红伞的基因扫描是什么原理？

乘上白云

顺便哪位高手给我详细讲讲启发式，我也是半懂不懂的。

乘上白云

楼上这个是启发式，百度百科看过了

dollsgame

先了解各种技术

还有红伞基因启发好像就是广谱查杀

希望有其他人解释清楚

红伞有一条超长白名单改善广谱查杀的缺点,希望各位伞兵可以了解

和包容一个防毒软件优缺点


http://www.qqread.com/data-structure/t206742_2.html

病毒与引擎的变迁

简单特征码

80年代末期，基于个人电脑病毒的诞生，随即就有了清除病毒的工具──反病毒软件。这一时期，病毒所使用的技术还比较简单，从
而检测相对容易，最广泛使用的就是特征码匹配的方法。

特征码是什么呢？比如说，“如果在第1034字节处是下面的内容：0xec , 0x99, 0x80,0x99，就表示是大麻病毒。”这就是特征码，一
串表明病毒自身特征的十六进制的字串。特征码一般都选得很长，有时可达数十字节，一般也会选取多个，以保证正确判断。杀毒软件通
过利用特征串，可以非常容易的查出病毒。

广谱特征

为了躲避杀毒软件的查杀，电脑病毒开始进化。病毒为了躲避杀毒软件的查杀，逐渐演变为变形的形式，每感染一次，就对自身变一
次形，通过对自身的变形来躲避查杀。这样一来，同一种病毒的变种病毒大量增加，甚至可以到达天文数字的量级。大量的变形病毒不同形态之间甚至可以做到没有超过三个连续字节是相同的。

为了对付这种情况，首先特征码的获取不可能再是简单的取出一段代码来，而是分段的，中间可以包含任意的内容（也就是增加了一些不参加比较的“掩码字节”，在出现“掩码字节”的地方，出现什么内容都不参加比较）。这就是曾经提出的广谱特征码的概念。这个技术
在一段时间内，对于处理某些变形的病毒提供了一种方法，但是也使误报率大大增加，所以采用广谱特征码的技术目前已不能有效的对新病毒进行查杀，并且还可能把正规程序当作病毒误报给用户。

启发式扫描

为了对付病毒的不断变化和对未知病毒的研究，启发式扫描方式出现了。启发式扫描是通过分析指令出现的顺序，或特定组合情况等常见病毒的标准特征来决定文件是否感染未知病毒。因为病毒要达到感染和破坏的目的，通常的行为都会有一定的特征，例如非常规读写文件，终结自身，非常规切入零环等等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。

行为判定

针对变形病毒、未知病毒等复杂的病毒情况，极少数杀毒软件采用了虚拟机技术，达到了对未知病毒良好的查杀效果。它实际上是一种可控的，由软件模拟出来的程序虚拟运行环境，就像我们看的电影《黑客帝国》一样。在这一环境中虚拟执行的程序，就像生活在母体
(Matrix)中的人，不论好坏，其一切行为都是受到建筑师(architect)控制的。虽然病毒通过各种方式来躲避杀毒软件，但是当它运行在虚拟机中时，它并不知道自己的一切行为都在被虚拟机所监控，所以当它在虚拟机中脱去伪装进行传染时，就会被虚拟机所发现，如此一来，利
用虚拟机技术就可以发现大部分的变形病毒和大量的未知病毒。

引擎技术对比

各种引擎技术相比，虚拟机就像是一个侦探，可以根据对人的行为识别犯罪活动；启发式扫描就像是警察，看你身上携带了枪支而怀疑你；广谱特征是拿着照片追查已知的罪犯，但是会注意是否带了假发或者墨镜来逃避检查；而特征码识别就只是通过对人的外貌来判断。
简单总结一下各种引擎技术的优缺点：


昨天免杀pcshare的时候给大家共享了特征码《NOD32 I服了U》
其中——流动的火在一楼说引用:

流动的火：
启发，基因启发啊。你会越查越多，其实他没有那么多的。

这里我我纠正一下引用:

基因启发，基因启发是通过比对文件当中的关键代码，来查杀新病毒以及变种，这种方式在现阶段的优势比较明显，查杀率高，占用内存少，但从缺点来看，这种启发技术在现阶段已经暴露出来了一个很严重的问题就是误报过于严重，在国外的误报测试当中，使用这项技术的杀软普遍误报十分厉害，像蜘蛛，红伞，飞塔等等。而从长远来看，这种技术随着时间的增长，病毒的种类越来越多，必定造成基因库的臃肿，随之造成的结果就是杀软的运行效率降低，占用资源量的提升，甚至出现不同基因代码间的冲突，所以这项技术虽然在现阶段被看好，而且在技术上也没什么难度。

这个是基因启发启发的定义，但是NOD32这么多特征完全来自广谱查杀jack的文章曾说过：引用:

例如，如果一段程序以如下序列开始：MOV AH ,5/INT,13h ，即调用格式化盘操作的BIOS指令功能，
那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求
用户交互性输入继续进行的操作指令时，就可以有把握地认为这是一个病毒或恶意破坏的程序。

例子：一个免杀卡巴的木马加一个被杀的花卡巴会提示type win32病毒和感染pe的病毒一样
卡巴会确定他的入口点，一般程序的入口点一般不会在程序的最后一个PE节里。如果OEP在最后一个PE节里就值得卡巴怀疑。所以有的“牛人”在2007年初提出了OEP虚拟化…………但是我不懂编程但是我们可以修改PE结构让入口不在最后一个PE节里，比如在木马修改（非PE感染形）用跳转法移动头部某些代码，在头部空出广大区域加花。或者加完花（感染以后）在加一个空文件节。 （这个适用与病毒编程）
写着写着就有点跑题……………………
对于NOD32 pcshare特征码超多的问题
解释很简单pcshare是一个典型的4代木马（也有人称为3代，看分代标准）
很多代码很典型，适用于杀软研究广谱查杀。 NOD32的启发更偏向于基因启发，但他没有独立的基因库，用病毒库代替了基因库，通过在病毒库里比对代码，确认病毒，看到我前面对基因启发的介绍，相信对NOD32病毒库小不难理解吧，很明显NOD32的开发者也意识到了这点，所以NOD32对启发可以报的病毒是不入库的。对于pcshare4处关键作为启发杀毒，剩下26个特征是辅助定位，4处关键修改后少量修改辅助定位就可以了。
流动的火给出的解决方案正确但是理论不对。

但是如果大家把那个dll下载下来分析代码你可以发现
只有
[特征] 00001B34_00000002
[特征] 000015C6_00000002
[特征] 00002468_00000002
[特征] 000025C6_00000003
这4个属于高级启发杀毒特征码（看代码关联）
其中[特征] 00002468_00000002修改时要注意
子程序关联了2处调用
修改笔记我有空会整理贴出来的

stonejr

红伞有白名单是谁说的?

dollsgame

除了白名单,我想不到用什么填补广谱查杀所引出的误报.

小弟是菜菜鸟,懂得好少

希望对防毒引擎有研究的人为楼主出来解说红伞的问题

woai_jolin

原帖由 dollsgame 于 2008-7-10 20:18 发表
除了白名单,我想不到用什么填补广谱查杀所引出的误报.

小弟是菜菜鸟,懂得好少

希望对防毒引擎有研究的人为楼主出来解说红伞的问题

更新引擎

zwl2828

广谱查杀

maxutao

红伞是广谱

一直都有人对此持非议态度

流动的云

什么理论好不好的我不知道，我只知道红伞没让我中过毒，对于你们说的广普查杀的坏处，我期待真正出现时德国会想出较好的解决方法，但至少现在用着杀毒效率挺高