|
|
本帖最后由 Nobuchika 于 2018-9-20 13:09 编辑
各有优缺点。
单步的优点在于能阻断威胁关键行为,使其报错退出、保护系统环境、不须频繁更新规则等,但缺点是部分样本阻断后仍继续产生破坏行为、或是在选择阻止/放行需要有一定计算机基础。
多步的优点在于,能明确表示威胁结果,并加以回滚、复原,多步又可分为规则型和打分型,但需要更新"规则库"或"判断模型"强化防御能力、降低误报。
以一款合格的安软来说,单步和多步都是必要的存在,多层防御才能确保使用者安全,现在也有将单步和云判断规则结合的产品存在,降低本地规则被针对、免杀的可能性(放在云端相当于,你要跑一次样本流程才能确认结果,但触发的同时这个样本也暴露给云,云端也能快速拉黑这个样本),任何防御技术都需要多种方式连动才能获得最大效益。 |
|
[复制链接]
收藏