引用:
|
作者nirvana
問題是,到底哪些讀寫是正常的,哪些讀寫又是不正常的?
有些病毒程式除非等大規模發作後,才把他的特徵列入病毒來過濾。
就跟流感剛開始也以為是一般感冒,沒人會重視!
等越來越多人感冒掛掉...才會有人開始研究注意!
|
區分這些很容易啊
例如我執行某個網路上抓下來的小遊戲
結果HIPS提示它要寫入windir,或者是寫入其它.exe檔
這很明顯就已經是病毒行為了
玩個遊戲而已為何會需要有這些動作?
所以我前面說專業知識一定要有
而一般人就算沒有相關知識
可以選擇智能化的HIPS軟體
傳統的特徵比對還有啟發式
都遠不如HIPS有效還有及時
這就是我一直在強調HIPS重要性的原因!