nod32的Threatsense引擎究竟属于动态启发还是静态启发？

马云波波波

记得曾听别人说过，eset的引擎属于动态启发，可坛子里的一位大神发的一个帖子让我产生了怀疑。以下是帖子内容：
所谓行为防御就两大块启发式和主动防御，我认为纯手动的HIPS（comodo的HIPS模块）应该算作安全工具，不应该算作安软。
先讲启发。启发分静态动态。
静态启发，就是安软的引擎通过简单的反编译读取程序指令来“预测”程序是否有恶意行为，在这个过程中程序是不运行的，实际上这是模拟了工程师分析病毒的过程，典型的就是ESET的启发引擎，需要说明的是，ESET的高级启发式并不是新技术，只是针对常用高级编程语言编写的程序优化过的反编译器，能更快，更准确的读出程序指令。这项技术已经很成熟了，检测率也很好，但也有不少绕过方式（花指令）。
动态启发，就是安软通过建立一个隔离的虚拟环境预先运行要扫描的程序几十毫秒。通过监控程序最初的几条或几十条指令来判断程序是否可疑（正常程序通常都会先调用图形API绘制界面等，但病毒通常直接开始写磁盘，注入其他进程）这项技术缺点很大，不仅占用大、误报严重、检测率还低（因为只要在病毒中加一个延时等100~200ms之后再运行恶意指令就可以完美避过），一般作为预判断手段（既先通过动态启发确认一个可疑程度来调整进行静态启发时引擎的敏感度），虽然各大安软的引擎基本都具备这个功能，但基本没有存在感。我认为这种技术可以看作主动防御的前身。
接着是主动防御，主动防御可以看作是有启发能力的HIPS，与启发式的的不同在于，拥有主动防御的安软可以在程序正常运行（不隔离）的情况下不间断地监视程序的行为，发现与启发特征库匹配的程序操作便终止该进程（ATC有些特殊它采用根据行为打分的方式来判断，超出一定分数便会终止），有不少安软的主防模块（SONAR，IDP，SW）还会在程序运行时记录下程序执行过的指令，发现其为恶意程序并终止后便按照记录逐一撤销程序的操作，这就是回滚能力。主防既有像静态启发一样检测未知病毒的能力，又很难被花指令所蒙骗（毕竟静态启发只能对程序进行简单的反编译不能读出程序中所有指令），但主防既要求安软能在程序运行过程中拦截程序的指令，又要在确认为恶意程序后有足够权限将其终止，实现难度要相比启发式要难得多，也不稳定的多。对于未知威胁，主动防御是目前最有效的手段。


PS：顺便说说HIPS，HIPS就是主机入侵防御系统的英文缩写，分注册表防护（RD，文件防护（FD），应用程序防护（AD）三块，在程序运行时拦截程序所有的行为并弹窗报告用户是否放行，一般可以通过预先设定规则来减少弹窗，增加易用性。实质上是一种把系统控制权完全交给用户的安全工具。其效果完全取决于使用者的技术水平，大神用这个可以裸奔毒网，小白用这个只能徒增烦恼。

请nod32区的大神专门普及一下，nod32的Threatsense引擎究竟是动态启发还是静态启发？

聆听落雨

   除了常规病毒特征码检测外，NOD32基于TS启发式引擎的检测技术还有2种。1、静态启发。静态启发这一块含有2种技术。第一种是基于病毒库中已有的特征码对比，并在静止状态下通过简单的反编译，核对病毒头静态指令来识别病毒。第二种就是基因码检测（国外的叫法），类似于国产杀软的广谱查杀技术。主要是从各病毒变种中找到一些相同的非连续的程序代码，制作出通用的家族启发规则，内置于NOD32中。一旦在对比中发现可疑文件含有的部分代码符合或接近此家族启发规则，就进行报毒。这对NOD32来说，还算是小儿科的。真正厉害的是它的动态启发。2、动态启发动态启发远比静态启发要先进和复杂很多。它辨别病毒的方法并非依靠任何特征数据库，而是在档案扫描时主动地拆解与分析档案的执行码，并使用虚拟机技术，给可疑文件构建一个虚拟仿真的运行环境，诱使它在杀软的模拟缓冲区中运行，如运行过程中检测到可疑的动作，则判定为危险程序并进行拦截。这种方法对加壳病毒依然有效，但如果控制得不好，会出现较多误报的情况。动态启发因为考虑资源占用的问题，因此目前只能使用比较保守的虚拟机技术。
　　我们常见的NOD32静态启发报毒，就是那些有“变种(variant)”、“可能（probably）”或带“Gen（Generic——基因启发）”字样的报法。而动态高启发报毒，则是以“未知的NewHeur_PE病毒”（probably unknown NewHeur_PE virus [7]）来标示的。在用户病毒扫描测试中，查杀率并不是很高。

ThreatSense.Net全球病毒预警系统

ThreatSense.Net类似于ESET的云安全，它可以将客户端的启发式引擎报警为未知NewHeur_PE病毒的样本，从后台遣送至ESET的病毒实验室，从而进一步深入指纹对比，并最终确认威胁的具体种类、名称和危害度等级。它是从NOD32 2.5就延续下来的功能，那时候很多厂商都没有云安全这个概念呢。可见ESET的技术和理念都是很有前瞻性的。通过TS.Net，用户可以将威胁的应对时间，从以往的数天降低至几小时甚至于几分钟以内，从而得到接近于零时差的保护。
　　ESET NOD32的优点如上述般多，但缺点也是并存的。它在开了高启发之后，对于某些加壳的文件进行模拟运行分析时，会不稳定。这样导致的结果是偶尔CPU会瞬时飙升很高，直观上就是电脑卡几下。不过，瑕不掩瑜，NOD32的启发侦测病毒率占全部侦测率的大部分，同时误报控制得极低，所以说，它终究高启发低误报的典范代表杀软之一。

马云波波波

聆听落雨 发表于 2016-3-11 21:50
除了常规病毒特征码检测外，NOD32基于TS启发式引擎的检测技术还有2种。1、静态启发。静态启发这一块含有 ...

看来nod32的引擎工作原理不同于小红伞

蓝天二号

马云波波波 发表于 2016-3-11 23:22
看来nod32的引擎工作原理不同于小红伞

当然不同的，德系杀软 好像是 注重杀重于防的概念！！

欧阳宣

你一定要分类，多半是两者皆有的

ccboxes

马云波波波 发表于 2016-3-11 23:22
看来nod32的引擎工作原理不同于小红伞

技术类型是一样的，只是实现手法大相径庭而已。静态+动态启发是现今主流引擎的标配。

812543572

涨姿势了虽说看不大懂