AVG的IDP与FS的DG原理是否相同？哪个效果好？

ccc-a

1.DG原本是靠”虚拟启发+少数行为判断“，类似诺顿的sonar。最早还有诺曼的”沙盘“，但DG面世一年后就不再与诺曼合作了。
2.好像从去年开始，DG去掉了高启部分，将这个模块归于”实时监控“，DG则只剩纯粹的“行为判断”了。
3.今年最新的DG4感觉要就是FS公司太赖了；要就是DG4技术上还未完全成熟？？？去年底11月份就在家庭版上面世了的DG4到现在还没有应用到其FSCS企业版上。反正不知道是啥原因，让人的脖子都等弯啦
4.DG4据说也只是比DG3减少了误报，没啥改变，实在没道理现在还不出现在FSCS里了。

xuszdta

学习

追影子的十三

本来是想比较IDP和DG的，没想到大家用他俩和诺顿的sonar比较。感觉诺顿的sonar应该是这三者中最强的吧。
而且看情况好像是IDP最弱

ccc-a

本人只是说明其工作原理，别误会，也没有比较。本人较懒，就是FS关于DG原理那段也是平日“记事本”里存着，用时“粘贴”.“复制”来的了...

ccc-a

IPS类（手动HIPS或者云HIPS）：代表卡巴，360卫士,Comodo等
虚拟启发+少数行为判断:代表 诺顿sonar ,F-secure DeepGuard
多不判断+回滚：代表 微点 G data
另外，例如小红伞的基因查杀技术和ESET的高级启发式查杀技术都可以算在主动防御中，因为未入库。
---------这就是我“记事本”里存着的，扯点野棉花了，当个闲话看看...

追影子的十三

ccc-a 发表于 2012-3-11 21:37
IPS类（手动HIPS或者云HIPS）：代表卡巴，360卫士,Comodo等
虚拟启发+少数行为判断:代表 诺顿sonar ,F-se ...

之前用FS的时候感觉DG确实挺给力。
就是误报我的去广告的酷狗，而且还记不住规则

ccc-a

daixiaoran 发表于 2012-3-11 21:40
之前用FS的时候感觉DG确实挺给力。
就是误报我的去广告的酷狗，而且还记不住规则

1.DG4刚出来那阵有记不住规则的现象，后来据说，只是据FS官方说这现象没有了。但本人用的是DG3,因此不好判断DG4还有没有这问题？？？DG3相当成熟，没有帖子反映DG3也存在这一问题。
2.酷狗没用过，早过了追流行音乐的年龄，只偶尔用用QQ音乐，很偶尔。

360Tencent

无聊查了下

1.IDP：单纯行为分析。。。

http://www.avgsafe.com/anti_virus/IDP2262.html

AVG Identity Protection 是一个反恶意软件产品(IDP)，AVG Internet Security 产品家用或商用的IS版本均包含该组件。它保护计算机免受间谍软件、僵尸网络、以及以身份盗窃为目的的各种技术的恶意软件。它还提供了对类似于零时攻击（zero day ；0-day ）（所谓零时攻击指的是黑客以及不法分子利用尚未发布补丁刚发现的系统漏洞做出的病毒木马程序发起的攻击）的新病毒的防护。IDP检测应用程序的行为既行为分析主动防御，如果有发现可疑的行为（例如，当程序文件复制自身到系统文件夹，将自身数据写入到另一个文件中，并创建注册表项，收集重要数据，并保存到一个特定文件或上传他们到互联网...),你会得到通知。IDP组件没有任何恶意软件和病毒数据库的特征码更新，因此可以提供在特定情况下更高的防护性能

2.DeepGuard

DeepGuard 1.0=纯启发+虚拟环境行为分析；DeepGuard2.0=启发+虚拟环境行为分析+文件信誉;

http://www.f-secure.com/system/f ... _2.0_whitepaper.pdf

找了官网的白皮书，见4.3

1. The application file is scanned with the traditional signature based engines to
see if it contains a known threat. If a known malware is detected the file will
be blocked.
2. If scanning does not yield detection, DeepGuard 2.0 takes a snapshot of the
file and performs a Network Lookup to the F-Secure Real-time Protection
Network data centers. The query checks to see if the file has been identified
by the F-Secure Security Labs. If the file is known to be good or bad, the
proper action is taken automatically.
3. If the file is unknown to the Real-time Protection Network, DeepGuard 2.0
checks the file using its Gemini and Pegasus engines. The file is executed in
the sandbox (virtual environment) and the behavior of the application is
examined to determine if it should be allowed to run. Combined with Network
Lookups, DeepGuard 2.0 has the advantage of knowing that the application is
not a known good file. Unknown applications can therefore be treated with
more suspicion. DeepGuard 2.0 can consequently be more aggressive with  its behavioral analysis.

DeepGuard

第一步，当文件被执行时，先使用特征库扫描，吻合特征立刻拦截，未检测到有害暂时放过

第二步，将待定文件的有关信息上传至服务器进行云端比对，对已知的良好或有害文件，自动做出处理

第三步，还无法确定，则启动Gemini（启发引擎）和Pegasus (虚拟环境行为分析)进行观察

PS：FS 从2008年推出DeepGuard2.0开始已经逐渐引入文件信誉的理念，可见并不是只有某些人眼里的大厂商才有远见~

追影子的十三

ccc-a 发表于 2012-3-11 21:48
1.DG4刚出来那阵有记不住规则的现象，后来据说，只是据FS官方说这现象没有了。但本人用的是DG3,因此不好判 ...

DG3不管之前是否分析过，运行一次就分析一次。感觉应该会比较卡

ccc-a

daixiaoran 发表于 2012-3-11 21:50
DG3不管之前是否分析过，运行一次就分析一次。感觉应该会比较卡

http://bbs.kafan.cn/thread-1239280-1-1.html
------你说的是这个，不知道我的看法你认为如何？