ess仍须努力

mofunzone

原帖由 EQ2 于 2007-4-5 23:03 发表

期待能完美解决北斗问题和增强动态启发

北斗貌似解决了。。
动态启发。。
neeeeeeeeeeeeeeeh..

solcroft

原帖由 EQ2 于 2007-4-6 16:33 发表

期待能完美解决北斗问题和增强动态启发

ESET没对主动防御这一方面研究，有点遗憾
增强启发式唯一的好处是可以在AV-Comparatives里的proactive detection test获得好评，可是实际上比起来的话启发式还是注定惨败主动防御的

The EQs

原帖由 solcroft 于 2007-4-6 15:07 发表

ESET没对主动防御这一方面研究，有点遗憾
增强启发式唯一的好处是可以在AV-Comparatives里的proactive detection test获得好评，可是实际上比起来的话启发式还是注定惨败主动防御的

不一定。。。。动态启发如果好的话，不会输的那么惨，至少现在没有几个杀软的动态启发很NB。。。。。。有的杀软甚至还只是静态启发

The EQs

貌似据偶所知，没有多少杀软是用的动态启发。。。大多数还是静态启发。。。。。动态启发NB的话。。还是可以和行为拦截相媲美的。。。

solcroft

原帖由 EQ2 于 2007-4-6 16:38 发表

不一定。。。。动态启发如果好的话，不会输的那么惨，至少现在没有几个杀软的动态启发很NB。。。。。。有的杀软甚至还只是静态启发

我可以告诉你，无论是NOD32还是其他杀软都没有所谓的“执行时报毒”的能力（除非是报生成物），只有误解动态启发的操作原则的人才会这么以为
NOD32的启发式就算能做得比其他杀软优秀，怎么说也还是和主动防御不一样的档次的，到样本区闯闯便知道

The EQs

原帖由 solcroft 于 2007-4-6 15:14 发表

我可以告诉你，无论是NOD32还是其他杀软都没有所谓的“执行时报毒”的能力（除非是报生成物），只有误解动态启发的操作原则的人才会这么以为
NOD32的启发式就算能做得比其他杀软优秀，怎么说也还是和主动防御 ...

那你来说说看

7sumetai

Solcroft的意思是执行的时候报病毒不属于启发式的监控范围吧？

buycard

启发式也有动态、静态之分，NOD32既有动态，也有静态。

solcroft

我的意思是如果杀软静态扫描时不启发报毒，那执行病毒事也一样不会启发报。
原因很简单，所谓的动态启发就是利用纯软件虚拟机来模仿CPU和操作系统的部分功能，然后把病毒在这个虚拟环境里执行，并捕捉其行为，利用各种公式来判定是否有害档案。
为什么说杀软没有“静态扫描不报，执行时报”的能力？因为动态启发根本没有能力来观察不在虚拟机里执行的进程。换句话来说，只要杀软没法在虚拟机里判定是未知病毒，把病毒放行之后，病毒在物理机上运行时动态启发便无能为力了。静态扫描和系统监控都是使用一样的动态启发原则，只要病毒能过静态扫描，系统监控也必挂无疑。
而且杀软的虚拟机的功能也非常有限，如果要真正模拟一个完整的虚拟机出来需要十分庞大的系统资源和时间，所以一般来说动态启发只能模拟一些“比较重要”的CPU功能和系统API。病毒要避过动态启发也简单得恐怖，基本上只需要测试看有哪一些API的行为明显是被模拟出来的，便可以判定自己是被杀软的动态启发在虚拟机理执行，把自己的恶意行为压制着不发作，就这样轻而易举地躲过动态启发的查杀。然后被放行到物理机上时，再次检查系统API的反应，证实自己在物理机上执行了后便...

还有最简单的一点，其实自己动动脑筋也想得出。能执行时报未知病毒的软件，根本就是主动防御了。

chr707

学习了

没有使用  今天就学习了