干吗锁帖呀。只想谈谈看法

cici584522

原帖由 hj5abc 于 2008-1-29 22:14 发表
动态启发 = 监视下运行报 .....?

监视下运行静态下免杀的鸽子。。无任何反映

OK？

cici584522

原帖由 solcroft 于 2008-1-29 22:14 发表

我给你的解释和例子，你是不肯看，还是不敢看？

你说卡巴那个？？卡巴的主动好象不会给特征名吧？

你给的那个是启发报的吧？

启发在卡巴里也是扫描一类的

酱小鱼

原帖由 hj5abc 于 2008-1-29 22:14 发表
动态启发 = 监视下运行报 .....?

动态启发式分析器会将应用程序的程序码部分复制到反病毒程序的模拟缓冲区中，并使用特别的“技巧”模拟其执行。若在此“模拟执行”中检测到可疑的动作，该物件将归类为恶意物件，且该物件在电脑上执行时将遭封锁。

虚拟机启发,如同在沙盘中以身试毒,以该程序的行为来判断是否为恶意程序,只不过判断的人换成了杀软

hj5abc

我还是比较想看cici找了一个nod报 newheur_pe 去改,然后殷勤地献上报告...

cici584522

原帖由 酱小鱼 于 2008-1-29 22:17 发表


动态启发式分析器会将应用程序的程序码部分复制到反病毒程序的模拟缓冲区中，并使用特别的“技巧”模拟其执行。若在此“模拟执行”中检测到可疑的动作，该物件将归类为恶意物件，且该物件在电脑上执行时将遭封锁 ...

你还没回答我

XANADU

改特征可以过主防，头一次听说。。。

HIPS没特征库怎么办？那不是可以随便过 ？

偶孤陋寡闻了。。。。。

hj5abc

那个运行也可以报的... 对象是进程

cici584522

原帖由 XANADU 于 2008-1-29 22:18 发表
改特征可以过主防，头一次听说。。。

HIPS没特征库怎么办？那不是可以随便过 ？

偶孤陋寡闻了。。。。。

应该说.. 改特征不能过行为。。启发式算不算主防我也懒的评论。。反正改特征是能过启发的

solcroft

原帖由 cici584522 于 2008-1-29 23:46 发表
你说卡巴那个？？卡巴的主动好象不会给特征名吧？

Trojan.Generic，Worm.Generic和Invader都是比较常见的PDM报发
但我想说明的不是名字，而是修改代码可以过PDM
你不断说修改代码过启发，所以启发靠特征码，那请问修改代码过PDM，是不是也说明PDM靠特征码？
你还不明白的话，我就说清了吧：你的说法彻底错误

还有虚拟机启发和免杀原理，我也解释过两遍了
就只看你肯不肯看罢了

cici584522

原帖由 hj5abc 于 2008-1-29 22:19 发表
那个运行也可以报的... 对象是进程

我运行了没报。。。。