了解混合启发（静态启发+动态启发）

z13667152750

分类的标准不好确定呀
其实我认为，基因码就是静态启发，对程序调用的api等函数进行计算分析但是不运行就是动态启发

真正运行的只有虚拟机启发

zhq445078388

z13667152750 发表于 2011-6-16 16:29
分类的标准不好确定呀
其实我认为，基因码就是静态启发，对程序调用的api等函数进行计算分析但是不运行就是 ...

你说的很对。。。我只是写自己的看法
以及展望罢了
挂服务或驱动的入口点钩子 实现反驱动（驱动防火墙）
挂文件移动 读写 钩子 实现文件监控（文件防火墙以及一部分系统防护墙）

我认为这些都属于主防和HIPS范围
静态判断API 还是通过代码做的
所以我认为还是叫做静态启发（或者代码启发）

我觉得现在注入DLL做的“监控”“加固”，可以应用到启发式
这时候程序已经运行了（DLL注入的是进程）
所以我叫他动态启发
。。没别的想法
我没研究那么深
咱不是专业做杀软的，只是爱好者罢了。
技术大牛可以尝试着翻译成自己看得惯的说明方法

qwe12301

求某山数字签名被盗用的实例 否则就是无事实无真相。
我倒是记得某山网盾被恶意利用的样本。

还有你所谓的真相，真的太假了。
卡饭多次科普到底怎么个运作方式，其实人人心里也都大致有杆秤

止战之殇

顶了

zhq445078388

qwe12301 发表于 2011-6-16 16:42
求某山数字签名被盗用的实例 否则就是无事实无真相。
我倒是记得某山网盾被恶意利用的样本。

http://bbs.kafan.cn/thread-851462-1-1.html
这是迅雷数字签名被盗用
http://www.enet.com.cn/article/2010/0517/A20100517654769.shtml
这是金山的反击公告
http://bbs.duba.net/thread-22251970-1-1.html
金锁
http://www.router.net.cn/Article/42067.html
似乎把公告给改了
http://www.itbear.com.cn/AnQuan/2010-05/25722.html

qwe12301

zhq445078388 发表于 2011-6-16 16:51
http://bbs.kafan.cn/thread-851462-1-1.html
这是迅雷数字签名被盗用
http://www.enet.com.cn/article ...

呃。理解完全错误啊。
你的连接反映了两个情况。
一个是金锁病毒（利用网盾组件恶意锁定主页），这个早修复了，只不过僵尸版本收不回。跟数字签名被盗是两码事啊。
另一个是realtek的数字签名被盗，跟某山有什么关系么？

hzqedison

zhq445078388 发表于 2011-6-16 14:23
很久以前了。。
可怜山山的数字签名的私钥被盗。。还是360发的安全预警

什么时候的事情 为啥我都不知道？

zhq445078388

qwe12301 发表于 2011-6-16 16:54
呃。理解完全错误啊。
你的连接反映了两个情况。
一个是金锁病毒（利用网盾组件恶意锁定主页），这个早 ...

只是说为了防止发生。。没别的意思啊？
为什么说金山你那么敏感
怪不得前面有人跟我说千万别提 一提就被口水 你是第二个

zhq445078388

hzqedison 发表于 2011-6-16 16:54
什么时候的事情 为啥我都不知道？

我听说的。楼上提出来了 我也看了下，貌似是我理解错了 有权限的可以改下
另外我只是展望- - 别太纠结了好嘛？


展望时候对现在的命名方式做下修改不行嘛？
不然你让运行起来的启发式叫什么？
注入型主防？

qwe12301

zhq445078388 发表于 2011-6-16 16:56
只是说为了防止发生。。没别的意思啊？
为什么说金山你那么敏感
怪不得前面有人跟我说千万别提 一提就被 ...

我本人不敏感。只对无中生有的事比较敏感