esjustin
2006-11-30, 07:49 PM
看完Kaspersky Blog的文章後,發覺其實Kaspersky想的比其他防毒廠商還要多...
除了改變在下對於Kaspersky的看法外,也對於Kaspersky的免疫防禦有更加的瞭解,在下便整理出一些自己的想法,希望各位給點意見...
Kaspersky的免疫防禦呢...事實上它的規則已經足夠於現在的威脅種類了...雖然以後會出現甚麼樣的威脅我們不知道,但是確切的... Kaspersky免疫防禦中的規則,超越我們所想像的...或許各位會認為趨勢的免疫防禦很好...事實上,在下認為只有60%~80%的防禦能力.. Why?趨勢的規則實際上是不夠的,連Panda的HIPS也比它更好,以及Rootkit也告訴我們,趨勢的免疫防禦對它是沒有用的... Kaspersky Blog的文章已經很明顯的提醒我們,Rootkit在於隱形階段是無法偵測出來的,只有當Rootkit的惡意行為出現時,Kaspersky才能防禦...趨勢很不同的是,當Rootkit進入本機時,只要寫這個Rootkit的人更高竿,便能輕易躲過趨勢的免疫防禦...Why?誰說 Rootkit進入本機一定只會修改機碼,隱藏檔案..."開啟特定連接埠",再次引進帶有Rootkit性質的威脅,不但避開趨勢的監控,也暗中植入了木馬,夠高竿吧...光趨勢這樣的免疫防禦是對Rootkit沒有辦法的...當然趨勢對於一般的威脅已經很夠力了....
不過趨勢也有跟Kaspersky一樣的缺點,均需要使用者自行判斷...當我們平常在使用趨勢的免疫防禦時,趨勢一旦警告可疑時,我們該選甚麼?趨勢在近日來的亮眼成績其實是因為我們都知道這些樣本是真的威脅,要是隨便寫個玩笑程式,是不是也要當成惡意行為?Kaspersky不同於趨勢的是...它會告訴你這是怎樣的可疑行為,會告訴你這種可疑威脅的名稱,還有連結讓你自行判斷,比起趨勢更可以增加使用者的判斷能力...這是在下對於趨勢近日免疫防禦成績如此亮眼所提出的見解..並非是惡意中傷趨勢不好,而是趨勢只是剛起步而已..Kaspersky所想的比趨勢多太多了...
同時...免疫防禦的能力取決於規則的多寡...Kaspersky Blog很明白的寫道...只要規則數不夠,免疫防禦便無用武之地,因此威脅特徵碼還是對等的重要,只少到目前為止我們都還不能捨棄威脅特徵碼...因為病毒作者是人...況且全世界有多少Crackers和防毒廠商作對?您能保證不會有1個Cracker想出逃避規則的方法嗎?因此..."免疫防禦的規則仍需要更新",只是更新週期長而已...
相對的,我們更不應該拋棄威脅特徵碼而去尋找這種臨時替代方法,"紮根都紮不穩了,何況是在上面蓋樹屋?"...免疫防禦只是目前能夠對抗99.99%威脅的一種方法而已...未來還有更好的方法去取代這種做法...別忘了,"防毒廠商的專家也是人"...這是一場人與人間的世紀戰爭,只是在其中沒有人會死,死的只是0和1這兩個byte而已...
另外BD的威脅特徵碼更新速度已經與Kaspersky有過之而無不及了,當然BD的啟髮式也是在下最推薦的...NOD32的啟髮式無法取代威脅特徵碼的重要,ESET認為NOD32只需要啟髮式便可以因應世界上7成以上的威脅,但在下確信,2年內NOD32的啟髮式如果不進行重大更新,將會大幅降低它的啟髮式偵測率...因此"啟髮式和免疫防禦一樣也需要更新"...
目前啟髮式做的最好的,不只一家廠商,只是啟髮式的強度和誤報率的高低讓防毒廠商不知所措,僅能利用免疫防禦來暫時撐腰...免疫防禦仍有很大的進步空間...至少目前Kaspersky是在下看到最有成績的一家,只是需要使用者的基礎知識而已.對於使用者來說,Panda提供另一項選擇,HIPS.. 相信各位都知道,HIPS是免手動的,因此在全自動的過程中,需要適度放棄一些規則,以致於Panda在人性化和偵測率上作出取捨...規則適度減少,自動化程度提高,不過HIPS對於基本的可疑行為還是不會遺漏的,因此Panda對於尚未有基礎知識的人來說,算是不錯的選擇...據目前的情況看來, HIPS仍然有進步的空間...
