看看人家用多引擎页面扫的结果

The EQs

原帖由 hzq277284 于 2007-2-13 11:07 发表
LZ这我倒要请教你了，靠特征码判断与靠启发识别有无一个先后顺序？
因为这一点我不清楚，按我自己的理解是，列在病毒库中的病毒是不会有误杀的，因此应当特征码的比较排在优先位置，然后才是启发（因为有风险） ...

偶也是认为特征码的优先权优于启发式。。。。但是nod32的病毒库相对antivir来说小。。。想想看，在这么小的情况下启发式就能这么好。。。这个难道不是技术的问题？？？如果antivir的病毒库降到和nod32一样大的时候，不一定比现在的nod32强，至少在国外，nod32的启发技术是出了名的。。。

The EQs

原帖由 galaxy0211 于 2007-2-13 12:06 发表
lz猜想错误，杀软加入启发不只是查杀未知病毒，还有一个方面就是随病毒库的不断增加和无限扩张，杀软的查杀效率会越来越低，想想吧，浏览一个文件要用十几万的病毒库扫描，以后还会扩展到几百万，哪会是什么要的 ...

一个好引擎一个特征码可以查杀几十个相关的变种。。。。。而启发式就是以特征码为基础才演变而来的。。。。在任何情况下，杀软和hips都离不开特征码。。。。。特征码是基础，只有在基础之上才能得到发展。。。

The EQs

至于有人说hips可以取代现有的杀软。。。不知道有何根据。。。。hips需要配合杀软的特征码使用才能达到最佳。。。。否则光有hips还是发挥不到最佳的作用。。。。

nicolashuang

EQ2说的有理，不管是行为拦截还是启发式分析都要依靠强大的特征库的支持，这是一个模式识别问题，没有特征是无法识别病毒的。按我的理解，启发式分析就是根据特征库举一反三，而行为拦截是根据病毒的行为提取特征并识别的，两种都要依靠特征库，只是特征不同而已。hips不是什么行为都提示用户，它只是在监控到对计算机安全构成威胁时才提示用户，hips凭什么能够做到这一点，是因为设计者根据各种病毒的共同特征作出判断是否提示用户。显然hips不能完全监控到恶意程序，因为病毒也在变化。

[ 本帖最后由 nicolashuang 于 2007-2-13 15:04 编辑 ]

iszeds

原帖由 EQ2 于 2007-2-13 14:44 发表
至于有人说hips可以取代现有的杀软。。。不知道有何根据。。。。hips需要配合杀软的特征码使用才能达到最佳。。。。否则光有hips还是发挥不到最佳的作用。。。。

以上3贴我都很赞同

另外好像看见,红伞都是以知病毒,而nod32是启发.
感觉这不能完全的说明nod32的启发比红伞强..但能够完全肯定的是红伞的病毒库比nod32强.
红伞已经能够用特征码判断这是一个病毒,此时它就停止继续使用启发式了..而nod32在对比特征库过后,没有发现异常,然后在用启发式,检测出问题.......
这个过程当中红伞并没有使用启发式..
特征库的准确率更高,肯定是先使用,再使用相对误报多的启发式..
另外,病毒库的大小和启发式扫描应该没有关系...当然启发式扫描也有一定的特征对比,但这些特征比起庞大的病毒特征库就小多了..
就比如是,特征库,是对没一个以知的罪犯建立一个档案,姓名,出生,.相貌,声音.......启发式则是建立一个危险行为档案,比如带着枪啊,炸弹啊,什么的危险品...相对于以知罪犯的档案,就要小的多了...

特征码-启发式-行为分析,就是再走一条以不变应万变的路,特征档案越来越小..但越来越不准确..(卖西瓜的也带刀,警察也带枪)

iszeds

启发式和微点的那种都应该属于行为分析,,...
不过,启发式是静态分析,微点类属于动态分析..
静态分析不会象动态分析那样彻底..(启发式就是一个人拿着枪,可能去打鸟,也可能去杀人,微点类就是枪都已经对准人了,然后判断..)
但启发式相对更安全,(枪都对准人了,万一走火,或者没栏住的话..)

启发式的特征库就是把危险品打个包,你带了危险品,OK,你有嫌疑..
微点类就是把犯罪动作打个包,你举枪对准人了,刀拿起来要砍下去了,OK,把你逮道

nicolashuang

原帖由 iszeds 于 2007-2-13 15:08 发表
启发式和微点的那种都应该属于行为分析,,...
不过,启发式是静态分析,微点类属于动态分析..
静态分析不会象动态分析那样彻底..(启发式就是一个人拿着枪,可能去打鸟,也可能去杀人,微点类就是枪都已经对准人了,然 ...

启发式好像包括静态分析和动态分析，只是启发式的动态分析是在虚拟环境下进行的。而行为拦截（例如咔吧司机的主动防御）是在实际环境下进行分析和拦截的。

[ 本帖最后由 nicolashuang 于 2007-2-13 15:17 编辑 ]

iszeds

原帖由 nicolashuang 于 2007-2-13 15:10 发表


启发式好像包括静态分析和动态分析，只是启发式的动态分析是在虚拟环境下进行的。而行为拦截是在实际环境下进行分析和拦截的。

搜索到这些

启发式扫描是通过分析指令出现的顺序，或组合情况来决定文件是否感染，每个对象都要检查，这种方式查毒效果是最高的，但也最可能出现误报。
其实就是分析对象文件与病毒特征库中的病毒原码进行比较，当二者匹配率大于某一值时(通常这一值较小，所以容易误报)，杀毒软件就会将其列为可疑文件以进行下一步的除理。这就是所谓启发式杀毒。

不过我估计即使是使用了虚拟机,其目的也仅仅是还原文件(脱壳),是杀软能够更好的读取文件的代码
也就是启发式是分析代码,和特征库一样,都是分析代码,不过他们对比的特征不一样,一个对比相貌,声音....一个对比身上带的东西是否具有杀伤性..

nicolashuang

那为什么nod32在右键扫描的时候无法发现，在运行样本的时候却可以报？我觉得是运行样本实际是在虚拟环境下运行，杀软根据其在虚拟环境下的行为作出判断。或者是右键扫描根本就没有在虚拟环境下分析？

[ 本帖最后由 nicolashuang 于 2007-2-13 15:27 编辑 ]

hzq277284

我蛮赞同75楼的