干吗锁帖呀。只想谈谈看法

XANADU

原帖由 酱小鱼 于 2008-1-29 22:17 发表


动态启发式分析器会将应用程序的程序码部分复制到反病毒程序的模拟缓冲区中，并使用特别的“技巧”模拟其执行。若在此“模拟执行”中检测到可疑的动作，该物件将归类为恶意物件，且该物件在电脑上执行时将遭封锁 ...

虚拟启发和沙盘相比？

继续孤陋寡闻ing………………

酱小鱼

原帖由 XANADU 于 2008-1-29 22:18 发表
改特征可以过主防，头一次听说。。。

HIPS没特征库怎么办？那不是可以随便过 ？

偶孤陋寡闻了。。。。。

呵呵,虚拟机启发,如同在沙盘中以身试毒,以该程序的行为来判断是否为恶意程序,只不过判断的人换成了杀软
改掉恶意代码,该程序没有恶意行为,那么也就不再是病毒了,你在沙盘中运行该程序一切正常,没有任何恶意行为,你还会认为这是病毒?,那么我要感觉改掉恶意代码的同学,他将一个病毒变成了良民

cici584522

原帖由 solcroft 于 2008-1-29 22:20 发表

Trojan.Generic，Worm.Generic和Invader都是比较常见的PDM报发
但我想说明的不是名字，而是修改代码可以过PDM
你不断说修改代码过启发，所以启发靠特征码，那请问修改代码过PDM，是不是也说明PDM靠特征码？
你还 ...

也是靠特征呀。。怎么了。。我难道有说卡巴的启发式不是靠特征？？？

我只说卡巴的主防不是靠特征

重申一次。我理解的主防里面没有启发式这个定义。。只有行为判断

solcroft

我晕
拜托你看清楚我的帖子
不要一直装傻了
别人或许可以，你来耍这个把戏可行不通

woai_jolin

http://www.kaspersky.com.cn/KL-AboutUs/news2006/12n/061204.htm
主动防御技术概论

        当代反病毒产品使用两种主要方法检测恶意程序码——以病毒码为基准的分析，与主动防御/探索式分析。第一种方法相当简单，将使用者电脑上的物件与已知病毒的范本（例如病毒码）作比较。此种技术牵涉到新型恶意程序的持续追踪，并根据其性质建档，包含于病毒码资料库中。因此，反病毒公司应拥有追踪及分析恶意程序码的有效服务（亦即反病毒实验室）。评估病毒码方法有效程度的主要标准，包括新威胁的回应时间、更新频率及检测率。

        以病毒码为基准的方法有几项明显的缺点。主要的缺点就是在应对新威胁上会出现延迟。病毒的出现与病毒码释出之间，必定存在有延迟时间。而当代的病毒可以在非常短的时间内感染数百万台电脑。

        因此，主动防御/探索式的病毒检测方法逐渐普及。主动防御方法不需要释出病毒码。相对的，反病毒程序会分析扫描到的物件程序码，及/或启动的应用程序行为，并根据预先设定的规则，判定软件是否为恶意软件。

        理论上，此种技术可用于检测未知的恶意程序，因此许多反病毒软件开发者争先恐后的宣传主动防御方法是对付新型恶意软件的万灵丹。但事实不然。如果要评估主动防御方法的有效程度，以及其是否可独立于以病毒码为基准的方法之外单独使用，我们必须先了解主动防御技术所根据的原理。

        主动防御可通过数种方法达成。在此我们将探讨其中两种最普遍的方式：启发式分析器与行为拦截工具。

启发式分析

酱小鱼

原帖由 cici584522 于 2008-1-29 22:22 发表



也是靠特征呀。。怎么了。。我难道有说卡巴的启发式不是靠特征？？？

我只说卡巴的主防不是靠特征

重申一次。我理解的主防里面没有启发式这个定义。。只有行为判断

....看来楼主是否定所有杀软的启发式杀毒了,原来主动防御就只有行为判断的HIPS了...
全世界公认的主动防御里是包括启发式查毒的.我不清楚楼主是怎么理解的

[ 本帖最后由 酱小鱼 于 2008-1-29 22:25 编辑 ]

The EQs

LZ是病毒分析师？是尤金？是IC？是Anton？是Peter？

hj5abc

难道BD报 Behaveslike ..也是靠特征 ?!   哎.

XANADU

原帖由 solcroft 于 2008-1-29 22:20 发表

Trojan.Generic，Worm.Generic和Invader都是比较常见的PDM报发
但我想说明的不是名字，而是修改代码可以过PDM
你不断说修改代码过启发，所以启发靠特征码，那请问修改代码过PDM，是不是也说明PDM靠特征码？
你还 ...

我看明白了，您把PDM等同于卡巴主防
你使用过卡巴没？
这样吧，你拿已知木马改个特征过一下卡巴的注册表防护和程序完整性保护。。。。

The EQs

估计LZ会说完全是瞎猫碰上死耗子