请教论坛的大大2个问题

显示全部楼层 · 发表于 2007-3-10 22:55:13

何为免杀？？何为启发式有点迷茫了请高手解释一下。

显示全部楼层 · 发表于 2007-3-10 22:56:27

做杀软的免杀是怎么个意思？？

显示全部楼层 · 发表于 2007-3-10 23:03:00

没有人能够回答吗？

显示全部楼层 · 发表于 2007-3-10 23:16:43

要了解免杀首先要知道什么是特征码杀毒！目前特征码技术是广泛采用的病毒查杀技术！杀毒软件公司根据截获的和上报的病毒样本，提取特征码放入病毒库，然后，杀毒软件运行的时候会对被扫描文件进行特征码识别并跟病毒库中的特征码进行比对，如果发现特征码相符，就认为该文件是病毒，报警并隔离或删除该病毒文件！为了达到感染用户电脑而不被杀毒软件发现，病毒编写者要尽量使病毒文件看起来像正常文件，也就是利用技术手段人为的改变病毒或者木马的编码特征，逃避杀毒软件的查杀，这就是免杀技术！！

至于启发式，是为了弥补传统的特征码扫描技术存在的在时效性上滞后的缺陷（因为特征码的获得要靠截获病毒样本和上报）而开发的一种技术！利用已知病毒样本的一些特征来推断病毒可能产生的变种的特征！关于启发式，坛子里有具体介绍，我所知也比较有限！但是从启发式的字面上应该可以推测这种技术实际上是一种发现未知病毒威胁的技术！目前，启发式技术还不够成熟，存在着误报比较高的缺点～！！

[ 本帖最后由 jpzy 于 2007-3-10 23:18 编辑 ]

显示全部楼层 · 发表于 2007-3-10 23:23:55

打个比方，传统的特征码技术就相当于给一个罪犯（病毒）拍照并把照片贴在海关（病毒库），当一个人经过，海关的工作人员（杀软监控）发现他长得跟照片很像（特征码相符），就会把他请到一边去（隔离）详细盘问一番，确认是罪犯的，就要抓起来（删除）！可是罪犯为了逃避打击，他于是画了妆（做了免杀），于是海关的工作人员没有发现，他就跑了，继续危害人间（电脑）～！启发式就相当于，一个高明的有分析能力的海关工作人员，他看着原来的照片，推测罪犯化妆以后可能会是什么样，当他看到跟推测的样子差不多的人，他就都叫到一边去盘问，因为是推测，所以可能会冤枉很多好人（误报）！！
呵呵

显示全部楼层 · 发表于 2007-3-10 23:26:51

启发分为动态启发和静态启发。。。。动态启发是一种虚拟机技术。。也就是说会模拟一个虚拟环境。。。。然后看看该文件有无可疑动作以便判断是否是病毒，静态启发就是根据传统的特征码来判断。。。。

显示全部楼层 · 发表于 2007-3-10 23:40:55

谢谢楼上的2位我现在终于明白了

原来卡巴每天升级的都是特征码
要想让病毒不被杀软发现就要化装让杀软认不出来
那什么杀软的免杀难做那？？

显示全部楼层 · 发表于 2007-3-10 23:45:29

传说当中最好做的是传统特征码的杀软。。。这类最好做。。。

显示全部楼层 · 发表于 2007-3-10 23:48:39

象瑞星

显示全部楼层 · 发表于 2007-3-12 07:38:52

谢谢楼上的2位我现在终于明白了
原来卡巴每天升级的都是特征码
要想让病毒不被杀软发现就要化装让杀软认不出来
那什么杀软的免杀难做那？？

[其他相关] 请教论坛的大大2个问题

回复 #7 oly71915925 的帖子