大蜘蛛被留侯整得很热，蜘蛛的主防究竟怎样呢？

Howl

蜘蛛重杀不重防

livlva

逍遥郁闷小仙 发表于 2011-12-15 15:46
蜘蛛证明：没有主防的杀一样也是好杀软

同意
也该蜘蛛火火了

留侯

我这两天，和创科贸易的工程师联系，也提及了这个主动防御的问题。由于国内对于主动防御的概念，因为各个厂商提出不同的观点，所以变得非常混乱，无法形成一个清晰的认识。就我的理解而言，广义的主动防御，包括启发式分析技术和其他侦测未知病毒的技术，就狭义的主动防御而言，则是HIPS（主机入侵防御体系）。Dr.Web具备前者，不具备后者，只有几个小功能。这中间的区别是：是否需要人机互动？

就针对未知病毒的侦测而言，Dr.Web除了使用反病毒特征码来进行检测之外，采用了两个方面来做到防护，一个是启发式分析技术；第二是Origins.Tracing技术，也就是非特征风险程序运算法则。

启发式分析技术大家都很清楚，就是提取病毒的特征码共同特点，或者是模拟病毒的运行机制，来做出启发式判断。Dr.Web和别的反病毒软件有一个非常大的区别是：Dr.Web反病毒数据库采用的是新型的基因码入库，一个特征码的添加，就可以侦测到十几个或者几十个同类型或者同一个家族的不同变种，再利用FLY—CODE全能解包器，能够对存在于打包压缩文件中的有害对象作出启发式判断。

提到Origins.Tracing技术，遗憾的是，由于这个技术是保密的，所以其真实的运作模式始终不得而知。港澳台代{过}{滤}理商的网站上注明：Origins.Tracing技术是大蜘蛛开发的尖端技术，用以侦测并非由电脑保安供应商注册使用的可疑代码。从字面意义上理解，这是从正常程序使用的运算代码入手，去找寻一些异常的运算代码，并对其中的可疑代码作出判断。同时说的通俗点，Origins.Tracing技术就是结合了程序（风险）行为分析的启发式算法，由于其不依赖于反病毒特征码，所以称之为非特征性风险程序运算法则。

Origins.Tracing技术和启发式分析技术，从一正一反两方面着手，来侦测未知病毒，所以Origins.Tracing技术，不仅大大缩小了反病毒特征码的数量，更是减少了启发式分析技术的误报。由于Origins.Tracing技术不依赖于特征码的支持，所以是对传统的反病毒特征码扫描的一个补充。

Origins.Tracing技术使得Dr.Web对病毒库未知病毒具有极高的侦测率。在多次新病毒流行使许多使用其它反毒软件的用户受害时，这项技术都显示了其强大的威力。

关于之前提到的Dr.Web主动防御模块，也就是需要人机互动的HIPS（主机入侵防御体系），目前具体情况，还尚未可知。这里有一个矛盾的地方：从年前提及的，大蜘蛛将阻止可以操作的选项，从SpIDer Guard移动到设置选项，再将防火墙组件单独独立开来，很明显是为主动防御作出调整。但是Dr.Web从6.0版本开始，从理念上，是采取一种静模式、傻瓜式的操作方式，也就是Dr.Web将自动判别病毒和威胁，不需要人机互动。

是继续静默方式自动处理威胁，还是采取人机互动，以及如何协调者两者方面，是否是走和防火墙一样的道路和理念，我想这需要Dr.Web研发部门的决定。毕竟，主动防御模块，的确是目前Dr.Web所需要的。

boxing

盛名远播的大蜘蛛竟然没有主防？

cafan

留侯 发表于 2011-12-16 13:09
我这两天，和创科贸易的工程师联系，也提及了这个主动防御的问题。由于国内对于主动防御的概念，因为各个厂 ...

留侯，我有个问题要请教，我用的大蜘蛛安卓手机版为什么病毒库升级后“病毒记录”也就是病毒库的数量有时增有时减？

一晴空

此主防非彼主防
只是mini-IPS

ckc

cafan 发表于 2011-12-17 23:14
留侯，我有个问题要请教，我用的大蜘蛛安卓手机版为什么病毒库升级后“病毒记录”也就是病毒库的数量有时 ...

不仅是手机版，桌面版也是一样的。大蜘蛛会对病毒库进行整理的，所以有时会有增加和精简

polythene

a13828565410 发表于 2011-12-14 20:37
蜘蛛没主防，只有自保

自保亮了

留侯

cafan 发表于 2011-12-17 23:14
留侯，我有个问题要请教，我用的大蜘蛛安卓手机版为什么病毒库升级后“病毒记录”也就是病毒库的数量有时 ...

对！ckc说的对，Dr.Web的反病毒数据库是以基因码入库的，将同一个家族的病毒，也就是病毒的不同变种，纳入一个反病毒特征码内，所以Dr.Web每周会整理和优化1-3次反病毒数据库。

另外，Dr.Web (R) Virus-Finding Engine的更新，亦能帮助精简反病毒数据库，这次Dr.Web (R) Virus-Finding Engine从5.0版本升级到7.0版本之后，反病毒数据库就从293XXXX，下降到了目前的245万。

cafan

留侯 发表于 2011-12-18 19:46
对！ckc说的对，Dr.Web的反病毒数据库是以基因码入库的，将同一个家族的病毒，也就是病毒的不同变种，纳入 ...

原来如此，多谢两位的热心解答