金山的数据流杀毒是什么东西

bobshi

如题

krea

不清楚...忘知道的解答下

红心王子

数据流杀毒是针对磁盘属于NTFS格式的分区的一种，对于NTFS磁盘
格式扫描有一定的针对性，对FAT16或是32就没有了，一般对于NTFS格式中
隐藏病毒文件的扫描和识别有一定的效果
金山的数据流杀毒看来不是吹吹出来的


更多请参考这个链接：http://zhidao.baidu.com/question/24337888.html?si=4

[ 本帖最后由 红心王子 于 2007-8-30 12:09 编辑 ]

FBAV

楼上误解。
按金山的说法，数据流查杀类似于行为监控。
给您举一个例子，比如说 ViKing 病毒先向系统目录写入Logo_1.exe……
金山的监控一旦监视到写入Logo_1.exe 就会深入、报告
属于类主动防御，也可以说是真正的内存数据监视。
                          金山的工程师告诉我的

[ 本帖最后由 FBAV 于 2007-8-30 12:15 编辑 ]

supperliu

3楼对金山的数据流杀毒理解错误了~~
金山的数据流跟硬盘NTFS数据流是两个概念。
下面是数据流的正确解释：

数据流引擎的杀毒原理：就是针对某一种病毒来说，不论它再怎么加壳，再怎么修改病毒特征码，但他的病毒发作机理都是相同，破坏电脑的方式也是相同的，因此，金山就是针对这种病毒的相同点，在病毒发作前在内存截获，然后清除！换句话说：即便是用“蓝芯”引擎脱不了壳的病毒，当病毒运行，一进入内存也会立刻被数据流引擎截获，清除！

看完上面的解释，那些喜欢在样本区转悠的兄弟，可能也就清楚了在样本区测试金山的时候，有时用金山直接查却查不出，但是一运行病毒，金山监控都可以准确查出的原因了吧！

PS：金山的数据流杀毒目前还在发展和成熟阶段，所以，还不是很完善。但是，总的来说，还是很看好这项技术！

[ 本帖最后由 supperliu 于 2007-8-30 12:43 编辑 ]

FBAV

楼上正解
LS指的楼上是3层吧……

supperliu

下面引用金山官方对数据流的解释：

……金山采用的数据流则更大胆，直接分析病毒运行过程中生成的数据流特征。在病毒程序运行时，首先会自行脱壳，从而暴露出程序原始特征，在病毒原始代码现身后，杀毒引擎会及时做出响应，将病毒程序清除，这种方式避免了虚拟机需要的资源开销，内存耗损。此外，数据流杀毒技术还具有逆向检测原始加壳带毒文件的能力。比如，病毒A是一个加壳病毒，脱壳后生成病毒B，那么只要能够清除病毒B，就可以清除与A具有相同特征的加壳病毒C，而无论C脱壳后生成的是病毒D还是F。对于静态病毒文件，由于不产生数据流，对系统不具有破坏威胁，采用数据流杀毒技术将不会被检测到…

luckyjoy

楼上的楼上说的目前2007不能实现
加壳的灰鸽子只能通过手动扫描才能发现
这说明，目前的数据流技术只是一个摆设而已，发扬光大要看2008的“数据流智能防御”（估计是这么叫的）

FBAV

拜托都别“楼上”了
乱了……

bobshi

受益匪浅