启发式技术什么时候提出的？

显示全部楼层 · 发表于 2009-3-26 16:03:09

我想问个问题：
启发式技术是什么时候提出的？谁提出的？谁最先用的启发式技术？
请大家给偶说说吧！谢了！

显示全部楼层 · 发表于 2009-3-26 16:08:37

再补充个问题：谁的启发技术用的好？启发分为静态启发和动态启发。那些启发技术用的比较好的用的是静态启发还是动态启发还是两者兼有？

显示全部楼层 · 发表于 2009-3-26 16:19:14

只知道诺顿、小红伞、NOD32。。。。。。都有启发式分析

显示全部楼层 · 发表于 2009-3-26 16:19:34

这里有历史老师没？

显示全部楼层 · 发表于 2009-3-26 16:22:57

启发式技术是什么时候提出的？谁提出的？谁最先用的启发式技术？
所谓启发，孔子在《论语》中有这样一段话：“不愤不启，不悱不发，举一隅而不以三隅反，则不复也。”其实就是成语“举一反三”孔子在春秋时代提出来的，当然孔子教育学生最先用启发式技术了。启发的要害就是“求”和“欲”。
几千年以后用在了杀毒软件技术上而已。为什么总是外国人像利用中国古代四大发明一样登峰造极利用启发式而不是我们自己首先做到了登峰造极

谁的启发技术用的好？启发分为静态启发和动态启发，那些启发技术用的比较好的用的是静态启发还是动态启发还是两者兼有？
nod32的启发式技术用的最好，话说卡巴斯基和小红伞启发式也很强悍，但是任然是病毒库特征码查杀几乎全部病毒，他们的启发式没有发挥最大的效果，只有nod32的启发式对病毒的查杀发挥了最大的效果所以是用得最好的启发式技术；
启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”，是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征，或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析，后者被成为动态虚拟机。

静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法，是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别。

通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则通常是最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。静态启发式就是通过简单的反编译，在不运行病毒程序的情况下，核对病毒头静态指令从而确定病毒的一种技术。

而相比静态启发技术，动态启发技术要复杂和先进很多。动态启发式通过杀软内置的虚拟机技术，给病毒构建一个仿真的运行环境，诱使病毒在杀软的模拟缓冲区中运行，如运行过程中检测到可疑的动作，则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒，对加壳病毒依然有效，但如果控制得不好，会出现较多误报的情况。

动态启发因为考虑资源占用的问题，因此目前只能使用比较保守的虚拟机技术。尽管如此，由于动态启发式判断技术具有许多不可替代的优势，因此仍然是目前检测未知病毒最有效、最可靠的方法之一，并在各大杀软产品中得到了广泛的应用。

由于诸多传统技术无法企及的强大优势，必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解)，已能达到80%以上的病毒检出率，而其误报率极易控制在0.1%之下，这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说，是不可想象的。

启发式杀毒技术代表着未来反病毒技术发展的必然趋势，具备某种人工智能特点的反病毒技术，向我们展示了一种通用的、不依赖于升级的病毒检测技术和产品的可能性。
一个高质量的“病毒原体结构探测”启发式，配合一个优秀的脱壳引擎，这样才能有非常好的测试结果，非常准确，误报率极低；
一个高质量的“病毒原体结构探测”启发式，配合一个普通的脱壳引擎，这样的测试结果只能说令人满意，非常准确，误报率极低；
一个高质量的“病毒原体结构探测”启发式，配合一个很差的脱壳引擎，这样的测试结果肯定不怎么样，但识别出的病毒，仍然非常准确，误报率极低；
初级用户判断启发式是否是“病毒原体结构探测”，就是看其是否具有非常准确，误报率极低的特点。
优秀的“病毒原体结构探测”引擎目前常见的有NOD32、Panda、Bitdefender。
一个高质量的“探测壳结构”启发式，配合一个优秀的脱壳引擎，测试结果完全依赖于病毒库的大小，当然结果非常准确，误报率极低；
一个高质量的“探测壳结构”启发式，配合一个普通的脱壳引擎，测试结果大部分依赖于病毒库的大小以及对壳结构的启发，结果比较准确，误报率中等；
一个高质量的“探测壳结构”启发式，配合一个很差的脱壳引擎，测试结果很不错，但不准确，误报率偏高；
初级用户如何判断自己用的软件是否是“探测壳结构”启发式，最简单的方法就是看其是否符合“不准确，误报率偏高”的特点，如果有这个特点，他的启发式就是“探测壳结构”启发式。

[ 本帖最后由 play32 于 2009-3-26 17:30 编辑 ]

显示全部楼层 · 发表于 2009-3-26 16:25:31

谢谢各位帮忙啊！

显示全部楼层 · 发表于 2009-3-26 16:39:01

所谓启发，孔子在《论语》中有这样一段话：“不愤不启，不悱不发，举一隅而不以三隅反，则不复也。”孔子在春秋时代提出来的，当然孔子教育学生最新用启发式技术了。

膜拜！原来启发最早源自中国。

显示全部楼层 · 发表于 2009-3-26 16:44:02

居然有人说红伞基本靠特征码
貌似有人专门测评没有特征码的红伞吧

显示全部楼层 · 发表于 2009-3-26 16:46:28

原帖由 jiangchuan 于 2009-3-26 16:44 发表
居然有人说红伞基本靠特征码
貌似有人专门测评没有特征码的红伞吧

那么怎么来区别小红伞是病毒库特征码查杀了病毒还是动用了启发式查杀了？如果先是特征码查杀吧，那小红伞的启发式岂不是摆设；如果先是启发式查杀，那小红伞病毒库又是摆设了。

在卡饭评测区已经很清楚了，单独测试小红伞免费版启发式查杀率那是没有更新病毒库专门测试启发式查杀。
然而小红伞收费版却是先是特征码查杀了启发式捡漏查杀几个特征码遗漏病毒而已。那小红伞启发式不是没有发挥最大么!
然而nod32却是启发式查杀比特征码查杀多了几乎一倍以上(⊙_⊙?)谁启发式发挥最大自然就清楚了。

[ 本帖最后由 play32 于 2009-3-27 07:27 编辑 ]

显示全部楼层 · 发表于 2009-3-26 21:15:30

又学了不少。。

[求助] 启发式技术什么时候提出的？

评分

回复 5楼 play32 的帖子