问一个很弱智的问题

ZhangYF

启发式和主动防御的区别在哪里。。？
可能论坛老帖里有答案，但是太多了，我没找到= =！
麻烦有人可以用比较通俗易懂而又详细解释一下吗？
谢谢啦

luhaikongzy

这个问题我也没搞懂，还请大虾们解释一下。




刚才自己去GOOGLE搜索了一下，都是这篇内容：
智能主动防御可以有效防御针对未知的威胁及网络攻击;Bloodhound启发式扫描技术主要针对未知的病毒。这两种技术是可以并存的。



　　智能主动防御可以有效防御针对未知的威胁及网络攻击;Bloodhound启发式扫描技术主要针对未知的病毒。这两种技术是可以并存的。
　　智能主动防御的概念主要是用在防火墙上的，大家通常都认为，装了新的防火墙，大量没用的“垃圾”信息会一下子冒出来，问这个是否被允许、那个进程访问Internet、充当服务器等等，一天到晚的骚扰你。而较理想的现代防火墙会自动允许或拒绝对数以千计的已知程序的访问，但如果这些程序有了更新，防火墙就无法识别和自动处理了。即使是智能防火墙(如 ZoneAlarm Internet Security)也会提出令人难解困扰的问题，更不用说怎么回答了。
　　举个例子吧，诺顿的NIS2007采用的方法是让防火墙代替你来作评估程序，它会自动允许访问已知的正常程序并阻止已知的恶意程序。它会认真分析未知程序，如果这些程序会导致恶意行为，就会被阻止，反之就允许，而你不会看到任何一个确认弹出框。

[ 本帖最后由 luhaikongzy 于 2007-12-31 01:13 编辑 ]

xffsfy

EQ2一定会说启发也算主动防御

袋鼠吱吱

简单地说：

一般地，启发式都有用到虚拟机技术，让病毒体在虚拟环境下运行，根据一些行为判断其可疑程度，超过预定标准者，即判为可疑者，予以查杀或警告。这种技术用得过头，系统会卡，比如NOD32的高启发。启发式可以增加防毒软体对未知病毒的查杀率，有改善，但不如主防明显。一般像McAfee和NOD这样比较严谨的公司，启发式误报都不太多。

而主动防御的概念比较混乱，但前提都是行为阻断。但这时的行为拦截不发生在虚拟机环境下，而是直接运行在主机环境里，这是它和启发式不同的地方。根据智能程度又分：
1.McAfee及HIPS式：不断地提示，不断地见红，需要用户大量干预，但效果是极其明显的，安全系数在95%——100%，但非常麻烦。使用该模式的有McAfee，诸多HIPS，卡巴斯基，江民科技等。
2.TruPrevent式：熊猫公司引以为傲的主防，全球最智能的行为阻断技术，早Symantec等公司数年，熊猫秉着安装即忘的原则，就开发了这个功能。他无需用户干预，可以自动根据实际运行的程序所做的行为判断其是否可疑，如可疑，立刻在后台阻断该程序，并查杀该未知病毒。这种技术比较难掌握，是在安全和严谨之间走钢丝。往往是安全了不严谨（误报多），严谨了不安全（看看诺顿）。总体说来安全系数较低，我个人觉得大概就是70%--80%吧。使用该模式的有熊猫卫士，诺顿，赛门铁克Endpoint等。
3.趋势模式：我发现趋势科技的主防也有自己的特色。它属于事后诸葛亮，会提示用户有可疑行为，但不阻断，任其发生，客户如觉该行为确实可疑，可使用趋势恢复病毒所做的操作。我使用趋势的时间不长，但我恐怕这种恢复，未必能次次成功。再有，或许可疑行为中就包含有关闭趋势监控之类的项目，则后果。。。反正安全系数也不高。

启发式里还有一种静态启发，Proll说Symantec用的就是这个，但是我没理解他的意思。这种启发好像和病毒特征码还有关系。总之是最无效果最保守但最稳当的启发式。他说McAfee也是这种，我估计是瞎说，因为他现在还没体会到McAfee的NB之处，唉，可怜的人啊。McAfee应该使用了虚拟机技术。

[ 本帖最后由 袋鼠吱吱 于 2007-12-31 10:22 编辑 ]

ykz1991

启发式里还有一种静态启发，Proll说Symantec用的就是这个

还有avira的aHead

AAA001

学习了

fishx

启发老大是小伞和NOD32

Rd2Rome

看完之后还是很晕

lastnight

启发与主动的区别简单来说就是一个是虚拟运行,一个是真实运行

原帖由 fishx 于 2007-12-31 15:50 发表
启发老大是小伞和NOD32

没错，红伞和nod的启发是最厉害的