【为5周年献礼】浅谈杀软几大技术以及安软搭配原则

慢慢六十六

好人 了解了

strawman0719

小林制药 发表于 2011-6-12 10:16
楼主写得很好，学习了！同时斗胆向楼主的文章提出一点意见，望楼主见谅

楼主在云计算那里提到了一个例 ...

我现在是手机上的，敢问sonar和行为主防有什么不同？怎么理解呢

小林制药

strawman0719 发表于 2011-6-12 14:22
我现在是手机上的，敢问sonar和行为主防有什么不同？怎么理解呢

呵呵……先说一下，“赐教”谈不上，我也不过是个爱好者而已，懂的也不多，讨论嘛~

我觉得SONAR的原理比较复杂，官方文档说它是一种基于分类器，结合了行为分析的前端防御技术。从现象上讲，大多数时候都是执行了某个有问题的程序而触发SONAR，但是有时候一些程序在本体执行之前即可触发SONAR的反应，这说明SONAR并不一定需要具体执行了并且根据执行结果判断，而是有一定的在程序执行之前即可以通过一定手段分析出文件中存在的问题（类似ESET的高启发），所以我觉得它与一般意义上的（以微点为代表的）行为主防有所区别。

在实际实验中，我发现在监控时会触发SONAR的程序一般是实时防护没有足够的条件判定其为病毒，但是文件本身又具有一定的风险，而触发SONAR。而又没有条件满足一般性判定，同时文件本身的风险又不是十分明确的时候则需要执行程序才会触发SONAR。所以我认为这种技术既是一个特例，又有一定代表性。因为其综合了静态侦测和动态侦测两方面的特点。

从历史上说，我是从防病毒卡时代走过来的，诺顿是我接触到的第一种病毒未入库即可根据一定信息侦测出病毒的软件（同时期的反病毒软件通常都使用模糊特征判定法侦测未知病毒或变种），而当时赛门铁克就已经提出了主动防御的概念——在病毒尚未被捕获和分析之前即可进行拦截，所以我认为，“主动防御”是一大类具有“拦截未知病毒能力”的技术的统称。

当然，如果是我胡说了，还请见谅。

wrj20080608

适合自己的才是最好的，

strawman0719

小林制药 发表于 2011-6-12 10:16
楼主写得很好，学习了！同时斗胆向楼主的文章提出一点意见，望楼主见谅

楼主在云计算那里提到了一个例 ...

其实我一般把主防分成狭义主防（即行为防御）和广义主防（即和您的定义类似）

启发就属于广义主防的一种

至于QVM实际效果还不错，但称为人工智能多少有点炒作嫌疑，我也知道其源于垃圾邮件的自动过滤

受教啦

double_zhi

学习了，简单好用是最好的

抱金砖

恩..看完了
基本都是些概念上的介绍呀.

uni384284728

又补习了一下，不错赞一个

kingzhang2520

有很多的经典搭配啊。。值得学习

燃烧的胸毛

谢谢  很详细,  学习了,