金山毒霸 K+ 2.0 揭秘（二）：进程行为之启发式防御

显示全部楼层 · 发表于 2011-11-6 10:38:44

本帖最后由 qwe12301 于 2011-11-6 10:41 编辑

leisong 发表于 2011-11-6 10:17
本地启发式防御是吧？完全不用云？
那好！敢不敢断网测试样本？如果效果很差是不是又一个名词创新？
...

常见于大文件样本启发等。这里特别说明的是“对抗云查杀“。
而且根据流程图分析，这些”启发式“鉴定最终还是要靠云端的结果来判定文件行为。

显示全部楼层 · 发表于 2011-11-6 10:44:36

本帖最后由 leisong 于 2011-11-6 10:52 编辑

qwe12301 发表于 2011-11-6 10:38
常见于大文件样本启发等。其余还没发现

我不多说了，删掉

显示全部楼层 · 发表于 2011-11-6 10:53:11

本帖最后由 qwe12301 于 2011-11-6 10:55 编辑

leisong 发表于 2011-11-6 10:44
大文件的垃圾代码启发几个月前金山就有了，现在又拿出来用全新名词宣传？

那时金山对自己的安装包加入 ...

不管是否自己安装包还是别的程序，加入垃圾代码段肯定不正常。这是原理决定了它的检测
同样，自身安装包被修改，安装时校验也会失败，故报毒也算一种出于自身的保护

启发式防御肯定比我所知的要多得多。根据我直观的感受，网购木马的拦截算是一个比较好的例子

这里的启发式个人感觉还是很模糊。也许是本地对样本的鉴定有个初步的分析，最终要把这些初步的”取证式“文件信息还要提交云端具体分类、行为拦截。

显示全部楼层 · 发表于 2011-11-6 11:00:48

qwe12301 发表于 2011-11-6 10:53
不管是否自己安装包还是别的程序，加入垃圾代码段肯定不正常。这是原理决定了它的检测
同样，自身安装 ...

本地分析/拦截了行为后，还是要云，分明是另一种形式的云主防，宣传中却全然贬低了云主防。

具体效果要不你用实测来证明给大家看才是真道理

显示全部楼层 · 发表于 2011-11-6 11:07:19

leisong 发表于 2011-11-6 11:00
本地分析/拦截了行为后，还是要云，分明是另一种形式的云主防，宣传中却全然贬低了云主防。

具体效果要 ...

嗯，有时间我测测看。

显示全部楼层 · 发表于 2011-11-6 11:51:04

qwe12301 发表于 2011-11-6 11:07
嗯，有时间我测测看。

不是说这期科普中会有脉冲云地虚连接的解释么、、、怎么没有看到

显示全部楼层 · 发表于 2011-11-6 12:42:00

本帖最后由 yhys 于 2011-11-6 12:44 编辑

leisong 发表于 2011-11-6 10:17
本地启发式防御是吧？完全不用云？
那好！敢不敢断网测试样本？如果效果很差是不是又一个名词创新？
...

首先1楼没说过不用云，其次上下文已经明确地说了这种技术是专门用来拦截对抗云查杀的样本，很明显把这个当作传统的本地启发是不合适的。
你要是人为去断网测试，结果恐怕就和某次关于永久连接的结果一样。

显示全部楼层 · 发表于 2011-11-6 14:02:45

就是文件启发式分析吧，和行为防护有关系吗？

显示全部楼层 · 发表于 2011-11-6 14:05:49

9楼很给力

显示全部楼层 · 发表于 2011-11-6 17:32:49

假装不单纯发表于 2011-11-6 11:51
不是说这期科普中会有脉冲云地虚连接的解释么、、、怎么没有看到

肯定是分批发帖的。

[金山] 金山毒霸 K+ 2.0 揭秘 （二）：进程行为之启发式防御

[金山] 金山毒霸 K+ 2.0 揭秘（二）：进程行为之启发式防御