关于最近fs区实机测试病毒的问题

残缺的唯美

fs主防占资源的问题 这个无从考证。。。。全面？ 没发现 但是还是不错的 确实只能一些 容易判断

我记得fs的启发确实是在运行过程中使用 但是不可否认  打开大点的exe安装文件的时候 fs会很卡

lastnight

关于启发杀毒:
启发式杀毒

　　病毒和正常程序的区别可以体现在许多方面，比较常见的如：通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则没有会这样做的，通常它最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。

　　启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如，如果一段程序以如下序列开始：MOV AH ,5/INT,13h，即调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互性输入继续进行的操作指令时，就可以有把握地认为这是一个病毒或恶意破坏的程序。

　　启发式杀毒代表着未来反病毒技术发展的必然趋势，具备某种人工智能特点的反毒技术，向我们展示了一种通用的、不需升级(较省需要升级或不依赖于升级)的病毒检测技术和产品的可能性。由于诸多传统技术无法企及的强大优势，必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解)，已能达到80%以上的病毒检出率， 而其误报率极易控制在0.1%之下，这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说，是不可想象的，一次质的飞跃。在新病毒，新变种层出不穷，病毒数量不断激增的今天，这种新技术的产生和应用更具有特殊的重要意义。

---------------------------------------------------------------------------------
简单来说启发式杀毒就是对程序反编译后,对执行语句的检查, 如果运行了就属于行为杀毒范畴

残缺的唯美

但是fs就不是。。。。当你运行病毒的时候  他就会提示可能是xxxx  启发式的报法。。。 扫描是扫描不到的 fs4个引擎是在不同的情况下 才会不同的调用。。一般只运行1个  还有 你的启发式说法很老了吧

水琥珀

还是不要以身试读的好

lastnight

原帖由 za1012 于 2007-12-13 11:06 发表
但是fs就不是。。。。当你运行病毒的时候  他就会提示可能是xxxx  启发式的报法。。。 扫描是扫描不到的 fs4个引擎是在不同的情况下 才会不同的调用。。一般只运行1个  还有 你的启发式说法很老了吧

可能是XXX,那只是对未知病毒的说法,你总不能把未知的写成肯定是XXX吧. 启发式也不能说成猜测式吧-..-

启发式还有最新说法?把行为判断归为启发式?

残缺的唯美

我只是说 有些报发是fs的启发式引擎报的 并不是avp。。。。 我的意思是说 当你运行程序的时候 启发式引擎才会扫描  那如果不是 那你说fs的启发式引擎什么时候才能上场？

lastnight

启发引擎在病毒运行之前登场

启发和行为HIPS的最大区别:病毒是否真实运行
启发是在虚拟机内取一段代码运行分析(只在内存执行),相当于在VMWARE里面装个一个系统让病毒运行一下,只是非常小,执行效率也非常高,并且无论运行结果好坏,都不会影响到真实的环境.因为环境是虚拟的,因此也有些病毒作了虚拟机侦测,一但侦测到就隐匿不发作,产生启发的免杀.

行为HIPS是在真实环境中运行,分3D监控和SANDBOX(沙盘),沙盘就是在真实的环境中隔离出一个地方让病毒运行,因为环境是真实的,对启发免杀的病毒也不能在这里隐匿,一但运行就可以被监控.监控的结果分2种处理,一种是传统的HIPS全手动操作,是不是病毒自己判断(比如SSM,EQ等);另一种是智能型HIPS(比如微点,TF),根据行为特征码来分析程序是否病毒,FS的HIPS就是属于智能型的(引擎),这点大家用起来会感到非常方便. 由于是在真实的环境里面运行,SANDBOX沙盘的坏处就是病毒会有可能穿透感染其它地方.