对于API的检测 HIPS是动态的
这就是HIPS里AD的最浅显原理,但是,要做个完全拦截不漏的HIPS并不容易。首先,通道何其多也,HOOK放在哪些也不是随便来的。如果都来HOOK过滤。。。。因为兼容等问题,是要影响系统正常运行的。如果放几个,也会可能漏过病毒新使用的方法。而且,开发驱动的稳定性也在一定程度上影响HIPS的能力。此外,除了这种监视拦截,还有多种因素会影响病毒,最重要的是HIPS的易用,控制弹框。不少同学用了卡巴却把HIPS关闭,说实话,真是一种浪费,也不划算,如果你肯用点时间点点,当策略都建立了,你的使用可能安全无问题的度过更多很多的时间。
对于API的检测,HIPS是动态的,直接针对行为的他占用必然更少。而杀软则多少要使用点虚拟技术,相应的结果是占用多。由于API包含在代码内——你要自己的软件借用那些,您得先标注告诉系统不是。杀软的强虚拟机查API就是在代码中找高危的API或API组合或API与其他名称的组合。这里捎带两点,稍微上样点的杀软都是通过给病毒定义特征码的办法,在病毒代码中找关键的、通用的、难回避更改的部分,定义为特征码,下次看到杀软也就认识了。杀软的强虚拟机,只是个类似CPU的东西,他是不分析行为的,他看运算的代码中是否和特征码相符。这一点,以后将在“所谓的主动防御”中再加叙述。
杀软是代码级的,是静态的,这就造成了他的易用——不许点框,也造成了他的越来越明显的弱势。ROOTKIT技术在发展,有时杀软甚至无法发现病毒文件是否出现过。。。而代码级的启发式,面对很多免杀的方法都很无助。虽然目前免杀的水平层次不一,但是不能否认,一定情况下,一个菜鸟学会免杀一些启发技术在新的环境下不及格的杀软(实际上及格的没几个),最多一个小时,少则20分种,比如公爵,上海一哥这些冉冉升起的新星们。
无论是做好的杀软还是HIPS,都需要克服很多梗阻,在这个意义上,我们对于他们的开发者都抱有一种起码的感激,这年头,做生意不骗人不是件容易的事情。
网友评论