引用:

原帖由 taiwansee 于 2008-5-4 09:55 发表
可以这么比喻吧：
特征码扫描好比通过看一个人的长相来识别人。
只要这个人往脸上多搞点化妆品，头发养长点，口红涂黑点，眉毛画细点。。。。。。。
就很有可能让特征码扫描认不出来。
而主动防御好比通过照X光来识别人，第一 ...

引用:

但是，主动防御通过X光照射后，骨骼形状还是没变啊。。所以它还是能认出这个人来。
所以，要通过主动防御，其中一个办法就是修改“基因”，也就是程序作者创造出新思路，让生成的程序的“骨骼”形状完全不一样。。。

似乎看起来楼上想说的就是修改特征?
事实上,一个恶意程序的行为完全就是那么几样."也就是程序作者创造出新思路，让生成的程序的“骨骼”形状完全不一样。。。"那么那就不叫恶意程序咯~

现在的Rootkit Detect技术发展,越来越多的Attack和Defence被发现.我们所职能做的,就是一步步去尝试.其实说白了,MS Win就"那么点"东西,如果说各位牛人都研究出来,都被HIPS采用了(PS已经向Shadow SSDT Hook进发了).看看,现在ARK从普通的SSDT到Shadow SSDT.还有Inline HOOK(说到这里提一下,很多人说IceSword不能处理Inline Hook,其实是可以的.只不过是在高级功能里面).现在已经有RT开始采用FSD HOOK了(WSYSCHECK可以检查FSD HOOK而无法检测Inline FSD HOOK).(FSD Inline HOOK对系统要求高, MS一个新Patch可能就要重写代码)了.
看一下SSM吧,其实SSM安全性我不敢恭维.看看磁碟机吧,加载驱动程序的时候SSM一点提示也没有(RKU加载驱动卡巴7没有提示,PS提示了~)

看看,虽然现在的HIPS才开始采用Shadow SSDT.但我们也可以欣喜的看到安全形式正朝向好的方面发展.甚至现在还可以采用Timer方式不停恢复HIPS的SSDT HOOK & Shadow SSDT HOOM.

一点理解,有错误请指正!
其实会用HIPS的人,对安全知识的了解肯定比大多数人要了解.

[ 本帖最后由 starrick 于 2008-5-4 12:52 编辑 ]

主动防御并不能100%发现病毒或者攻击，它的成功率大概在60%--80%之间。如果再加上传统的“特征码技术”，则有可能发现100%的恶意程序与攻击行为

是我理解错了

引用:

原帖由 lantion 于 2008-5-4 16:33 发表
主动防御并不能100%发现病毒或者攻击，它的成功率大概在60%--80%之间。如果再加上传统的“特征码技术”，则有可能发现100%的恶意程序与攻击行为

是我理解错了 ...

楼上,你现在说的话,说明你完全不知道什么是主动防御