同样是启发式杀毒，红伞和NOD32哪个的引擎更有优势呢？

hilan

如题，感觉论坛里面都在说红伞的启发很敏感，所以对病毒的查杀要高一些。所以请大家一起讨论、学习下

sli

无需考虑 当然是红伞了 再说红伞的流畅性。。。

阿奎罗2

等4L

qynubf

NOD32号称启发之父，做的时间应该比较长吧.不过偶在用小红伞，比起NOD32，小红伞查杀应该强一些吧.

heroa

半斤八两
启发式算法有很多实现技术哦。
当今杀毒界对未知病毒识别分支三大技术——
虚拟机（领导厂商BitDefender比特梵德、Kapersky卡巴斯基、国产的Rising瑞星也采用了部分基于虚拟机的技术)；
启发式（领导厂商大蜘蛛Dr.web、NOD32、Avira AntiVir小红伞、G DATA AntiVirus、国产的微点主动防御软件现阶段也是基于此技术）；
沙盒（领导厂商Norman Antivirus、Avast、JiangMin江民）。

hilan

回复 5# heroa


    顺带问一句：虚拟机和沙盒有什么不一样啊？

liu5678

NOD和红伞的启发原理好像不同~
一个是动态，另外一个是静态，论坛里面有相关的技术帖子。
需要详细了解建议搜索一下

皇柝

5L的分析个人不敢认同，我觉得基本上就是两类：基因码和虚拟机

基因码就是所谓的广谱特征码，因为厂商有数十万甚至数百万数千万的样本，将其总结归类可以分析出一些通用代码

虚拟机启发就是虚构一个空间让病毒模拟运行，在这个过程中分析行为进行判定是否有恶意

皇柝

不过基因码的启发比虚拟机启发的速度快很多

heroa

其实做到后来很多技术都是交叉实现，难以分类，也就是大致有个归类而罢了。
现在很多杀毒软件什么都在做，难免在最终效果上重复。因为大多数用户喜欢看到某某安全套装功能奇多多数时候忽略的安全软件的单个功能实际发挥的效果，比如某杀毒软件启发式极其强悍结果启发的实际效果基本没有发挥出来全是基因病毒库干掉了出现的恶意程序这也可以理解为软件本身设计上的故意冲突的设计以迎合某些轨迹评测获得好的成绩，然而杀毒软件到用户手里其实需要的只是一个功能能够发挥最大的效果已获得最优的结果。
关于虚拟机和沙盘的区别，卡饭以前一篇老帖子几个比喻很不错。
试论hips 沙盘和影子的区别三种安全软件的理念不同： hips是通过对所有进程的可能有害行为的提示达到保护的目的的。沙盘是通过隔离沙盘内进程与沙盘外进程，从而保证沙盘外进程及其它数据安全来达到防护目的的。而影子则是重启后系统还原达到安全目的的。首先假设这三种软件在防护上都不存在漏洞，并且不存在发送隐私数据的危险。那么这三种软件分别单独使用的安全程度是相同的，当然前提是使用者要会用。不要以为hips监控全局就安全，沙盘监视部分就不安全，因为沙盘的理念就是在干净系统上只要把住安全之门就可以了。可能的威胁与其它正常程序已被隔离，正常程序还有监控的必要吗？大家用hips+沙盘，主要原因不外乎：1.变态的安全心理2.不会正确使用沙盘 3.怕沙盘有漏。第三种情况实际和我们同时使用两个hips或更多想法一样，都是基于各个hips在监控上各有所长或各有漏洞的考虑。实际沙盘确有一点漏洞，即对沙盘内的进程不提供保护。这样沙盘内的病毒可能破坏沙盘内的进程，当然破坏了进程，不等于破坏程序，倒沙后程序照样复原。但沙盘内进程的密码极可能被沙盘内的恶意程序盗窃。不过这一点违背我的假设前提。这一点影子也是一样。所以如果说从防刺探考虑，沙盘和影子都要加个hips。但实际三者最终的安全效果，很大部分与操作者有关。而对于操作者的依赖，hips为甚。如果操作不当，再强的hips也没有用。沙盘次之，影子最下。所以考虑人的因素，安全性最高的当属影子。注：沙盘的不当操作主要指一股脑地把很多程序都扔进沙盘。要不沙盘易用性略等于影子了。另外也与操作者是否信任有关。影子与操作者是否信任一个程序无关，而沙盘全在乎信任与不信任，hips虽然表面上看来全部提示，但实际也取决于操作者是否信任。沙盘和hips信任错了，就可能无法挽回，比如加载驱动。但影子不受此限。说了半天，自己也晕。梳理一下防护理念： hips 所有程序沙盘 可能有害的程序影子或虚拟机 所有数据安全性： hips 取决于人沙盘 半取决于人影子 不用人的干预虚拟机 不用人的干预打个不恰当地比方： hips 是民警，社会上鱼龙混杂沙盘 是狱警，监狱外全是良民影子和虚拟机是天地轮回不过影子是地神而虚拟机是天神地上的东西可能受地上东西的诱惑而腐化蜕变天上的东西一般不会 补：窃取隐私是影子和沙盘的气门，但沙盘也正在想办法，比如加入键盘存取的询问，比如限制联网程序等。但估计都不能很好解决问题，因为恶意程序可能通过欺骗或篡改的手段，使沙盘内的其它程序窃取隐私发送数据另补：eq沙盘不在此列，因为 一 它还未问世，具体细节还在实现之中；二 它的ad可以更细腻。
鄙人以为适当的原则其实就像是穿衣服，应当随着四季的变化增和减，初级电脑用户再不明白程序是什么的情况HIPS等于无用没有必要贪多求全安装，非高安全级别也不需要比如游戏玩家。
一开始其实最适合的方式就是从最基本的杀毒软件和网络防火墙再加上一个系统清理软件起家，到熟悉了电脑操作系统和各种软件以及他们里面包含的各种功能和用途以后适当增加安全软件，
现在的安全软件集成的功能五花八门，一定要了解每个安全软件的各种功能具体用途和可扩展用途，尽量避免两个相同相似功能的软件同时安装同时运行。