查看资料]  [发短消息]  [Blog]	发表于:2008-1-24 15:00　 　标题：解答：《实战揭露瑞星主动防御本质》 ＜上一帖 | 下一帖＞ 作者：瑞星防病毒工程师 史瑀 今天看到各大论坛都在转一篇名为《实战揭露瑞星主动防御本质》的文章，称瑞星主动防御是完全依靠特征码，理由是修改了灰鸽子的关键字特征后瑞星主动防御就不能拦截了。 这篇文章表述的现象是正确的，但是由此推论的结果是不正确的。 用瑞星的朋友可以看一下瑞星恶意行为监测的设置项，有一个选项叫做“进程退出时进行家族病毒DNA扫描”。 这个“DNA扫描”确实是基于特征码，之所以会这么做主要是解决两个问题：第一，对恶意行为检测拦截的病毒给出更精确的信息；第二，对于疑似度不高的病毒进行辅助判断，防止误判。 恶意行为检测是基于行为分析的，是一种模糊判断，所以不可避免的会出现误判。某个主动防御软件的做法是引入白名单进制，发现有误判的就加白名单，致使软件要像升级病毒库一样升级白名单库。 我们认为这种做法意义不大，所以我们的做法是当发现疑似度不高的文件会用家族特征判断，如果发现符合家族特征，直接报家族病毒名，如果没有找到符合的为了防止误判，就不报病毒。而疑似度高的文件，如果家族特征查不到，则会报成Malicious Code（恶意代码）。凡是报出病毒名一定是由DNA家族特征报的。 画个图再解释下： 某些灰鸽子的行为动作并不多，不能因为它有这些动作就进行报警。举个例子：有个声卡程序有如下动作：1、释放文件到Windows目录下；2、安装驱动程序；3、在注册表Runonce项建立和释放文件的关联（为的是下次启动Windows时能继续声卡安装操作）。确实，很多木马经常有类似的动作，但是不能说有这些动作的都是木马。由于当时某款主动防御软件的白名单库里恰好没有这个声卡程序的特征，所以直接将其当作木马进行了处理。 不少朋友在测试主动防御拦截病毒能力的同时忘了一点，就是误判率。如果一款反病毒软件能够阻止任何程序运行，那它病毒的拦截率肯定是100%，但是这真是我们想要的么？如果一款软件的白名单库做的比病毒库还大，真的有意义么？ 原帖地址：http://hi.baidu.com/bjshiyu/blog/item/903529f406635cddf2d38590%2Ehtml/index/1#comment 论坛活动：测测你对IT技术大会的了解指数(赠微软礼品、无忧币)
2008-1-24 15:00 1楼	[ 顶部 ]
suoweichenai 新新人类            帖子 8 精华 0 无忧币 22 积分 12 阅读权限 20 注册日期 2008-1-24 最后登录 2008-2-4 离线 [查看资料]  [发短消息]  [Blog]	发表于:2008-1-24 15:47　 不喜欢瑞星 史瑀的话没大有科技含量 终于承认瑞星主动防御是基于“DNA扫描”也就是特征码扫描了 [ 本帖最后由 suoweichenai 于 2008-1-24 15:50 编辑 ] 论坛活动：测测你对IT技术大会的了解指数(赠微软礼品、无忧币)
2008-1-24 15:47 2楼	[ 顶部 ]
海浪之声 新新人类  帖子 12 精华 0 无忧币 16 积分 7 阅读权限 20 注册日期 2007-7-28 最后登录 2008-10-6 离线 [查看资料]  [发短消息]  [Blog]	发表于:2008-1-24 18:00　 不会啊，我觉得瑞星2008真的进步不少啊，主动防御还不错！ 论坛活动：测测你对IT技术大会的了解指数(赠微软礼品、无忧币)
2008-1-24 18:00 3楼	[ 顶部 ]
suoweichenai 新新人类            帖子 8 精华 0 无忧币 22 积分 12 阅读权限 20 注册日期 2008-1-24 最后登录 2008-2-4 离线 [查看资料]  [发短消息]  [Blog]	发表于:2008-2-4 09:01　 回楼上的 你用一下微点你就知道什么叫主动防御了 论坛活动：测测你对IT技术大会的了解指数(赠微软礼品、无忧币)
2008-2-4 09:01 4楼	[ 顶部 ]

论坛跳转: →IT综合区←  > 技能交换  > 项目外包  > 产品采购  > 求职招聘 →专家门诊←  > 专家门诊      > 嘉宾访谈  > 原创网络技术视频      > 视频讨论专区  > 微软SQL Server专区 → 网络技术←  > 网络管理      > VPN管理      > 网络流量管理      > 网络设备管理      > 网络解决方案  > 网管软件  > 网络工程      > 综合布线      > 系统集成  > 思科技术  > 华为技术  > 锐捷技术  > 网络安全      > 赛门铁克      > 病毒木马      > 流氓软件      > ISA  > 存储备份  > 服务器硬件 →操作系统←  > Windows  > Linux & Advanced Application  > Solaris & BSD & Unix → 数据库←  > 微软SQL Server专区      > SQL Server 2008      > SQL Server数据库管理      > SQL Server应用开发      > 微软商务智能  > Oracle 10g / 9i  > MySQL & PostgreSQL & Sybase  > DB2 →程序设计←  > C/C++  > .Net  > Java  > Php  > Web开发  > PowerBuilder →系统应用←  > Web及应用服务器  > Mail服务器      > Exchange  > 其他常用服务器软件 →考试认证←  > 软考论坛      > 网络管理员      > 网络工程师  > 北大青鸟  > 主流IT厂商认证 →CIO与信息化←  > 管理软件  > 信息化咨询 →站长交流←  > 建站经验交流  > 网站运营推广  > 网页设计美化  > IDC技术交流 →娱乐休闲←  > PC 应用      > 软件应用      > 硬件维护  > 英语天地  > 新闻评论  > 职场人生  > 体坛奥运  > 升级版生活日记  > 贴图灌水beta版  > 51cto版士兵突击  > 吃喝玩乐FB生活 →下载基地←  > 技术文档  > 工具软件  > 课件试题  > 方案案例  > 源代码  > 影视天地  > 技术白皮书      > Cisco      > Windows      > Linux      > Unix      > Solaris      > BSD      > Oracle      > My SQL      > MS SQL      > MPLS      > Sybex      > Programe      > WEB      > 存储硬件      > 存储管理      > 存储概念 →51CTO产品与服务←  > 活动专区  > 产品与服务      > IT技术自测      > 技术黄皮书      > Most Valuable Professional      > 商务竞拍      > 特色功能介绍      > 论坛小技巧  > 站务交流      > 论坛公告      > 斑竹申请      > 意见建议      > 市场合作 →信息发布←  > 信息发布

| | |

---

| | |

---

| | |

---

标记已读 · 删除论坛Cookies · 文本版 · WAP

 

| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图

Copyright©2005-2008 51CTO.COM  Powered by Discuz!

本论坛言论纯属发布者个人意见，不代表51CTO网站立场！如有疑义，请与管理员联系。

京ICP备05051492号