總而言之,不管是"免疫防禦","啟髮式",不需人工干預的"HIPS"都需要進步,但是對於在下所期望的"突破"...仍有一段距離...:)
贊助商連結
除了改變在下對於Kaspersky的看法外,也對於Kaspersky的免疫防禦有更加的瞭解,在下便整理出一些自己的想法,希望各位給點意見...
Kaspersky的免疫防禦呢...事實上它的規則已經足夠於現在的威脅種類了...雖然以後會出現甚麼樣的威脅我們不知道,但是確切的... Kaspersky免疫防禦中的規則,超越我們所想像的...或許各位會認為趨勢的免疫防禦很好...事實上,在下認為只有60%~80%的防禦能力.. Why?趨勢的規則實際上是不夠的,連Panda的HIPS也比它更好,以及Rootkit也告訴我們,趨勢的免疫防禦對它是沒有用的... Kaspersky Blog的文章已經很明顯的提醒我們,Rootkit在於隱形階段是無法偵測出來的,只有當Rootkit的惡意行為出現時,Kaspersky才能防禦...趨勢很不同的是,當Rootkit進入本機時,只要寫這個Rootkit的人更高竿,便能輕易躲過趨勢的免疫防禦...Why?誰說 Rootkit進入本機一定只會修改機碼,隱藏檔案..."開啟特定連接埠",再次引進帶有Rootkit性質的威脅,不但避開趨勢的監控,也暗中植入了木馬,夠高竿吧...光趨勢這樣的免疫防禦是對Rootkit沒有辦法的...當然趨勢對於一般的威脅已經很夠力了....
不過趨勢也有跟Kaspersky一樣的缺點,均需要使用者自行判斷...當我們平常在使用趨勢的免疫防禦時,趨勢一旦警告可疑時,我們該選甚麼?趨勢在近日來的亮眼成績其實是因為我們都知道這些樣本是真的威脅,要是隨便寫個玩笑程式,是不是也要當成惡意行為?Kaspersky不同於趨勢的是...它會告訴你這是怎樣的可疑行為,會告訴你這種可疑威脅的名稱,還有連結讓你自行判斷,比起趨勢更可以增加使用者的判斷能力...這是在下對於趨勢近日免疫防禦成績如此亮眼所提出的見解..並非是惡意中傷趨勢不好,而是趨勢只是剛起步而已..Kaspersky所想的比趨勢多太多了...
同時...免疫防禦的能力取決於規則的多寡...Kaspersky Blog很明白的寫道...只要規則數不夠,免疫防禦便無用武之地,因此威脅特徵碼還是對等的重要,只少到目前為止我們都還不能捨棄威脅特徵碼...因為病毒作者是人...況且全世界有多少Crackers和防毒廠商作對?您能保證不會有1個Cracker想出逃避規則的方法嗎?因此..."免疫防禦的規則仍需要更新",只是更新週期長而已...
相對的,我們更不應該拋棄威脅特徵碼而去尋找這種臨時替代方法,"紮根都紮不穩了,何況是在上面蓋樹屋?"...免疫防禦只是目前能夠對抗99.99%威脅的一種方法而已...未來還有更好的方法去取代這種做法...別忘了,"防毒廠商的專家也是人"...這是一場人與人間的世紀戰爭,只是在其中沒有人會死,死的只是0和1這兩個byte而已...
另外BD的威脅特徵碼更新速度已經與Kaspersky有過之而無不及了,當然BD的啟髮式也是在下最推薦的...NOD32的啟髮式無法取代威脅特徵碼的重要,ESET認為NOD32只需要啟髮式便可以因應世界上7成以上的威脅,但在下確信,2年內NOD32的啟髮式如果不進行重大更新,將會大幅降低它的啟髮式偵測率...因此"啟髮式和免疫防禦一樣也需要更新"...
目前啟髮式做的最好的,不只一家廠商,只是啟髮式的強度和誤報率的高低讓防毒廠商不知所措,僅能利用免疫防禦來暫時撐腰...免疫防禦仍有很大的進步空間...至少目前Kaspersky是在下看到最有成績的一家,只是需要使用者的基礎知識而已.對於使用者來說,Panda提供另一項選擇,HIPS.. 相信各位都知道,HIPS是免手動的,因此在全自動的過程中,需要適度放棄一些規則,以致於Panda在人性化和偵測率上作出取捨...規則適度減少,自動化程度提高,不過HIPS對於基本的可疑行為還是不會遺漏的,因此Panda對於尚未有基礎知識的人來說,算是不錯的選擇...據目前的情況看來, HIPS仍然有進步的空間...
總而言之,不管是"免疫防禦","啟髮式",不需人工干預的"HIPS"都需要進步,但是對於在下所期望的"突破"...仍有一段距離...:)
贊助商連結