|
小偷偷窃的方式是有限的,但是小偷的数量是无限的,同一个小偷还可能会伪装。用静态特征是无止尽的,行为特征才是最优选择。杀毒软件会遭遇病毒对抗扫描引擎和沙箱的问题,病毒会主动检测是否在虚拟环境里,是虚拟环境就不运行或不显示恶意行为。所以扫描引擎的动态启发及沙箱的检测都会有漏报的病毒。本地回滚是真实环境,病毒延迟运行或者立刻运行,其连串行为都会被实时监控,在恶意程序出现恶意行为的同时,同步阻止并回滚,既能捕获病毒,又能避免损失。这个过程不需要看静态特征,不需要脱壳,不需要处理混淆码,不需要看延迟运行时间的长短,不需要考虑病毒对抗虚拟环境的方式。所以,本地回滚从微点开始实用,后面有费尔,有火绒,有智量都在实用本地回滚。这是真正高效的杀毒神技,增加一个报毒行为规则,可以多捕获无数个新旧病毒! |
发表于 2021-10-2 10:04