对红伞启发与ESET启发比较的一个怀疑（个人想法）

Kraim

那不就是特征码比对了么？怎么我上次看二版的工程师说ESET的启发不是建立在病毒库上的？

Atlantis祭司

我29楼回复有误导性倾向，修改了下。

在不了解技术细节的情况下，这个问题的讨论是没有意义的

根据av-comparatives2008年两次启发测试的数据，eset两次的成绩是57%和54%，误报率两次都是7个；avira两次成绩是72%和71%，误报率一次是8个，一次是17个。其他杀软一般在30%-40%附近不等，误报各异。除了eset和avira两位，大多数杀软两次成绩差异极大。当然，av-comparatives是用四周前的病毒库测之后一个月收集到病毒，也不排除avira入库速度快，avc之后收集到的病毒也可能有一些已经是被它入库了，但我觉得测试总体还是合理的。

根据这个成绩，eset在默认设置下（我估计av-comparatives用的是默认设置，没仔细看），不见得比咖啡、诺顿等等这些的启发强出太多太多。或者说，那些传闻中的，eset的病毒库有多小多差，主要靠启发等等，也不见得就一定是事实。因为eset在av-comparatives的扫描测试里从来都是在90%以上，就算靠启发检出了54%-57%，那剩下的40%以上的不是入库的特征码检出的又是什么。

所以既然在不知道他们的技术，很多问题都是真伪难辨，到底多少是事实，多少是商业考量，谁知道

[ 本帖最后由 zmda 于 2009-5-3 21:39 编辑 ]

g_j_love

仁者见仁 智者见智

"按照启发的简单定义它是基于病毒库的。"

楼主~~ 今天再学习了~~

原帖由 zz1992616 于 2009-5-3 20:33 发表
我已经说了是启发的比较，请你不要拿查杀率说话好不好？而且你说的东西我已经说了，重复有意思吗？

我只是想知道。楼主所谓的启发能力比较不表现在查杀率~~ 那考量的标准是什么呢？技术测评？技术测评什么个标准？总不是谁的代码写的更技巧吧。最终还是要看一个效果嘛。

springchina

虽然大家都说自家的孩子有启发，但是究竟这个到底是怎么个启发还真是让人摸不着头脑的！
谁能告诉我启发和虚拟机技术有多少联系？？？

uvloss

呃，又一个钻死牛角尖的~
    杀软与杀软之间本来就差别很大，有的是单引擎，有的是多引擎，有的主要基于特征码，有的主要基于病毒基因（比如说红伞），有的主要靠启发……很多很多种类，所谓“条条道路通罗马”，何必非要去追究这些技术实现的细枝末节呢？
   既然这款杀软存在，就说明他的这种查毒杀毒方法就有一定的可取性和合理性，而且那些用来测试杀软查毒能力的病毒样本，也没哪个组织敢说自己的样本就一定代表“所有的病毒类型”吧？所以才要大家去动态的查看每天的扫描数据，从统计学角度来尽量缩短因为病毒样本个数、类型对扫描结果所带来的误差和影响。
   至于横向比较，只是给大家一个参考而已，大家选择自己最适合的就好，何必强分彼此呢？
   存在即合理，3+2=5，4+1也同样等于5，即便想5+0等于5又何尝不可？而且现在好像也没有哪一款杀软敢自称自己能杀尽“所有病毒”吧，既然如此，就说明他们各自的杀毒方法都有缺点，也都有自己的优点，不管你采用何种判定标准去横向比较，最后的结果都只能是片面的，不正确、不客观的。
    都省省吧，为了注定不会有结果的讨论去“厚此薄彼”，钻死牛角尖，实在是非常不值~
     适合自己的杀软，才是最好的~

[ 本帖最后由 uvloss 于 2009-5-3 22:18 编辑 ]

虚无名

我来解释下，启发重点在于特征值识别技术上的更新、解决单一特征码比对的缺陷，传统反病毒特征值扫描技术，由反病毒样本分析专家通过逆向反编译技术，使用反编译器（ollydbg、ida、trw等）来检查可疑样本文件是否存在恶意代码，而启发是根据病毒反编译后程序代码所调用的win32 API函数情况（特征组合、出现频率等）判断程序的具体目的是否为病毒、恶意软件。再解释下主防与启发的区别，启发还是建立在对可疑样本文件反编译后程序代码的一些行为，目的的分析上来判断是否为病毒，恶意软件，也就是它只是对代码的一些恶意行为，恶意破坏目的的语句进行比对分析，也就是代码还没执行，而主动防御是代码执行后，产生实实在在的病毒行为后，再根据这些行为做判断是否为病毒，也就是说主防与启发最大的区别是启发的代码没执行，主防的代码执行了，启发是建立在对代码的分析上，主防是建立在实实在在的行为分析上

yeow5243

个人认为，启发弱的杀软才加入行为拦截