据说小A杀毒是基因检测，什么是基因检测？

夏日的风

听说a什么杀毒是基因检测，什么叫基因检测？和启发有什么不同呢？

gianfranco

基因检测：在入侵检测领域，无论是基于统计的入侵检测还是基于规则的入侵检测，它们的数据源都是从病毒的攻击或者是表象出发，首先获得病毒或者黑客的攻击表象，然后提取出特征，再抽取表达成模式或者规则，供入侵检测系统进行检测和识别。对这种杀毒机制而言，高频的升级都是滞后的。并且难以发现未知的木马模式，也是制约它们进一步发展的瓶颈。我们必须透过病毒程序的表象看到它们的本质特征，即借鉴生物体的生物机理和机制，将基因机制引入信息安全领域。针对病毒的变形和多态，可以追溯到病毒和恶意软件的本质，即运行时的核心序列和动作，如系统调用序列等，也就是基因层。在基因层面上，部分多态病毒和恶意软件，有的基因一样，有的能从它们的相似度上面找到多态和变形病毒程序之间的亲缘关系，找到查杀抑制病毒的多态和变形的方法，指导一条切实可行，而且高效的途径。对于基因机制引入病毒检测和防护领域，包括以下几个方面： 
　　(1)表象到本质(基因)。从病毒的表象出发，找出病毒程序的本质或者是深层次的根源如系统调用序列，提取出类似生物体中的基因片段，每一个基因片段都对应一个或者多个病毒表象。 
　　(2)单个基因入手。找出病毒基因，关注基因变异(称病毒的基因片段为病变基因，相应的正常程序那部分为正常基因)，进而使用基因疗法，用好的基因来置换和修复病变基因、基因修饰和基因失活。 
　　(3)基因片段组合入手。恶意软件中对应的一些基因片段，孤立地看它们都是正常的，但是当它们组合以后，便是一个恶意程序，如木马程序。在这种情况下，我们关注的是基因片段之间的关联关系，打破这种关联，也就可以达到防止这些恶意软件的目的。 
　　(4)已知基因到未知基因。对基因进行诱发变异，产生新的基因。使用的具体方法是：一是定向诱变，就是使用一些领域的知识进行启发式诱变；二是表型诱变，对未知基因进行诱变，发现新的显性和隐性基因突变体及功能改变。——————引自《电脑学习》　2007年第4期


启发：一段程序的代码让一个程序员一看就知道其工作原理以及是干什么的，面对新病毒把这种对代码或者行为判别的方式融入进杀软就成了现在的启发式杀毒。启发式杀毒的意思就是让安软通过对某程序的代码或行为来判别是否是病毒，启发式杀毒也走两种路线。一种是实现相对容易的代码分析(其中的典型就是NOD32与红伞）另一种是实现相对较难的行为分析（典型就是微点），针对代码的启发式分析能够相对于行为分析更准确的识别一个病毒但必须要有很大的特征库而且特征库需要像病毒库一样经常更新。对特征码的启发式分析能把误报相对降到最低！因为特征码规范了杀软的识别行为，像NOD32它放弃了特征码库而是用病毒库来代替因此把误报降的很低而且使很小的病毒库有了很强的查杀效果。再说说行为分析，进行行为分析的杀软绝对能比对定位于代码分析的杀软发现更多的病毒当然前提是你把这款杀软做好了！行为查杀方面比较典型的就是微点但貌似行为启发的技术还不太完善因此微点的表现还不是很尽如人意因此在微点中加入了病毒的特征码而且融入了黑白名单等技术

hjs

ls正解！

关于基因与启发，俺有一个比较简单的解释：

所谓基因，比如说，一个人的皮肤是黄色的，那么我们可以判断他是亚洲人，如果是黑色的，那么是非洲的，白色的呢，欧美的，棕色的呢，印第安人，等等……

所谓启发，比如说，俺会写中文，有人说俺是中国人，俺会说英文，那么有人会说俺是欧美的，那么如果俺会说日语呢？是不是俺就是日本人了呢？

所以，俺一向对那些所谓的主流的启发不屑一顾！

俺只相信小a。

欠妳緈諨

Win32：Trojan-gen{Other}，这个是avast！最常见的基因

夏日的风

那基因检测和启发有什么优缺点？哪个要好一点？

欠妳緈諨

基因检测是基于已知的特征码，而启发检测和特征码无关，二者各有优劣，不能说谁更好

斯太尔

LZ是传说中的“1KO1问”？

ashe_vaan

路过学习了

大一

学习了~

hjs

原帖由 夏日的风 于 2008-11-30 12:40 发表
那基因检测和启发有什么优缺点？哪个要好一点？

再来口水一下，基因与启发；比如打靶，基因打的是活靶，启发打的是死靶，也就是说，启发对于评测来说占的分数较高，而基因却是比较低调，主要对实战有利。

（一家之言）