目前基因查杀以红伞和NOD32最厉害

绅博周幸

RT，红伞整天就看见XXX.gen， NOD32就是可能是XXXX木马的变种。启发方面红伞HEUR/MALWARE,还有壳的结构探测。NOD32是可能是未查明的病毒。

除了NOD32和红伞基因查杀比较厉害外，国产的瑞星也多少有点（我就只看见过报鸽子）。据说卡巴8也将加入基因查杀，其实卡7里面也有了，就是不强。



个人感觉基因查杀并不是什么新技术，其实就是以前的广谱查杀，通过分析大量的病毒样本然后提取它们共同的特征后可查杀一类病毒。这个技术用好了可以大大提升侦测率，减轻病毒分析师的负担。这个技术的难点在于必须不断更新基因特征，因为病毒制造者即时做同一类病毒，但是肯定会对代码进行改动以躲避查杀，举例：同样是灰鸽子，以前用基因可以查杀2006版，但是2007版出来后用老的基因就效果不好了，必须再分析2007版的，提取新的基因代码才能有很好的效果。其实很多厂家都有用这个技术，但是由于无法做到一直更新基因代码，所以时间长了就没什么效果了。记得江民也在很早的时候（KV3000时代）就运用广谱查杀了，但是由于引擎年久失修，一年也更新不了几次，所以它那个广谱查杀基本可以无视了，由此可见基因（广谱查杀）技术真正用的好的没几家，目前就是NOD32和红伞最好。


总结：基因查杀技术的原理是通过分析大量病毒样本提取一类病毒的共同代码来防杀这类病毒，通常是提取关键代码。优点：提升侦测率，降低病毒分析师的压力。缺点：有误报的可能性。难点：必须不断更新基因代码，否则会使效果大打折扣。基因查杀代表杀软：红伞，ＮＯＤ３２。

绅博周幸

红伞和NOD32更新引擎很频繁，所以效果一直不错。国产的基本就是一个引擎用1年（说N年也不为过啊，基本都是换汤不换药的），人家做病毒的早就摸透你的特征码提取在哪里了。杀软一看病毒库，二看引擎。不断更新引擎才是王道，现在卡巴也开始注重对于引擎的改造更新了。国产的始终进步不大啊。一般黑客论坛里都知道卡巴和瑞星提取特征码的规律了，所以免杀特好做。 NOD32现在也提供特征码察看器了。所以引擎必须不断更新，否则就会跟不上形势的，特征码还是有它的缺陷的，病毒分析师在拼命也抵不过人海战术啊。

[ 本帖最后由 绅博周幸 于 2007-12-10 10:49 编辑 ]

jimmyleo

chow同學總是自我陶醉亞

不過antivir很多gen都是報黑名單的殼的……

saga3721

NOD有卡巴查杀强吗？还归为红伞基因查杀一类？好像鸡兔同笼了。

周杰伦

基因查杀还是有启发的杀软的比较好啊，没有启发式的杀软，查杀基因的效果非常差的

hahacomcn

不过有时候报基因也是有点莫名的感觉。

7even

学习了，
红伞和NOD32很值得信赖，
如果红伞能够像nod32一样较低的误报率，
如果nod32v3.0像红伞一样低的资源占用，
取长补短就好了，可是往往熊掌鱼肉不可兼得...

[ 本帖最后由 7even 于 2007-12-10 03:54 编辑 ]

jimmyleo

說到底 普通用戶 是不關心 報了什么的
不像我們 喜歡搗鼓下的
所以 報的確切不確切倒不是重點 關鍵是準不準

绅博周幸

原帖由 saga3721 于 2007-12-10 10:49 发表
NOD有卡巴查杀强吗？还归为红伞基因查杀一类？好像鸡兔同笼了。

NOD32能报出可能是XXX木马的一个变种难道不是基因查杀吗？只是换一种表达方式罢了。现在从样本区情况看NOD32 查杀效果和卡巴应该是伯仲之间。

jimmyleo

呵呵 是兩個流派的
記得 風野 說過一句 antivir是走勤奮流 nod是走技術流