2008-04-09

Kaspersky 8.0beta智能HIPS的三大要素!

Kaspersky自從2006年開始在KAV 6.0加入了PDM後
防毒軟體市場就有了一些新的改變,直接導致F-Secure還有趨勢
在自己家軟體裡加入了HIPS,以增加對於未知威脅的防禦能力
每一次Kaspersky的改版都能給我耳目一新的感覺
不過這次的KAV/KIS 8.0給我的是相當大的震憾!

首先是PDM的智能化:
Kaspersky跟Bit9合作,在以前KAV/KIS 7.0使用的是Kaspersky自己建立的白名單
這個白名單的功能非常有限,跟Bit9合作可以取得非常龐大的應用程式清單
根據數位簽章,來決定程式的組別,這個組別共有三個等級!
分為:信任、高受限、低受限、不信任

早期的PDM對於dll進程插入非常敏感!
dll進程插入是大部分木馬會利用的招數,不過實際上
提示的情況我個人估計超過99%以上的dll進程插入提示都是安全的
在8.0裡取消了進程插入提示,對於這點改變我認為是個正確的決定!

而KAV/KIS 8.0新PDM的運作是基於三大原則:

1.依靠應用程式數位簽章還有特徵庫,如果是正常檔案那就新任它,如果被查出有問題就不信任
2.普通掃瞄,被掃瞄出來的檔案會被放進不信任區域
3.應用程式分析,根據已經規範好的條件,判斷此應用程式對系統造成威脅,並分配到低受限,高受限以及不信任區域


根據這三大原則,PDM可以在不需人工干預的情況下自己處理未知威脅
自動幫不是威脅的程式分組,準確度相當高!測試到目前還沒有遇到不正確分組的情況

所以我個人很期待KAV/KIS 8.0的正式到來!

沒有留言:

張貼留言