卡巴防御和微点主动防分析比较
本帖最后由 街角的幸福 于 2009-5-22 12:16 编辑卡巴防御和微点主动防分析比较 卡巴立体防御的体系和微点主动防御的分析比较(要过主动一定进来看)
KIS2009:智能HIPS(4D)+交互HIPS(4D)+PDM+病毒库+启发+沙盘+云安全+防火墙+隐私保护+反广告+家长控制+DNA基因扫描+扫描行为分析+运行行为分析+自我保护等
注意:此贴内容不涉及谁好谁坏,仅是带领大家走入卡巴、微点的防御体系!
微点的智能HIPS与卡巴的智能HIPS是完全不一样的两个概念,虽然都是智能,但是其运作却大不一样。
我们来看一下微点智能HIPS的判断机理:
1,进行白名单核对,相同不拦截,不同则进行2。
2,与病毒库特征进行对比---失败则进行3。
3,行为分析,查杀本体与衍生物,并给予提示,被过的要不没有提示,要不拦截不完全)
这也是为什么微点的防御非常出色的原因(部分关键步骤已经省略)
再来看一下卡巴的立体防御体系:
1,进行病毒库、DNA库、不正常的混合壳和可疑程序核对,没有则进行2
2,扫描启发分析,虚拟机在这里进行启发分析,具体可以见到的报法为Heur.Downloader等,没有则进行3
3,扫描启发+扫描DNA启发分析,具体报法为Heur.Trojan.Generic、 Heur.Virus.Generic等,没有则进行4(1),4(2)
注:以下步骤按照自动模式下的智能HIPS(4d)分析
4(1)、核对白名单和数字签名,没有则进行5(1)
5(1)、自动分组(沙盘运行),并根据初步判断的danger index进行分析,使本体获得相应组别的权限。
6(1)、有些病毒会释放衍生物,此时,每生成一个衍生物并激发运行,都会重复前几个步骤。这里有可能会随着衍生物的行为,使本体病毒的组别发生变化,例如从低受限---->高受限
7(1)、生成的衍生物有些是可以通过1、2、3进行拦截的或者嵌入驱动等等。而有些则被过,此时进入动态行为启发分析,即与行为库中的某些病毒行为进行核对,详见的报法Behavior Similar Trojan xxxx
8(1)、如果没有则会进行整体的最后核对以及评估,包括云安全机理都会在这里进行分析。
这也就是为什么卡巴的立体防御比较难过得原因(注意,有些关键步骤已经省略!)
以上只是形象化描述,具体的比这个要复杂的多例如提升权限等等等等。
注:以下步骤按照交互模式下的智能HIPS(4d)分析
4(2)基本类似于自动模式,但是有些步骤需要人工干预,包括提升权限,联网提示等多方面提示。
卡巴立体防御成绩基本在97%-100%之间(7月抛去一天HIPS未测试)
微点防御成绩基本在90%-100%之间(不包括个别跳水,基本很稳定)
这个数据完全可以表明,两种防御体系都可以应对最新的病毒,都是主动防御的领头羊。同样是出色的软件!
页:
[1]