这句话什么意思，微点引擎报壳？

陈识宇

虚拟机的脱壳和一般所说的报壳，不是一回事。

微点主动防御——它首先是防御（软件），这种防御又是主动性的——行为判断，有可能防御未知病毒。所以不需要脱壳。病毒是否加壳，对于它来说是不关紧要的。加壳的病毒，必须自己脱壳，才能有行为。

微点2.0版，加入了特征码防杀功能。特征码的扫描，要在扫描中识别加壳病毒，就牵涉到脱壳问题。严格说来，虚拟机的脱壳查杀方式和通常所说报壳不是一个概念。

liningaigo

陈识宇 发表于 2012-6-7 19:04
虚拟机的脱壳和一般所说的报壳，不是一回事。

微点主动防御——它首先是防御（软件），这种防御又是主动 ...

我就是想知道，微点引擎除了虚拟机启发外，是否还有报壳元素。（嗯，你说得对，虚拟机就是用来对付壳的）

陈识宇

liningaigo 发表于 2012-6-7 19:10
我就是想知道，微点引擎除了虚拟机启发外，是否还有报壳元素。（嗯，你说得对，虚拟机就是用来对付壳的）

这个不清楚。
不过，从微点所报病毒情况来看，似乎没有“报壳”行为。

报壳的杀软，可以因此而提高查杀率；同时，又可能提高误报率。微点好像没有这样做

liningaigo

陈识宇 发表于 2012-6-7 19:15
这个不清楚。
不过，从微点所报病毒情况来看，似乎没有“报壳”行为。

因为我看到介绍上说，”对可疑文件的性质进行模糊识别“，所以，就产生疑问。

陈识宇

对可疑文件的性质进行模糊识别，提取其重要特性，并结合虚拟机启发式技术，准确识别病毒文件
——这句话的意思已经表明，微点不是见壳就报（威胁）；它不需要这样做，它还有行为防御

陈识宇

liningaigo 发表于 2012-6-7 19:17
因为我看到介绍上说，”对可疑文件的性质进行模糊识别“，所以，就产生疑问。

模糊识别——可以说就是启发式，或者就是被某说成的智能判断，也比报壳多了一些判断和根据

liningaigo

陈识宇 发表于 2012-6-7 19:23
模糊识别——可以说就是启发式，或者就是被某说成的智能判断，也比报壳多了一些判断和根据

能不能说是 广谱静态？或者叫 特征码的相似程度？

陈识宇

liningaigo 发表于 2012-6-7 19:25
能不能说是 广谱静态？或者叫 特征码的相似程度？

严格定义——我不清楚。
特征码的相似程度——启发式有可能发现未知病毒，但是未知病毒又迟早要成为已知，有特征码。好像可以这样理解——效果相似。

liningaigo

陈识宇 发表于 2012-6-7 19:35
严格定义——我不清楚。
特征码的相似程度——启发式有可能发现未知病毒，但是未知病毒又迟早要成为已知 ...

谢谢解答。

陈识宇

liningaigo 发表于 2012-6-7 19:36
谢谢解答。

广义地说来，报壳，也是某种启发式。启发式，未必没有报壳的范畴的因素。

不算解答，应该是讨论