以Kaspersky官网的文章为基础来总结自己对这篇文章的认识

巴豆妖

嗯，感觉这个才是正路啊，顶楼主下！

GBUser

除掉那一点点特征码，微点应该是单纯的行为拦截吧？

jpzy

原帖由 allenhippo 于 2007-2-16 17:47 发表
程序的行为是不是有害,不认识的进程是不是毒其实是一个很模糊的概念,对于计算机最怕的就是模糊

呵呵，其实不怕模糊的～！现在控制论里面的模糊控制，模糊神经网络等就是利用模糊概念来编写控制规则的～！
杀毒厂商的专家系统完全可以定义某一类的操作相应的危险系数！比如：一个调用系统API的操作跟一个注入explorer的操作相比，显然后者危险系数更高～！同时，病毒木马不会只有一个操作，肯定是一系列的操作，对所有的操作的危险系数进行加权计算，就可以得到一个程序或者一段程序代码的危险系数～！

大家来想象一下一个正常程序和一个木马程序的运行状况：正常的安装程序会把自身文件释放到系统temp文件夹下，然后运行安装；而木马程序则会将自身的文件释放到系统关键路径下，甚至会采用伪装的系统文件名；安装程序和木马程序都会写注册表的键值；但是，木马程序写入的键值更危险更隐蔽；安装程序基本上不会注入系统的关键进程（注入explorer有可能），但是木马会将自身注入很多关键进程，并且很多会采取保护自身进程的方法，如隔1秒钟扫描一次自身进程，发现被关闭就重新释放文件并运行………………

这样看下来，某些正常程序也会进行一些危险操作，但是，对总体的危险系数影响不大～！但是木马程序会因为每一个操作都有较高的危险系数，导致整体的危险系数很高～！
这样就会减少误报，即使无法区分正常程序和危险程序，也可以按照危险系数的等级报告给用户，由用户进行判断～！当一个用户看到危险级别很高的程序试图运行的时候，相信他也不会轻易放行的！！

纯属个人观点，欢迎讨论～～～

carl2500

学习中~

diketaozi

学到不少东西

xzthink

对病毒运行的机理解释的蛮透彻，呵呵！！！

freedom_wing

长……收藏下来慢慢看~！

liaoying112

卡巴官方网是英文吗?是就我不去了

liaoying112

我觉得主动防御其实也是被动的.特别是行为拦截和静态启发都很被动,,动态启发还是可以的.
但动态启发的(虚拟机)可以讲是吧?也存在缺陷.
我不了解这缺陷.往往朋友研究虚拟机的.
而这缺陷使虚拟模式无法完全让病毒还原.
瑞X的虚拟机也是存在这缺陷.


卡巴的行为拦截主动防御的缺陷不是误报(误报就连特征码查杀已知病毒都有)
而是:程式代码漏洞上的.
病毒只要运用它.就可以完全躲避卡巴.

NOD32的动态启发是蛮好,但缺少技术支持.
我了解NOD32不经常升级动态启发核心,而是更新她的基于特征码的程序式
它的核心是:虚拟上.而NOD32的动态启发(虚拟模式之所以速度快,反应快,不耗费几多资源.是因为它的动态启发不完全依靠虚拟模式而是加上行为拦截判断上,它先运用行为拦截分析再用动态启发




我SONOD32的不应该完全是动态启发,而有行为拦截分析判断,,

liaoying112

在搜索互联网时，有可能被病毒木马感染 . 因此我们随时对系统进行分析.
动态启发就发挥它的厉害.
而行为拦截无法