请理性看待启发的问题

白羊座

启发毕竟是用于对未入库或者难界定的恶意软件的查杀手段
杀软现在还不能脱离病毒库特征码
所以所谓纯启发的强弱根本无需讨论
就像F1的动能回收装置可以提高加速一样，启发确实能使杀毒率提高
但是副作用也一样，动能回收加大车重，启发增加误报和资源占用
特征码毕竟还是主流，要不一到不能升级大家都那么紧张干嘛？
你真相信启发靠的住，就不要升级好了
启发强弱更本没有标准，查杀率高和误报高的情况都同时存在
所以没什么强弱的
讨论一个非主导因素的强弱上升到一个杀软的强弱
未免有点可笑

hxwwb

说得也是

悠柚

行为分析总有一天会成为主流的
但是就现在的技术而言，特征码和启发还会是杀软最重要的武器

chensefengbao

楼主这贴很可能被某人加分  果然被我说中了（在我12：02发贴时同时加的分）

[ 本帖最后由 chensefengbao 于 2009-5-29 12:07 编辑 ]

白羊座

行为分析必须依靠部分特征辅助，否则工作量太大了

hxwwb

启发实际上是指软件的智能问题，看其智能化如何，你要是只根据特征码来杀，就好比只依靠脸谱辨别人的好坏一样，只靠比对和套用来查毒和杀毒肯定不够。我们大家争论的都是问题的一个方面，好似盲人摸象一般。

安软应该是多条腿走路才稳当才走得快。要是看看一个方面，哪个杀软都不合格。要是有也只有迈克菲企业版加上复杂的规则才可以了。

所以，我同意楼主说的，但是我也重视启发功能，要是杀软“脑子转得快、敌人识得清、出手即致命”，而又吃得少、占用资源少就好了。

悠柚

可以参考Mamutu的工作方式，完全摆脱特征码，但是技术的限制，效果不太好，不过未来应该会有改进的

hxwwb

很好奇杀软的特征码是怎么分类的。
有些号称病毒库最大的安软达到40多万，就不能编程归类吗缩小体积吗。

要是按照这样，一个病毒或恶意程序都占用一个或部分文件库，那么随着我们社会的发展，得有多少文件下载啊。

为什么一定要越来越大呢。不能按照人类社会的病毒灭迹一批之后，比如中国的天花，把这个特征码从病毒库删除以减小文件体积吗。

qazxswedc86

就如同我的杀软配置一样
NOD32+大蜘蛛
NOD32靠启发 大蜘蛛靠特征码

白羊座

病毒库40万……我不知道怎么统计，特征码有40w条倒可能……特征码和病毒不可能一一对应
话说要是一个样本有跨系的多条特征码吻合，不知道杀软报哪个系……