Comodo的Defdnse+为什么能在程序运行前就能判断它是否可能是病毒？

equaliser

最近才开始用Comodo，发现它的Defdnse+即HIPS模块和以前的HIPS如TINY.SSM等有一个不同点，就是其有一定的智能化，类似于微点或ThreatFire。

比如今天样本区的帖子http://bbs.kafan.cn/viewthread.php?tid=173432&extra=page%3D1

这个样本过了FS的扫描，但是双击后等待用户是否让其执行时候，Comodo的Defdnse+就提示其有可能是malware。

问题是程序在执行前Defdnse+是如何就能判断出来的。微点在面对未知病毒也只能在执行后分析其动作来判断其是否有害。这种执行前判断类似于FS的沙盘，看来大公司的产品确实有一定的过人之处。

axdr2100

帮你顶贴，我也想知道答案~~

ubuntu

这个没有技术细节，并且是最近，只有正式版才有，以往的测试版没有。
可以看到的一点点信息，指向恶意行为启发式侦测。
具体如何启发(静态、动态、虚拟机、Sandbox)，有空帮你问问，不知道他们会不会透露。

吃佛念斋

算不算技术机密？

solcroft

文件名判断？

夏春秋

可以让楼主改个文件名试试是文件名判断吗

solcroft

可能也不只是单靠文件名
Comodo大量依赖白名单，导致安装程序涨成30多mb。Comodo这么判断很有可能是多因素的，白名单或则其他也可能是其他的原因
能断定的是绝对不是看行为，还未执行的程序不可能有什么行为来让你分析

夏春秋

现在安装文件只有9M多了

[ 本帖最后由 rushmore 于 2007-12-20 19:20 编辑 ]

equaliser

和文件名没有关系，和MD5也没有太大关系，也许是提前扫描程序的某些特殊构造比如加壳