突然发现通用启发式存在的意义了

zxcqwe

通用启发式即指Win32:Evo-gen[Susp]
众所周知avast的引擎只给自己和GD使用
在GD2011之前，GD中的avast引擎一直是有保留的
GD2011之后，avast开放了全部引擎的检测能力
GD2013后，avast推出了新检测系统
其实一直在与GD拉开差距
估计卖引擎他们都后悔了吧

狴犴睚眦

通用启发式是为了精简合并病毒库。

gd从2014开始就没用avast引擎了。

zxcqwe

狴犴睚眦 发表于 2014-8-8 18:01
通用启发式是为了精简合并病毒库。

gd从2014开始就没用avast引擎了。

合并病毒库是avast9以后的事吧。avast精简病毒库主要是在特征码方面，并没有触及启发式

狴犴睚眦

zxcqwe 发表于 2014-8-8 18:18
合并病毒库是avast9以后的事吧。avast精简病毒库主要是在特征码方面，并没有触及启发式

avast的超大规模精简病毒库，应该和启发式有关系。现在病毒基本上都是这个报法。

驭龙

你说的Win32:Evo-gen[Susp]实际上就是Dyna-Gen技术

zxcqwe

驭龙 发表于 2014-8-9 08:33
你说的Win32:Evo-gen[Susp]实际上就是Dyna-Gen技术

不是的
此技术从avast7开始添加
从avast8开始正式使用
avast9个Dyna-gen是基于整理合并病毒库之后的事了


下面有链接内容，官方称其为通用的后端检测系统，在使用说明中称为启发式
触手可及的保护– 最新版本 AVAST 8
捷克共和国首都布拉格，2013年2月28日 – 全球最流行的杀毒软件制造商AVAST Software，推出其消费者安全软件系列的新版本。版本8添加了许多新的技术并对提供主动检测，漏洞预防和用户的舒适度进行了改良。
AVAST版本8为主动检测所带来的新技术是：
相似的恶意软件搜索技术以提供自动识别和列入黑名单的相似的文件与其它已知的受感染的文件。从AVAST云数据库中这些检测结果被拉出在实时防护中。
一个新的动态检测引擎包含AutoSandbox™功能。AutoSandbox™允许AVAST在一个隔离的环境中分析可疑的文件，在允许它们运行在用户的系统中之前。这种新的引擎帮助用户做出更明智的决定，是否在沙盒中正在运行的文件是恶意软件或不是，并自动隔离受感染的文件。该技术是以一个在内存中的SQL数据库为基础，允许复杂的查询在该文件的全面执行跟踪上。
一个新的后端检测系统称为Evo-Gen生成完全通用的全部恶意软件家族的检测。精密的统计方法使AVAST Evo-Gen能够识别大型成套的恶意软件样本的共同特征在其他方面独一无二到整个生态系统。
AVAST 的首席技术执行官 Ondrej Vlcek解释到：“我们新的Evo-Gen 系统有助于创建更有效的定义，这往往防止了大量的恶意软件系列，包括未知的‘零日’ 恶意软件，而不会产生误报的风险。”

驭龙

zxcqwe 发表于 2014-8-9 13:18
不是的
此技术从avast7开始添加
从avast8开始正式使用

你不知道的，实际上EVO在9版进化以后，融入实时更新以后，就是Dyna了，其实当初EVO的存在，就是为了最终Dyna存在，而使用的通用启发式基因技术，这也是7版和8版没有宣传EVO技术的原因，EVO的目标就是Dyna，或者说Dyna只不过是EVO的全新解读

zxcqwe

驭龙 发表于 2014-8-9 13:34
你不知道的，实际上EVO在9版进化以后，融入实时更新以后，就是Dyna了，其实当初EVO的存在，就是为了最终D ...

可是为毛我感觉检测率下降了
其实avast这个公司很奇怪
开发这个技术又只存在于防护中
我能想到的原因就是和GD拉开差距

驭龙

zxcqwe 发表于 2014-8-9 13:36
可是为毛我感觉检测率下降了
其实avast这个公司很奇怪
开发这个技术又只存在于防护中

要知道毕竟Avast占有率非常高，世界上占有率数一数二，加上公司人数上的问题，必然考虑到误报问题，当然要权衡启发式的误报和启发强度

Ventureminking

驭龙 发表于 2014-8-9 13:40
要知道毕竟Avast占有率非常高，世界上占有率数一数二，加上公司人数上的问题，必然考虑到误报问题，当然 ...

好像记得谁说过其实小A公司人不多对吧。其实属于“中小型团队”范畴？