我想对 展眉痴尘 的文章发表个问题

XANADU

原帖由 EQ2 于 2008-1-29 20:42 发表
AV-TEST没有公布杀软的设置以及版本。。。。。如果没有开nod32的高级启发来测试我也就不说什么了。。。。。IBK也说过怀疑没有开启nod32的高启发。。。

怀疑没开。。。。
如果开了呢？
你可以致信官方问问，如果开了，那问题就大了

cici584522

原帖由 hj5abc 于 2008-1-29 20:52 发表
你的前提应该是nod 原本报未知 ,免杀后过nod ...

不管广谱是不是启发 ,eset终究把它加入启发的行列中 ..

飘走..

原本报已知。。。。。 纯版黑防无壳鸽子。。

solcroft

原帖由 cici584522 于 2008-1-29 22:19 发表
启发式我认为就是一个广铺特征。。不是什么根据行为来判断

通过修改特征。。同样达到免杀目的

因为主动防御等于行为判断只有你自己一个人在说而已
主动防御这个词果然被微点炒得过头了，当作自己是什么世界创新似的...

cici584522

那启发式就算什么。。。光从现在的杀软来看。。启发式不过是个广铺的特征扫描

XANADU

卡7的HIPS，中文译作“主动防御”
卡7的主防，就是行为判断

[ 本帖最后由 XANADU 于 2008-1-29 21:02 编辑 ]

cici584522

原帖由 XANADU 于 2008-1-29 20:59 发表
卡7的HIPS，中文译作“主动防御”

卡巴的默认基本设置的主动防御可以被称为主动。。

而注册表防御才算是HIPS的RD

leonfg

原帖由 XANADU 于 2008-1-29 20:32 发表
最应改进的是查杀率和病毒处理速度。。。。。。。。。
主次不分。。。。。。。。。

处理速度快不等于有报必回，有报必加。退一步来讲，按你说的，低病毒处理速度的ESET为什么还有这么多拥护者？假如你是杀软的开发者，你会允许处理速度跟不上吗？可以想象，ESET的优先级式处理方式是在长时间实践中得到验证，足够保证安全性的。其实也有很多大厂处理速度也不能让你满意，想想咖啡，想想铁克......   其实“勤奋流”不一定有必要。
查杀率高不等于高误报。实际生活中不中毒或很少中毒，就是查杀率高了。用那些误报多的杀软，样本区倒是很爽，一查一个准，可是这种剑走偏锋的做法，作为普通用户难免手忙脚轮不知所措。就算是我们玩杀软的，在现实中遇到报毒你也得考虑考虑究竟是不是真毒，这种情况下不像样本区测毒那么简单的。这样用下去累不累？有没有必要？

taiw_1144

原帖由 solcroft 于 2008-1-29 20:58 发表

因为主动防御等于行为判断只有你自己一个人在说而已
主动防御这个词果然被微点炒得过头了，当作自己是什么世界创新似的...

貌似现在不是微点一个在炒，卡巴、瑞星、江民等都有了主动防御模块，微点的行为分析技术在05年的确是首创，其效果在样本区也看得到！！！

cici584522

原帖由 leonfg 于 2008-1-29 21:04 发表

处理速度快不等于有报必回，有报必加。退一步来讲，按你说的，低病毒处理速度的ESET为什么还有这么多拥护者？假如你是杀软的开发者，你会允许处理速度跟不上吗？可以想象，ESET的优先级式处理方式是在长时间实践中 ...

说实话。。你的话有道理。。。

意思是否可以理解为。。NOD32是全局考虑。。。小部分人中了一些个人修改免杀的马。。一般就不管了。。

只为全局考虑。。大部分人不中毒就OK？

就是说。。一般只把流行比较广泛的新病毒或变种入库。。 而传播的少的变种，一般就不入库了

[ 本帖最后由 cici584522 于 2008-1-29 21:08 编辑 ]

solcroft

原帖由 cici584522 于 2008-1-29 22:29 发表
那启发式就算什么。。。光从现在的杀软来看。。启发式不过是个广铺的特征扫描

启发式算是主动防御的一种
启发式又分多种
static/dynamic heuristics的差别你也应该知道，这里就不多说了，其中的虚拟机启发是把文件执行后观察其行为，和微点这一类的行为拦截大同小异，差别是一个在虚拟机里运行，一个在实机
而虚拟机启发的免杀，大多半都是探测虚拟环境或加入让文件无法被虚拟运行的代码（因为虚拟机不是实机，不可能把环境模拟得完全一样）

话说回来，凡是想辨别病毒的程序一概都得使用黑名单特征码，杀软用的是针对病毒代码的特征码，行为拦截用的是针对病毒行为的特征码