小红伞的启发式查杀和病毒库

llzy3575

比如nod32的启发，就是基于特征码的启发。
比如拿已经入了库的特征码与该文件进行匹配，传统杀毒软件的特征码要求100%匹配，而nod32的启发可能只需要部分匹配

小红伞的启发是代码分析，分析文件的代码是否为病毒（注意，是代码分析，而并非行为分析）
这里有技术文献：Antivir启发技术分析http://bbs.kafan.cn/thread-59764-1-1.html

小程

回复这么多！都是好人啊。。。。

[ 本帖最后由 小程 于 2009-5-28 16:08 编辑 ]

一键风情

原帖由 engin_7518 于 2009-5-28 15:57 发表
就是说如果事先该病毒已经有相应的特征码匹配 那就不用启发式以提高效率
启发式用于未知的 虽没有相应特征码 但有可疑行为的程序进行检测

怎么感觉这个启发与微点的主防说法有点相似。。。应该有区别的吧？

一键风情

原帖由 llzy3575 于 2009-5-28 16:01 发表
比如nod32的启发，就是基于特征码的启发。
比如拿已经入了库的特征码与该文件进行匹配，传统杀毒软件的特征码要求100%匹配，而nod32的启发可能只需要部分匹配

小红伞的启发是代码分析，分析文件的代码是否为病毒 ...

就是说小红伞是直接分析病毒源代码了？？？

llzy3575

应该如此，但具体的技术内幕，小红伞官方是不可能全盘托出的
所以说只能是猜测和推测

小程

你说的基于代码的分析，是不是像：比如说病毒程序则通常是最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令，当小红伞发现这样的指令就把病毒启发出来了？

链接的技术文献里说：在文件的基层结构，有意义代码的顺序或者基于特殊的行为特征，有很高的几率可以启发出文件是否是一个有害的或者含有病毒的文件。这里说的基于特殊的行为特征跟你讲的行为分析不一样吗？

小程

自己再顶起来一下

看到有人讨论红伞的纯引擎测试。不知道引擎中有没有内置一部分病毒的特征代码，还是特征码全部都在病毒库中了，引擎纯粹用来启发的

springchina

红伞会在将一部分特征以gen加入引擎中