卡饭论坛 » HIPS专区 » 对HIPS专区行为分析专区定位的讨论

Devy 发表于 2008-7-5 16:17

对HIPS专区行为分析专区定位的讨论

看了大家发的贴，感觉咱这个行为分析区应该注意下定位的问题，不然要是和毒区的重叠这个区就没太意义了。我觉得咱得走一条和毒区不一样的方向。
大家讨论下吧。

pils 发表于 2008-7-5 17:17

回复 1楼 Devy 的帖子

[quote]

1.用hips测毒，旨在以hips如何防范危险程式行为及提高用户使用hips技巧、普及hips；

2.揭示hips监控盲点，完善hips技术。

[/quote]

希望大家继续补充。

hips测毒，本来就和毒区扫描报告式“测毒”不一样。

[quote]
毒区测毒，如有可能：代码分析。

hips区测毒：行为分析。

[/quote]

pils 发表于 2008-7-5 17:19

建议：本区与测试无关的非技术帖子，一律删除或下沉。

九尾野狐 发表于 2008-7-5 17:30

重要的是  防范对策和规则

别的都是围绕这个做铺垫的

sxingbai 发表于 2008-7-5 19:37

不太喜欢病毒测试，除非特别的
希望有正常程序的测试

andylau 发表于 2008-7-5 20:03

如果只是單純以HIPS作行為分析的話，我覺得會有不足

一堆log.....有些HIPS的log 有時我會覺得比線上的sandbox的report更難理解[:08:]

河洛星光 发表于 2008-7-5 20:27

可否象毒区一样, 各人专攻所长的HIPS,一贴过同时谢绝回复,简洁明僚

将贴集合成规则发布,  供新手学习

宜个人意见,勿踩!

Devy 发表于 2008-7-5 22:21

[quote]
1.用hips测毒，旨在以hips如何防范危险程式行为及提高用户使用hips技巧、普及hips；
2.揭示hips监控盲点，完善hips技术。

重要的是  防范对策和规则
别的都是围绕这个做铺垫的
[/quote]
pils和没注册一语中的啊！一下就把行为分析的目的和作用给点出来了。[:13:]
[quote]
希望有正常程序的测试
[/quote]
这个是有必要的。便于指导使用者为正常程序制定规则。
[quote]
毒区测毒，如有可能：代码分析。
hips区测毒：行为分析。
[/quote]
就我所知毒区好象也有在做行为分析的，甚至也用EQ这些HIPS进行分析。
[quote]
建议：本区与测试无关的非技术帖子，一律删除或下沉。

可否象毒区一样, 各人专攻所长的HIPS,一贴过同时谢绝回复,简洁明僚
将贴集合成规则发布, 供新手学习
[/quote]
我觉得成立一个专门的行为分析小组来开展工作会不会比较好？[:01:]
[quote]
如果只是單純以HIPS作行為分析的話，我覺得會有不足
一堆log.....有些HIPS的log 有時我會覺得比線上的sandbox的report更難理解
[/quote]
要避免Log贴，应该要求有分析过程、有分析结果，最好体现为规则描述（能够在各HIPS上容易地实现），如果能附上规则包就更好。[:01:]

promised 发表于 2008-7-5 23:05

行为分析难以做到汇编的完整性
而sandbox与实机环境差异巨大，同样难以做到完整性
所以还是以介绍hips和引出规则或hips本身漏洞为主为好

[[i] 本帖最后由 promised 于 2008-7-5 23:07 编辑 [/i]]

zwl2828 发表于 2008-7-6 09:33

规则和如何防御。

1x2l 发表于 2008-7-6 13:06

既然把行为分析区作为HIPS区的子区，自然主要是以HIPS来进行行为分析的
赞成pils对行为分析区的定位
基于黑盒或灰盒的分析不需要像白盒分析那样透彻，只要是抓住程序的关键动作的行为分析就已经基本到位了

思亭 发表于 2008-7-6 22:35

log也提倡发啊，有了log文件，对付这类病毒，就不用再去测试了，当然，有分析自然更好，但不会分析的，也不应该拒绝吧。

sanhu35 发表于 2008-7-7 23:41

行为分析无非是分析病毒会干什么，至于逆向的话 我看会HIPS的比会逆向的多吧！

以HIPS 作为分析，大家可以看到病毒操作到那里就应该阻止。

show出阻止的图，然后具体分析下病毒的操作和防范的策略！

逆向分析当然也可以！ 何必介怀用HIPS分析呢！

对一般用户来说，逆向分析是很详细，但是他们也只会了解了解病毒会操作什么，危险性在哪里！并不会作出什防范！

注重安全的用户来说，不管是看到逆向分析，或是HIPS log 和防范策略，都是对他们有帮助的！

还是各展所长吧！[:17:]

[[i] 本帖最后由 sanhu35 于 2008-7-7 23:49 编辑 [/i]]

jony327 发表于 2008-7-8 06:20

希望本版的发帖不要太模式化，我觉得本版的定位应该就是hips防御的技术性讨论，大家只要有认识、经验和体会即可以拿出来来交流和讨论，不必要都拿对一个病毒木马的测试来说话，这并不利于形成更广泛和有效的讨论。最终的目的就是大家不断提高hips防御的能力，对这个目的有益的帖子不论形式和类型都应该是鼓励和欢迎的。

邀请 发表于 2008-7-8 11:22

注意让新手可以学到东西
借分析，提高应用hips的能力和防范病毒的能力，


另外，希望可以用其他方法测试，比如沙盒，等等

test21st 发表于 2008-7-27 15:51

应该是讨论对某些程序的某些行为进行分析的一个模块吧，正常的不正常的，应该都在讨论范围内，最好有个常见软件的行为列表最好，

lujianqi 发表于 2008-8-4 13:32

我认为行为分析可以为规则的编制和程序的改进作出贡献
也可以看看某些软件是如何做出某种行为、效果的，为我们学习电脑提供帮助

yzx714 发表于 2008-8-9 10:02

毒区只是收集病毒
而行为分析区是分析这些收集到的病毒

ssyknuwyg 发表于 2008-8-12 10:06

对大众来说意义不大，谁都没这闲功夫看这些东西，他们需要的只是你的总结

yjwfdc1 发表于 2008-8-12 10:18

[quote]原帖由 [i]ssyknuwyg[/i] 于 2008-8-12 10:06 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4467825&ptid=282233][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
对大众来说意义不大，谁都没这闲功夫看这些东西，他们需要的只是你的总结 [/quote]
没有积累,就没有总结.

查看完整版本: 对HIPS专区行为分析专区定位的讨论