吐槽下~红伞和旋风＆迅雷～老生常谈了～～

blacksaussage

yc513847 发表于 2012-12-11 22:09
我个人倒觉得不是争抢LSP的问题。据我所知，开了WG组件，在进某些网站的时候，你也会发现排版完全是混乱了， ...

两个启发式工作的性质不一样 ESET是代码启发 红伞是行为启发 安全性上来讲行为启发更加靠谱

yc513847

blacksaussage 发表于 2012-12-13 08:28
两个启发式工作的性质不一样 ESET是代码启发 红伞是行为启发 安全性上来讲行为启发更加靠谱

听过静态启发，动态启发，还真没听过红伞是行为启发。行为启发似乎是类HIPS的吧？据我所知，小红伞的HIPS似乎一直不怎么样吧。行为启发应该说的是，卡巴、FS、骚护士吧？

w905766

老生常谈了哇

chen月

等官方更新解决吧

独孤，不败

开了小红伞web  迅雷直接没网速

blacksaussage

yc513847 发表于 2012-12-13 12:40
听过静态启发，动态启发，还真没听过红伞是行为启发。行为启发似乎是类HIPS的吧？据我所知，小红伞的HIPS ...

红伞官方给与的启发解释是：
The new AntiVir heuristics AHeAD from Avira recognises unknown malware proactively, in other words before a special virus signature is created against the parasite and a virus protection update then sent. To achieve this, Avira uses new, innovative structure analyses: On the basis of the composition of a file, the sequence of significant code sequences or based on particular behaviour patterns, the heuristics can determine with a very high probability whether it is dealing with a harmful or virulent file. If the alarm is raised, the virus protection software offers the choice of taking the potentially virally infected file into quarantine or deleting it from the computer.
（来自于Avira的新的红伞启发AHeAD技术可以提前查杀恶意程序,换句话说，一个病毒保护更新传送之前创造一个专门对付病毒的病毒数据以保护.为了达到这个,Avira使用革新的结构分析技术:以文件的成分为基础、重要代码序列的次序或者基于详细的行为模式,本启发可以很高侦测概率下决定是否处理该有害的甚至致命的的文件。如果警报响起，病毒保护软件提供对潜在的感染文件放入隔离区或者是从电脑上删除的选项。）

blacksaussage

yc513847 发表于 2012-12-13 12:40
听过静态启发，动态启发，还真没听过红伞是行为启发。行为启发似乎是类HIPS的吧？据我所知，小红伞的HIPS ...

行为启发其实avast也有
行为启发和HIPS完全不是一个东西
HIPS是主机入侵防御系统
行为启发是虚拟技术
相当于在虚拟机或者沙箱中打开这个文件判断他是否有恶意行为

yc513847

blacksaussage 发表于 2012-12-14 18:05
行为启发其实avast也有
行为启发和HIPS完全不是一个东西
HIPS是主机入侵防御系统

请注意一点，启发式从严格意义来说，只有静态启发和动态启发。红伞的启发还是比较依赖病毒库的，从官方经常整理特征码进行更新gen、HEUR就可以看出来，每隔一段时间，会对特征码进行更新，从而加入新的gen之中，所以说，红伞从某种意义上来说，还是属于静态启发。
而动态启发，则包括了启发式扫描技术，行为检测技术，虚拟机技术等。小A采用的是代码模拟技术，这没得说；而行为检测技术和虚拟机技术的代表则不得不说BD的B-HAVE （Behavioral Heuristic Analyzer in Virtual Environments)，虚拟环境中行为启发式分析，结合了两者的技术，而这实际上也大致接近用户的真实系统环境了，基本上可以算是巅峰了。据我所知红伞好像还没有这方面的技术吧？虽然官方每隔一段时间就会改进下引擎，更新下gen和heur，但是这从某种意义上来说，还是属于基于特征码的静态启发吧？

yc513847

blacksaussage 发表于 2012-12-14 18:05
行为启发其实avast也有
行为启发和HIPS完全不是一个东西
HIPS是主机入侵防御系统

可以参考下以下的帖子：
http://bbs.kafan.cn/thread-1007904-1-1.html
http://bbs.kafan.cn/thread-912301-1-1.html
http://bbs.kafan.cn/thread-1072941-1-1.html

blacksaussage

yc513847 发表于 2012-12-14 19:01
可以参考下以下的帖子：
http://bbs.kafan.cn/thread-1007904-1-1.html
http://bbs.kafan.cn/thread-91 ...

如果你用过BD你就知道bd引擎更新速度有多快了