知识贴--------ThreatSense简介

显示全部楼层 · 发表于 2007-3-29 15:58:01

Traditional, signature-based security solutions only react to known threats. The problem is that signature based solutions can only detect known attacks with identification signatures that need to be available in the users‘ system at the time of the attack, which often takes a few hours. With the speed the new malware can spread today, the risk that you become a victim of a new, so far unknown infiltration is too real. The solution of ESET is based upon the unique ThreatSense® technology utilizing a new generation of advanced heuristics. This technology offers proactive protection against newest infiltrations in the early hours of their spreading, while the experts in ESET’s labs work on creating of a new signature which is to be added to the virus signatures database of NOD32.

ThreatSense® technology - a unique proactive solution
The ThreatSense® technology combines various techniques of testing based upon heuristic analysis including emulation of a full 32-bit code and exact and generic signatures. One of NOD32‘s key strengths is its ability to utilize different scanning techniques in a parallel fashion to maximize performance.

ThreatSense.Net® early warning system

ThreatSense.Net® technology is a statistical system of gathering data, due to which we are able to react to future virus outbreaks effectively in advance.

显示全部楼层 · 发表于 2007-3-29 16:28:30

又是鸟语

显示全部楼层 · 发表于 2007-3-29 16:58:57

实际实现起来就没有说的那么好了……比如最简单的U盘感染病毒，NOD32如果是启发的话就是傻到不知道删除本体。

显示全部楼层 · 发表于 2007-3-29 17:10:00

虽然不是很明白，不过感谢了

显示全部楼层 · 发表于 2007-3-29 17:15:43

其实真正体会过行为阻拦的威力的人，我想都应该早已对启发式扫描信心全失
任何杀软的启发式就算吹得再好，在大量的未知病毒面前也只能说是对用户的一种心理安慰罢了

显示全部楼层 · 发表于 2007-3-29 17:24:34

原帖由 solcroft 于 2007-3-29 17:15 发表
其实真正体会过行为阻拦的威力的人，我想都应该早已对启发式扫描信心全失
任何杀软的启发式就算吹得再好，在大量的未知病毒面前也只能说是对用户的一种心理安慰罢了

启发式比行为拦截优秀的地方就是无需自我判断
要是一个电脑高手
ssm就够了
根本不需要行为拦截
比如要调用键盘钩子的行为
行为拦截就不可能判断出是毒还是正常文件
只会给个高风险的提示
还是自己判断
而现在大多数人电脑水平还没到能准确分辨是否是有害文件的程度
所以启发式还是有优势的

显示全部楼层 · 发表于 2007-3-29 17:44:37

原帖由 风野胤 于 2007-3-29 17:24 发表
启发式比行为拦截优秀的地方就是无需自我判断
要是一个电脑高手
ssm就够了
根本不需要行为拦截
比如要调用键盘钩子的行为
行为拦截就不可能判断出是毒还是正常文件
只会给个高风险的提示
还是自己判断 ...

其实行为阻拦和HIPS有所不同，行为阻拦基本上不只是单看一个行动后判定风险性，而是连察程序的连续行为后才下判断
如Cyberhawk和微点这一类的软件，其实宗旨是要做到智能化，尽量减少需要用户自行判断的情况出现，出现了提示，也不需要是高手才能懂得如何处理，阁下不妨自己试试看，行为阻拦根本就不是只有高手才用得上的东西
更何况启发式也未必完全不需要用户来自我判断，也还不只是报了个可疑文件，接下来要怎样也还是要看用户
至于效果，那更不用说了，到样本区可以明显看得出启发式和行为阻拦防之间的差距

显示全部楼层 · 发表于 2007-3-29 17:53:14

原帖由 solcroft 于 2007-3-29 17:44 发表

其实行为阻拦和HIPS有所不同，行为阻拦基本上不只是单看一个行动后判定风险性，而是连察程序的连续行为后才下判断
如Cyberhawk和微点这一类的软件，其实宗旨是要做到智能化，尽量减少需要用户自行判断的情况 ...

nod报的可疑文件99%都是毒
而行为拦截不可避免的误报多
个人觉得行为拦截还是不成熟
不过也不能否认
以后行为拦截是发展方向
所以还是很看好微点的

但是如果行为拦截发展起来了
不可避免也有人会研究如何通过假象来骗过行为拦截
这是没有办法的
再主动防御也只是防

显示全部楼层 · 发表于 2007-3-30 12:34:43

非常赞同楼上的....