回顾总结,反病毒软件这些年的发展路

chabosh

道高一尺魔高一丈

wodecaoxin

回复 9# 白羊座


    你说的是卡巴？

白羊座

回复 12# wodecaoxin


    一般的启发都只能执行一些虚拟指令而已，虚拟分析行为的也不能完整虚拟，这个一般而言会被叫做“高启发”而且，默认都是关闭的，除非你机器好得有点浪费，不然开着真累

wodecaoxin

回复 8# 白羊座


“我理解的“云查杀”是用文件的hash与服务器端所记录的hash进行比对，如果服务器记录的这个hash是病毒，那么返回病毒名称，否则返回安全”

---------------这么说没有hash的都要本地特征码是吗？

陽桄~ぬ耀眼

去年还推出了很多免费杀软

陽桄~ぬ耀眼

去年杀软免费化逐步让我们接受

bluewave0607

确实学到了不少知识，挺有启发的。

wodecaoxin

回复  红魔


   
虚拟机分析看的是指令码， ...
白羊座 发表于 2010-1-16 21:39

    虚拟机自己有一套指令，和真实的应该差不多。指令码。和特征码有何区别？请指教

白羊座

回复 14# wodecaoxin


    引擎会先判断文件的数据类型，非有效PE文件一般都直接跳过，
云查杀的软件本地都有很大的缓存，不是所有文件特征都上传的
文件对照也不是算hash，是提特征，然后对比
服务器端没有相关特征的，一般会报可疑，同时上传以后人工分析

caolizhen

回复 13# 白羊座


    一直以来启发式面临的最主要问题就是启发程度和性能损耗，就目前大多数杀软的启发引擎来看，依旧停留在软件API层面，也就是说，对于硬件来说，相当于运行了两个操作系统，需要在不同层面进行快速切换，这不仅对缓存，内存等造成了极大的负担，CPU的负载率也是相当可怕的。
   启发式现在似乎在走动态这一条道路，也就是白羊说的回滚，不是去虚拟化操作，而是全程监控进程操作并记录，这一点类似于TF，这样也许就能达到最好的平衡点，但是不得不说，这相对于一般的虚拟启发也存在一定的风险性，因为如果恶意软体率先加载ring0驱动或者说其他方法获取了较高的权限，那么基本上没有什么方法可以阻止进程或者文件创立了，当然这都是空谈罢了，关键还是编程咯