杀毒软件的主动防御是怎么样工作的？(已解决）

nsjlill

杀毒软件主动防御是怎么样查出未知病毒的呢？
那些杀毒软件在这方面比较突出？小红伞的启发式扫描是不是就是主动防御的一种？

atf999

卡吧就有主防 还不错 可以捡得出未知病毒 但不能杀    我什么都没开它就报 把缓存清了还报 用了很多杀软都没查出来问T来红伞 助手 A2 都没杀出来 天天报 很烦

870097067

主防有些是根据这个样本的动作来判断，有些是虚拟机自行观察一个软件的动作，有些事行为判断。大概是这样，我也不是很了解哦

lbb9432

主动防御是基于程序行为自主分析判断的实时防护技术，不以病毒的特征码作为判断病毒的依据，而是从最原始的病毒定义出发，直接将程序的行为作为判断病毒的依据。主动防御是用软件自动实现了反病毒工程师分析判断病毒的过程，解决了传统安全软件无法防御未知恶意软件的弊端，从技术上实现了对木马和病毒的主动防御。

直接抄过来的  行为分析

lbb9432

atf999 发表于 2012-6-7 14:30
卡吧就有主防 还不错 可以捡得出未知病毒 但不能杀    我什么都没开它就报 把缓存清了还报 用了很多杀软都没 ...

什么程序触发的这个警报？

塔影青玄

那个不一定是病毒啊，可能是由敏感行为的软件。

atf999

lbb9432 发表于 2012-6-7 16:41
什么程序触发的这个警报？

我就是不知到呀 有天早上 我起来什么都没开就是在凤凰网上看新文 连QQ都没开 就出来这中警报 我的是XP SP3  专业版 装了KIS2012  A2   360卫4就这样  现在KIS卸了 装的伞S版 还是查不出来 天天都有烦死了 希忘那个大神能帮我1下呀 小第在此先谢了

lbb9432

atf999 发表于 2012-6-7 17:26
我就是不知到呀 有天早上 我起来什么都没开就是在凤凰网上看新文 连QQ都没开 就出来这中警报 我的是XP SP ...

A2？   不会是杀毒软件冲突了吧？  你看下日志，没说是那个文件有问题吗？

tomochan

主动防御说白了就是一种比较智能的HIPS
传统杀软都是靠病毒特征码入库后，根据特征码进行病毒查杀的
所以要发现病毒---上报厂商---更新病毒库---杀软才能查杀

而带有主防的杀软，不用根据其病毒特征码进行查杀，而是根据软件行为自主进行判断是否是恶意软件
当该软件有恶意行为时（比如修改关键注册表，结束杀软进程，删除系统关键文件等），杀软的主动防御可实时拦截行为并报告给用户，这种拦截不需要病毒特征码的更新

红伞和ESET的启发式，说白了是传统病毒码的一种创新，这种启发式也可以发现部分没有入库的未知病毒，但原理并不是基于行为。故并不是主防的一部分。红伞和ESET的主防刚刚起步，目前很不成熟。

主防比较突出的杀软
卡巴斯基（还是偏HIPS一点，大多用户自己判断行为）
比特范德（主防很优秀，但调至高时，误报慢多的）
A2的反病毒（集成的是智能HIPS马马屠）
GDATA（主防是自己的技术，带有智能回滚，主防略逊于以上几款）
FS（主防是自己的技术，本人并不了解，貌似强度不大）
AVG（收购的IDP，可以一定程度上阻止未知病毒）
诺顿（典型的sonar云主防，需联网才能发挥最大作用）
微点（国产优秀主动防御软件，结合多步分析自动给出结果，个人认为用户体验很好）

此外
comodo，output等专业防火墙都带有HIPS，尤其是comodo现在默认规则弹窗也不多了，用这种HIPS软件也是一种不错选择

freewind20

楼上的分析比较好，不知熟悉我现在所用的sophos不？呵呵