启发式和主动防御使一个意思吗？

dongsheng01

一直把主动防御 和HIPs 混淆

夏族血腾

启发就是杀软根据一个特征能够自动判断还未入库的病毒，主动防御很难解释，慢慢理解吧。

kaba2

原帖由 jason_jiang 于 2009-11-23 16:29 发表
主动防御是统称，一切防御未知威胁的手段都属于主动防御

    我觉得这个回答更贴切，认同这个…

helokii8

不是！  一般人我不告诉他

shazi1896

主要防御是目的，启发式是途径，应该是事物的两个阶段。

veimo

就没一个公允的概念。

strawman0719

原帖由 wangyunxi80 于 2009-11-23 15:55 发表
我认为是有天壤之别！
主动防御的精髓在于行为
启发ms跟行为没多大关系！
这是我个人的理解。

我比较同意这个说法

jason_jiang

确实很容易搞混，因为“主机入侵防御系统 HIPS”和“主动防御 Proactive Defense”的简称都是“主防”

坐在墙头

原帖由 wangyunxi80 于 2009-11-23 15:55 发表
我认为是有天壤之别！
主动防御的精髓在于行为
启发ms跟行为没多大关系！
这是我个人的理解。

谁告诉你启发不用基于行为了？

说到主动防御，不得不提起启发式查毒技术，启发式查毒技术属于主动防御的一种，是当前对付未知病毒的主要手段，从工作原理上可分为静态启发和动态启发两种。

启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”， 是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征，或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析，后者被成为动态虚拟机。

静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法，是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别。

通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则通常是最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。静态启发式就是通过简单的反编译，在不运行病毒程序的情况下，核对病毒头静态指令从而确定病毒的一种技术。

而相比静态启发技术，动态启发技术要复杂和先进很多。动态启发式通过杀软内置的虚拟机技术，给病毒构建一个仿真的运行环境，诱使病毒在杀软的模拟缓冲区中运行，如运行过程中检测到可疑的动作，则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒，对加壳病毒依然有效，但如果控制得不好，会出现较多误报的情况。

动态启发因为考虑资源占用的问题，因此目前只能使用比较保守的虚拟机技术。尽管如此，由于动态启发式判断技术具有许多不可替代的优势，因此仍然是目前检测未知病毒最有效、最可靠的方法之一，并在各大杀软产品中得到了广泛的应用。

STaM

感觉红伞nod32是前者，微点卡巴好像就是后者