基因是启发的一种吗？

红魔

依然有人说是，有人说不是。。。

Soma Cruz

是的

Dirk

偶也认为是
都是XXXX.GEN么
而被检测到的样本不一定入库了
这种Proactive detection应属启发了吧

[ 本帖最后由 Dirk 于 2009-10-26 21:52 编辑 ]

donaldz

  个人以为基因=针对某类型有害程序的广谱OOXX...既然是广谱，那就和启发还是有区别的...[:27:]

红魔

我也是这么认为的。。。。

其实感觉所谓启发和基因似乎没有多明确的界限~~ 最本质上还是一样的~~

白羊座

基因首先是来自于对已知样本的分析，可以说是一种“经验上”的通用特征，如果一个病毒使用的完全是未知的新技术，基因码不会有任何的作用，如果是一个使用流行技术但稍稍用了点“小技巧”的新病毒样本，则很可能被基因码查杀
一般认为真正的启发应该是虚拟机启发，cpu模拟一个简单的运行环境，在其中的病毒会运行起来，可以通过收集一些病毒的运行特征来判别，有点是可以查杀更新的样本，缺点是误报和资源占用均较高

[ 本帖最后由 白羊座 于 2009-10-27 20:42 编辑 ]

LiZhen

基因和启发还是有区别的

jefffire

私以为，基因码还是属于特征码的一种，通过总结病毒的共同特征达到一对多的查杀，也就是一条代码可以杀一类病毒。鄙人认为叫广谱特征码更能体现其实质。而启发就和行为分析挂钩了，目前的启发也有两种，动态启发和静态启发。静态启发属于代码分析，查杀时病毒是不被运行的，通过对其代码的分析（反编译），找出危险的调用代码，发现典型病毒指令特征，从而达到查杀的目的。动态启发也就所谓虚拟机启发，查杀时病毒在虚拟环境被“实际”运行了，通过发现可疑动作来识别病毒。
不过有些杀软报的时候heur.gen.一起出来了，你到底是heur，还是gen？

[ 本帖最后由 jefffire 于 2009-10-27 22:24 编辑 ]

zyh6036

这个貌似并不矛盾，动静态启发只能择一么？