帮我解释一下这些名词

zwl2828

自己在学习中

hj5abc

lz里面好像有重复的..

我也来YY一下 :

全集 = 前摄防御 = 广义的主动防御 = Proactive defense 包括子集:

1,启发式;
2.沙盘分析;
3,行为拦截( hips ) = 狭义的主动防御;

ps.平时说的AV中的沙盘其实是 sandbox analyzer  , norman中称为沙箱诱捕 ,因为AV直接判断是否为是否为可疑 是否为malware.

其中 : 虚拟机是启发式或沙盘分析的工具 (但启发式不一定需要虚拟机) 为X86虚拟机 用来脱壳 or 模拟一段代码 ;
          启发分 : 1, 静态启发(static heuristics)  2,动态启发(dynamic heuristics)
         其中静态为纯代码分析 , 动态启发 = 加入虚拟机的分析.

另 , 广谱 = 基因 = generic signature .

yy完毕.

coolon

广谱病毒特征码
目前，国际上已有数万种病毒，但是变种占了一半多。把变种相似的分类，分几个、几十个、几百个一组找出它们共有的特殊代码，我们称为广谱病毒特征码，这不就是可用几组、几十组简单的广谱特征码就可查出几百个、几千个老病毒和新病毒,再如磁盘引导区有512个字节，感染这地方的病毒有千百种，可我们只用不到十个字节的广谱病毒特征码，就可以查出几十个、几百个引导区病毒

zwl2828

原帖由 hj5abc 于 2008-2-9 20:59 发表
lz里面好像有重复的..

我也来YY一下 :

全集 = 前摄防御 = 广义的主动防御 = Proactive defense 包括子集:

1,启发式;
2.沙盘分析;
3,行为拦截( hips ) = 狭义的主动防御;

ps.平时说的AV中的沙盘 ...

说的不错！谢谢，什么叫YY？

woai_jolin

原帖由 dd2006 于 2008-2-8 11:42 发表
沙盘的介绍可以看这里
http://bbs.kafan.cn/viewthread.php?tid=186180&extra=page%3D1

这个和杀软中的sandbox根本就占不上边
杀软中的sandbox可以分析出可执行文件是否有恶意行为 也就是sandbox诱捕
而HIPS的sandbox就是提供一个虚拟沙箱而已

补充一句杀软中拥有最好的sandbox技术是norman
7.0更是运用的出神入化
缺点 不能运用在文件监控中
会影响扫描速度 只针对可执行文件
优点 sandbox分析出的病毒 几乎就可以确认了
对未知危象可执行文件 有很好的防御作用
可以anti-0day

关于启发LZ可以看看nod的启发白皮书

[ 本帖最后由 woai_jolin 于 2008-2-10 09:57 编辑 ]

zhenzhu128

呵呵 看了这么多还是不太懂