【转】浅谈高级启发和主动防御

毒霸2012_【乱】

转自卡饭学院：http://edu.kafan.cn/html/ESET-NOD32/11244.html
在金山和某安全商发生冲突和XQ大战之后金山也意识到了行业的激烈竞争；金山用户也提出了很多的要求比如启发式 主动防御等技术；而金山工作人员的态度是 ‘如果核心技术这么好学那这行业就毫无核心可言’的类似言语 而且也说金山会满足用户需求但金山需要的是时间。
再看看现在金山官人已经有信心对大家说 云技术中有主防和一些基础启发（我不明真相~）
所以以前随便转个技术贴
===========================================

查了2天资料，高启发就是针对病毒的编译代码，只要病毒含有带有威胁性的代码，就报毒，那个最明显的例子，拿我最喜欢的狙击手来说。

高级启发也就是，当一个狙击手发现了疑似敌军将军，特征就是穿着军服，带着军帽，因为不能确定是不是敌军将军，就报告给司令部（用户）发现疑似敌方将军，理由是......，是否击毙。在司令部下达击毙命令前，狙击手会一直锁定疑似敌方将军。

主动防御是，当一个狙击手发现了疑似地方将军，和高启不同的是，主动防御在等待着有个士兵向疑似将军敬礼，或者疑似将军做出了只有将军才会做的动作时候，狙击手直接选择击毙，然后才报告给司令部说已经击毙敌方将军。

高级启发和主动防御的优势就在于，能够提前发现病毒，远在病毒有所动作之前就被杀掉，给杀毒软件厂商的任务就是，每当发现一个新病毒都要提取出病毒特征码，而且也要分析出可能变形代码，也就是说ESET里面编写高启发病毒库的程序员本身也是很牛的黑客，知道作为病毒编译者会怎么逃过查杀，从而做出反查杀代码。毕竟病毒分析员不是神，不可能想到所有的免杀手段，这就是为什么会有误杀。

主动防御就属于只要你符合我病毒库里面的病毒的行为，病毒的特征，那么你就是病毒，杀掉，这主要还是要依赖病毒库，大量收集病毒，编写主动防御类型的病毒库，病毒分析专家得到新病毒后，分析出病毒的特征，运行后行为是什么然后就入库，加了壳后，杀毒软件先要把壳给卸载了，再让病毒在虚拟机中运行。看看是不是符合病毒库里的病毒行为。

对于高级启发和主动防御发现未知病毒的方式也不同，还说拿狙击手的例子来讲，在名字叫高级启发的狙击手在执行暗杀任务的时候，就只会携带一张要暗杀的对象的照片，但是在高级启发执行任务前，已经熟知暗杀对象的种种生活习惯，可能会整容后的样子和可能会改变的行为。在高级启发发现新病毒的时候，首先会分析暗杀对象的外貌或者整容后的外貌，如何有符合就报某某病毒，如何没符合的就进入第二步，跟踪暗杀对象看看有没有符合暗杀对象的生活行为，如果有符合就报某某病毒变种，如果没有符合的就看暗杀对象的行为举止是否符合，如果符合就报可能是某某病毒变种。如果没符合就暗杀任务失败（被过了）

对于主动防御就是执行暗杀任务的时候会带一个笔记本电脑，把病毒的可能性变化全部列出，只要符合其中任何一条，就报是病毒。



总结：高级启发不用依靠病毒库，依靠的是NOD32独特有的threatsense.net（参考全面解析Nod32独有ThreatSense系统）。主动防御就是要依靠病毒库，依靠病毒库的大量特征码和行为代码。

（个人再说下；虽然文章说高启发对抗未知病毒很在行但是很多人都认为NOD32对于恶意软件的侦查非常不给力 所以这应该属于高启发的软肋吧？）



未来就是未知病毒会不断的出现，依靠病毒库吃香的就在也不行了，但是高级启发和主动防御是相辅相成，虽然高级启发和主动防御是出于同个祖宗，特征码，但是科技进步，分化出两种查杀病毒的技术，就那我们人和猩猩，基因相似率99%，而我们人是万物之主，而猴子只能作为灵长类动物，然后我们人类的食物链不能没有灵长类的存在，而灵长类也不能没有我们人类的存在。这就是高级启发和主动防御的关系。



在自己真诚希望ESET NOD32开发出自己的智能主动防御，卡巴斯基提高高级启发的能力。这样病毒就再也无处藏身了。

Kukon

木有人回复?先帮LZ消灭零回复。

wanglei7865

科普贴，学习了

zhang_guo_shuai

有人说人工智能多么多么牛叉，多么多么有技术。而实际上人工智能的目的就是代替真正的人类，但目前的人工智能远达不到人类的智慧，可想而知到底是智能规则强还是人脑规则强了。

shiningsoul

学习了

星空下的吻

楼主说的主动防御依靠病毒库，你确定没有出来误导别人？

9303110

最后一段运用的类比手法，生动形象地写出了xxoo，表达了xxoo

dyhua

星空下的吻 发表于 2011-7-23 12:23
楼主说的主动防御依靠病毒库，你确定没有出来误导别人？

这样说的确不妥
应该说是依靠规则+特征码+黑白名单

浮生半日闲

技术在更新 希望越来越好吧

星空下的吻

dyhua 发表于 2011-7-23 14:41
这样说的确不妥
应该说是依靠规则+特征码+黑白名单

很显然主动防御侧重通过对系统底层API的监视挂钩来阻止病毒的运行，何来特征码