給卡巴斯基的兩點建議 - 第3頁

harry_chang2003 · 2006-12-09, 02:29 PM

引用:

作者: esjustin

免疫防禦的確需要人性化,只是人性化過頭,能防禦的就更少...

其實不是只有啟發式和免疫防禦這兩種防禦新威脅的方法,還有更好的,例如:Panda的HIPS技術,BD的HiVE技術...

BD的HiVE技術好像不是一種行為判斷

我昨天灌BD執行三個病毒BD都沒反應阿
KAV,Panda,PCC都有反應

BD好像沒有行為判斷

esjustin · 2006-12-09, 03:18 PM

引用:

作者: harry_chang2003

BD的HiVE技術好像不是一種行為判斷

我昨天灌BD執行三個病毒BD都沒反應阿
KAV,Panda,PCC都有反應

BD好像沒有行為判斷

閣下可以至BD官方網站查詢有關HiVE技術的文章,相關技術核心就不再多談了..

HiVE技術算是另一種突破,跟ThreatSense技術的其中一個應用蠻像的,如果查詢之後再不懂,在下可以給與微薄的指導..

harry_chang2003 · 2006-12-09, 03:21 PM

引用:

作者: esjustin

閣下可以至BD官方網站查詢有關HiVE技術的文章,相關技術核心就不再多談了..

HiVE技術算是另一種突破,跟ThreatSense技術的其中一個應用蠻像的,如果查詢之後再不懂,在下可以給與微薄的指導..

可以直接簡單介紹嗎?

BD都無法阻擋我執行的病毒阿,處理程序裡照有

ellery · 2006-12-09, 07:07 PM

引用:

作者: fq4lxx92

問題是Kaspersky在台灣並沒有賣電子下載版或是單賣授權碼，所以那位仁兄才會買了一堆好看的盒子回來。

還有Kaspersky的售價偏高也是事實，KIS一年一授權要21xx，趨勢TIS 2007一年三授權只要1680。你說一般民眾會選哪一種呢？

有賣電子下載版, 只是key還要在填資料後等幾天才收得到.

esjustin · 2006-12-10, 05:48 PM

引用:

作者: harry_chang2003

可以直接簡單介紹嗎?

BD都無法阻擋我執行的病毒阿,處理程序裡照有

其實,早在2003年,BD已經預見未來的威脅發展,因此提出了Malware Intrusion Detection Advanced System(MIDAS)的概念,意即"威脅入侵預先偵測系統",到了2005年,終於研究出HiVE技術.

HiVE,意即"蜂房",HiVE技術,是啟發式的另一種偵測方法,它會在背景中產生一個虛擬的安全環境,在這個環境中,執行檔案,觀察其行為以及用特徵碼比對,這種做法可以提高未知威脅偵測率,並且降低誤報率,不過會加重系統負擔,需要中,高階配備才能運作順暢.

目前HiVE技術和BD內建的上報系統互相搭配,只要有可疑檔案,便會每60分鐘傳送一次新隔離的可疑檔案,進而增加BD的偵測率.

而HiVE技術經過AV-Comparatives測試過後證實可以完完全全的攔截6隻Zotob的變種.

目前HiVE技術的憧憬是提高偵測率至60%,對ThreatSense技術來說,HiVE技術算是它的前輩,因為就連ThreatSense技術也有採用HiVE技術的類似做法.

而目前發展出新的Behavioral-Heuristic Analyzer in Virtual Environments(B-HAVE)技術,意即"在虛擬的環境中分析行為"同樣是使用虛擬的安全環境,只是不同HiVE技術,它只擷取一段可疑的行為,然後執行該片段,如果可疑便結合的BD內建上報系統,上報給BD實驗室分析,約1~2天即可收到結果.

根據在下詢問BD技術人員後,BD人員證實,B-HAVE技術已經在BD 10中替代HiVE技術,因為BD技術團隊已經花了很多時間跟努力,因此B-HAVE技術擁有HiVE技術的優點,且更能省下系統資源,其實,B-HAVE技術是啟發式和HIPS的混合體,無須人工干預,便可自行判斷,又可以使用啟發式偵測威脅,並且可以更接近偵測率達60%的憧憬.

目前HiVE技術仍然在BD 9當中使用,此外,BD的技術人員也聲明BD 10的確有進行引擎修改.

harry_chang2003 · 2006-12-10, 06:53 PM

引用:

作者: esjustin

其實,早在2003年,BD已經預見未來的威脅發展,因此提出了Malware Intrusion Detection Advanced System(MIDAS)的概念,意即"威脅入侵預先偵測系統",到了2005年,終於研究出HiVE技術.

HiVE,意即"蜂房",HiVE技術,是啟發式的另一種偵測方法,它會在背景中產生一個虛擬的安全環境,在這個環境中,執行檔案,觀察其行為以及用特徵碼比對,這種做法可以提高未知威脅偵測率,並且降低誤報率,不過會加重系統負擔,需要中,高階配備才能運作順暢.

目前HiVE技術和BD內建的上報系統互相搭配,只要有可疑檔案,便會每60分鐘傳送一次新隔離的可疑檔案,進而增加BD的偵測率.

而HiVE技術經過AV-Comparatives測試過後證實可以完完全全的攔截6隻Zotob的變種.

目前HiVE技術的憧憬是提高偵測率至60%,對ThreatSense技術來說,HiVE技術算是它的前輩,因為就連ThreatSense技術也有採用HiVE技術的類似做法.

而目前發展出新的Behavioral-Heuristic Analyzer in Virtual Environments(B-HAVE)技術,意即"在虛擬的環境中分析行為"同樣是使用虛擬的安全環境,只是不同HiVE技術,它只擷取一段可疑的行為,然後執行該片段,如果可疑便結合的BD內建上報系統,上報給BD實驗室分析,約1~2天即可收到結果.

根據在下詢問BD技術人員後,BD人員證實,B-HAVE技術已經在BD 10中替代HiVE技術,因為BD技術團隊已經花了很多時間跟努力,因此B-HAVE技術擁有HiVE技術的優點,且更能省下系統資源!另外詢問是否會再發展另外一種技術

所以這也是啟發式的一種
結果我以為是類似行為判斷去執行病毒= = "

esjustin · 2006-12-10, 07:21 PM

引用:

作者: harry_chang2003

所以這也是啟發式的一種
結果我以為是類似行為判斷去執行病毒= = "

閣下別急著回覆,B-HAVE技術,其實就是類似Panda的HIPS...

HiVE才是啟發式,B-HAVE是啟發式跟HIPS的混合體...

proll · 2006-12-10, 07:50 PM

用卡巴6.0.1.411 3天了，Proacive裡面除了「程序完整性保護」之外全開，發現的確很麻煩……並且……有個正常的文檔，詞霸2007，原版運行的時候需要在卡峇里面設置排除，結果用了某個補丁後，卡巴提示同樣提示可疑，被我排除，但此檔很有可能是被木馬綁了，已經發給卡巴原廠作分析。

HIPS裡面，現在最好用的是Panda的，PCC2007用了1星期了，PCC的HIPS比較稚嫩，根不不是攔截，只是提示、恢復功能，而且基本上任何修改系統敏感位置的操作都會報告，不適合普通用戶。

PS:昨天花了28人民幣續約了KAV6反病毒版1年時間，服务期延长到2008-10月咯