小红伞的启发式查杀和病毒库

小程

我是个新菜鸟，很菜很菜的。使用红伞有段时间了，挺喜欢她的。关于红伞的东东在网上也了解到一点点，但是遇到专业一点的术语就看得蒙蒙的，不懂。最近要作一篇有点相关的作业，这里高手很多，不懂的问题希望大虾们教教我吧~

一直在看到一句话：启发式杀毒是小红伞的最大特点。这是不是指她的引擎是采用启发式扫描技术，而非基于特征码的静态扫描技术？小红伞以高查杀率出名，据说纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解)能达到很高的病毒检出率，就是说对未知病毒的检测能力很强，但不知道对已知病毒的检测是基于特征码病毒库，还是也靠启发式的呢？如果是后者，小红伞每天都要更新病毒库，她的特征码查杀是在什么时候进行的

另外，有一篇文章介绍说，“小红伞的整个防护系统（防火墙除外）都是基于其特征码和启发引擎的。小红伞的启发引擎在很大程度上需要依赖她强大的特征码库支持。”不太明白，启发引擎为什么会很大程度上依赖特征码库呢。。。。。。

qiumu

高手都在潜水，我不是高手，但我支持你讨论学术问题，所以帮顶

悠柚

每隔一段时间红伞升级引擎添加gen查杀，所以红伞更多依靠引擎，特征码是其次，看看扫描区的测试就知道了

llzy3575

能特征就不启发，或者说特征匹配了就不用到启发式了，直接判定为恶意软件
已知用特征和gen，变种用启发
至于那篇文章不大清楚，貌似nod32才是基于特征码的启发吧
http://bbs.kafan.cn/viewthread.php?tid=401188

gho

不知道谁说得对

llzy3575

另外还有一句：在小红伞版区里很少能看见像这贴一样，讨论技术的帖子了

taiyangshenqi

其实这些东西论坛里已经有帖子说的很明白了   PS:   楼主1月25日注册  到现在才发了3贴  也是潜水高手啊

[ 本帖最后由 taiyangshenqi 于 2009-5-28 15:49 编辑 ]

小程

基于特征码的启发是什么意思呢，我了解到的启发是不用借助任何事先的对于被测目标病毒样本的研究和了解的，这样一来启发和特征码之间会有什么关联呀？

engin_7518

就是说如果事先该病毒已经有相应的特征码匹配 那就不用启发式以提高效率
启发式用于未知的 虽没有相应特征码 但有可疑行为的程序进行检测

engin_7518

启发是建立在特征码之上的检测 虽然没有特征码红伞也可以检测出大量的病毒 但是这样会导致效率低下以及误报 所以红伞采取特征码+强启发的检测方式 以达到检测率和效率的最佳平衡