看看人家用多引擎页面扫的结果

The EQs

行为判断是要病毒发生动作才能进行阻止，如果是病毒不活动的话。。。根本就没有作用。。。。so就连Kaspersky也准备在新的版本当中启用启发式来改变这种现状。。。。

The EQs

行为拦截工具是在实际环境中运行的，而启发式扫描器是静态分析，在虚拟环境中运行。。

nicolashuang

原帖由 EQ2 于 2007-2-13 15:55 发表
行为判断是要病毒发生动作才能进行阻止，如果是病毒不活动的话。。。根本就没有作用。。。。so就连Kaspersky也准备在新的版本当中启用启发式来改变这种现状。。。。

如果这样就好了，强大的特征库，加上启发式的动态分析和行为拦截，基本全有了^_^，期待中。。。。

7sumetai

原帖由 nicolashuang 于 2007-2-13 15:26 发表
那为什么nod32在右键扫描的时候无法发现，在运行样本的时候却可以报？我觉得是运行样本实际是在虚拟环境下运行，杀软根据其在虚拟环境下的行为作出判断。或者是右键扫描根本就没有在虚拟环境下分析？

如果扫描的时候也调用虚拟环境的话，NOD32怎么可能会有那么NB的扫描速度呢？

nicolashuang

EQ2，我以前看过一个帖子，是咔吧发的，说是启发式其实也进行动态分析，只不过是在虚拟环境下进行的，是这样吗？

nicolashuang

你的意思是不是说nod32在右键扫描时没有进行动态分析？

The EQs

原帖由 nicolashuang 于 2007-2-13 16:01 发表
EQ2，我以前看过一个帖子，是咔吧发的，说是启发式其实也进行动态分析，只不过是在虚拟环境下进行的，是这样吗？

你看的是这篇吧，主动防御：对抗病毒的万灵丹？？？


按照严格的来说启发式扫描器和行为拦截工具都是属于主动防御的，而Kaspersky所宣称的主动防御只是行为拦截工具，不包括启发式。。。。。

The EQs

启发式分析器是分析物件程式码的程序，使用间接方式判定物件是否具有恶意。不同于以病毒码为基准的方法，启发式分析器可以检测出已知和未知的病毒（亦即在启发式分析器写成之后才问世的病毒）。    分析器通常会先由扫描式码开始，寻找具备恶意程序特征的可疑属性（命令）。此方法称为静态分析。举例说明，许多恶意程序会搜寻执行档，然后开启找到的档案并加以修改，启发式分析器检视应用程序之程序码，并在找到可疑命令时增加该应用程序的可疑指数。若检查完全部程序码后的指数值超过预设的标准，该物件即归类为可疑物件。
    此方法的优势包括便于实施，以及具备高效能。然而，此方法对新型恶意程序码的检测率较低，而误判率也较高。
    因此，在目前的方病毒程序中，静态分析会与动态分析并用。此种综合型方法背后的概念，是让应用程序实际在使用者电脑上执行前，先在安全的虚拟环境（又称模拟缓冲区或“沙磐”中进行模拟。在厂商的行销资料中，亦称作“虚拟PC模拟”。
    动态启发式分析器会将应用程序的程序码部分复制到反病毒程序的模拟缓冲区中，并使用特别的“技巧”模拟其执行。若在此“模拟执行”中检测到可疑的动作，该物件将归类为恶意物件，且该物件在电脑上执行时将遭封锁。
    由于以动态方法为基准的分析须使用受到保护的虚拟环境，此方法因此比静态方法需要更多的系统资源，而应用程序在电脑上执行时，也将因为完成分析所需的时间量而造成若干延迟。然而，比起静态方法，动态方法提供较高的恶意软件检测率，误判率也比较低。
    反病毒产品使用启发式分析器已有相当的历史，因此，目前所有反病毒解决方案所采用的启发式分析器，或多或少都是为进阶的版本。

nicolashuang

原帖由 EQ2 于 2007-2-13 16:04 发表

你看的是这篇吧，主动防御：对抗病毒的万灵丹？？？


按照严格的来说启发式扫描器和行为拦截工具都是属于主动防御的，而Kaspersky所宣称的主动防御只是行为拦截工具，不包括启发式。。。。。

我看的是英文的，不知道是不是你说的那篇。英文的那篇写的不错，澄清了proactive defense的概念。咔吧现在只是特征库的传统杀毒和行为拦截。而nod32是特征库加上启发式的静态分析和动态分析。

[ 本帖最后由 nicolashuang 于 2007-2-13 16:08 编辑 ]

7sumetai

原帖由 nicolashuang 于 2007-2-13 16:02 发表
你的意思是不是说nod32在右键扫描时没有进行动态分析？

我是这么想的……如果它有进行动态分析的话，以它的扫描速度来看，这个引擎恐怕要领先其他厂商好几代啊……
而且，我在使用中觉得有影响程序运行效率（P3-450M+256RAM)。