突然发现3.0只开启发式扫描关闭病毒库和高启式扫描。。

ssjj1910

一个毒也查不出。实验了评测区19号的样本。 ！！！！？？

华姐

有那份实践的心！
没有刀 赤手空拳 你也杀不了 狼！反会被狼 吃了。。。。

ssjj1910

只开“病毒库”和开“病毒库＋启发式”  查出来的数目一样多（都很少）。

只有开了高启式才查的多。

单开高启式查的多。

所以那个启发式的选项岂不是很没用？

心情一隅

确实如此，我做ESS病毒测试都没注意到……

病毒库	启发式扫描	病毒库+启发式扫描	病毒库+高级启发式扫描	启发式扫描+高级启发式扫描	病毒库+启发式扫描+高级启发式扫描
19	0	19	83	74	83

PS：无法单独测试高级启发式扫描，因为软件设定病毒库和启发式扫描一定至少要选择一种。
病毒库：3114 （20080520）
样本总数：118
从该样本的测试来看，启发式扫描没起任何作用。

启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”，是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征，或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析，后者被成为动态虚拟机。

静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法，是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别，通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则通常是最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。

静态启发式就是通过简单的反编译，在不运行病毒程序的情况下，核对病毒头静态指令从而确定病毒的一种技术。

动态启发式通过杀软内置的虚拟机技术，给病毒构建一个仿真的运行环境，诱使病毒在杀软的模拟缓冲区中运行，如运行过程中检测到可疑的动作，则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒，对加壳病毒依然有效，但如果控制得不好，会出现较多误报的情况。

ESET NOD32通过实时分析应用软件的执行过程来判断是否存在恶意企图，可以提前地侦测并拦截病毒威胁。



从上图可看出，高级启发式包括：基因码、代码分析（静态启发）、虚拟机（动态启发）。如此，那启发式扫描有是什么呢？

[ 本帖最后由 hanyu6382 于 2008-5-20 23:32 编辑 ]

diaojf

我记得听谁说过，那个启发式针对于宏病毒的。

lingbo110120

NOD不开高启发？
哈哈 就凭那点病毒库？
还能有何作为？
ESET靠的就是那顶级的启发引擎

ldeyw

楼主这个发现非常有意思啊