查看: 5506|回复: 27
收起左侧

[原创] 阁中帝子今何在?—启发式综述系列之序言(独家原创)

[复制链接]
千堆栈
头像被屏蔽
发表于 2008-4-19 22:27:17 | 显示全部楼层 |阅读模式
我想,与其形而上学地对垒争论,不如告诉大家一些不为常人所知的细节。
  真相是停止争论的最好方法。  
  当然,具体的细节,其实我也懂的不多。
  好在我可能比大家多知道一些接近细节的背景罢了,因此交代给诸位。
  遂有此(系列)帖。
  任何时候,任何地点,欢迎转载。注明出处,作者即可。
  本(系列)帖,纯个人观点。
  因为含有经验成分,不能保证学术正确性。仅供参考。
  本帖与包括本坛、ESET方面在内的任何组织、任何商业机构无关。

序言——启发式查毒 VS 行为拦截
从来硬弩弦易断,每见钢刀口易伤。
  实际上,防病毒厂家都没有停止探索未知病毒查杀的脚步。
  总结起来,近年来,国内外厂家基本分出了两个阵营。一是坚持启发式路线者,二是走行为拦截路线者。(当然比如6.0版本以后的卡巴斯基,是二者兼有。但是因为采用的技术不外乎还是这两种,因此本文还是做两种划分而不是三种划分。)
  具体按厂家划分(仅举部分厂家),采用启发式路线的有AntiVir、DrWeb、ESET、Norton、Panda等。采用行为拦截技术的如Kaspersky(兼有)、瑞星、江民等。
  //说明:此处厂家排列是按照姓氏笔画,并无优劣暗示。并且也不代表没有列入其中的厂家技术不好,比如F-S等
  我们可以发现一个规律,当然这个规律或许事出偶然:即国外厂家多以启发式路线为主。而国内厂家多以采用行为拦截技术为主。特殊的是Kaspersky,二者兼有。
  
  启发式查毒技术概述
  多年来,主流反病毒厂家一直在启发式查毒上投入了大量人力物力。其中典型的比如来自Symantec Norton的Bloodhound技术(Norton检出的病毒名称带有Bloodhound字样的即为启发式结果)、Panda的TruPrevent Technologies、ESET的ThreatSense技术等。这里说“典型”,包括但不仅仅是强调其优秀性。因为其他有一些厂家也很有特点,不过没有命名而已。比如AntiVir和DrWeb,他们没有给自己的启发式技术冠名(或许是我不知道,请大家补充)。
  启发式查毒技术是一种“内功”技术。就是依靠复杂的算法检测程序本身,然后自动判断结果。整个过程不需要用户协助判断。但是目前启发式技术的不足在于,第一还无法做到对未知病毒的100%判断(经验估计,业内最高水准目前可以达到约40~70%),第二是对正常程序的误报。

  行为拦截技术概述
一个病毒程序,对于正常程序而言,总会有一些异常行为。基于此,行为拦截技术应运而生。我个人把行为拦截技术称为一种“显式”技术。对于恶意程序而言,一般都会有一些非正常动作,比如加入启动项,修改注册表关键项目等,而只要能把这些可疑行为都拦截(通过加载驱动的HOOK技术)于事前,就可以做到接近100%预防未知病毒。然而,这种美好的构想却在实践中遇到了巨大问题。最大的问题是,比如弹出的100个提示中,可能有99个都是正常程序所为。而且还给不懂专业知识的一般用户带来了大量的操作疲劳。

评分

参与人数 1魅力 +1 收起 理由
傻猪猪米走鸡 + 1 版区有你更精彩: )

查看全部评分

千堆栈
头像被屏蔽
 楼主| 发表于 2008-4-19 22:29:01 | 显示全部楼层

下期预告:启发式技术详细介绍与若干主要流派

说明:本帖欢迎转载。注明出处。
http://www.nod32club.com/forum/v ... &extra=page%3D1
Guace
发表于 2008-4-19 22:30:53 | 显示全部楼层
支持千版...我就喜欢看你的文字....(文采真的很GOOD啊 )
千堆栈
头像被屏蔽
 楼主| 发表于 2008-4-19 22:34:31 | 显示全部楼层

那就去订阅《计算机安全》,每月的专栏评论都是我的

原帖由 Guace 于 2008-4-19 22:30 发表
支持千版...我就喜欢看你的文字....(文采真的很GOOD啊 )

哈哈
Guace
发表于 2008-4-19 22:39:44 | 显示全部楼层

回复 4楼 千堆栈 的帖子

我知道

有时会买
千堆栈
头像被屏蔽
 楼主| 发表于 2008-4-19 23:19:54 | 显示全部楼层

真想看的话还是订阅吧!另外我看看跟编辑赠阅下

原帖由 Guace 于 2008-4-19 22:39 发表
我知道

有时会买
小木头
发表于 2008-4-20 00:38:08 | 显示全部楼层

回复 6楼 千堆栈 的帖子

一年多少期,多少钱?
hjq1211
发表于 2008-4-20 08:01:50 | 显示全部楼层
别的不说,很好很强大!
cruiyong
发表于 2008-4-20 08:11:17 | 显示全部楼层
期待下一期
danny007
发表于 2008-4-20 08:14:00 | 显示全部楼层
题目很好玩,内容也不赖^_^
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 23:16 , Processed in 0.132475 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表