关于NOD32 Avast! Norman F-Prot 微点 CureIt！

爱在雨中停

    NOD32  Avast!   Norman  F-Prot  微点 CureIt！都是我很喜欢的。其中的CureIt！只用它绿色扫描下，嘿嘿。。
    NOD32  Avast! 微点。大家想必都很熟悉了。。那么Norman  F-Prot  呢。。这两个很强悍的东西我本人了解甚少。。。最近安装尝试。。不知道大家有熟悉他们的没。。。在下面给介绍下它们。。或者说下NOD32  Avast!  Norman  F-Prot  Dr.web的引擎。。技术。。以及更多的信息。。。
特征码查杀技术
  传统杀毒软件多采用特征值扫描技术，即由专业反病毒人员在反病毒公司对已可疑的程序进行人工分析研究，人工判断该程序是否是病毒；如果该程序是病毒，由反病毒工程师人工提取该病毒的特征码，再通过升级的方式更新用户计算机上杀毒软件的病毒特征库，此时用户计算机上的杀毒软件才能判断某个程序是病毒。也就是说，如果用户不升级，用户计算机上的杀毒软件就不能防范新出现的病毒。这也就是防病毒公司始终强调用户要实时升级的原因。可以这样说，病毒总是出现在杀毒软件更新病毒特征码之前的，因此，传统的杀毒软件对新病毒的防范始终滞后于病毒的出现
   特征码扫描主要是提取病毒文件的特征，注意：这并不一定是病毒所独有的，所以有的时候杀毒软件会误报。提取特征码的过程往往是自动的，少数时候需要反病毒专家人工干预。
启发式引擎技术
    启发式引擎的目标是自动化地区分正常程序与非正常程序，因此就要“尽一切可能”利用两者的不同点，哪怕这不同点很无赖，但是只要它是有效的，就是正确的 　　早期的启发式引擎主要是用来针对感染文件的病毒，不过这和熊猫烧香之辈有天壤之别。首先以前的文件感染病毒一般都是用汇编写的。其次，感染方法上，以前的文件感染病毒是把自己插入感染目标作为其一部分，而不像熊猫烧香那样把感染目标捆绑为自己的一部分。针对 以前的文件感染病毒，启发式引擎一般采用查找重定位指令、反EPO（对抗入口点模糊）、虚拟机（对抗多态）等方法，不过谈这个未免太枯燥，大家有兴趣自己 查查吧，更何况现在真正意义上的文件感染病毒少之又少。 　　到最近，恶意程序发生的最大变化就是，它们一般都是用高级语言（VC++、VB、Delphi...）写成，而且一般都是独立一个文件（不再插入别人感染），以往的启发式引擎面临变革。 　　API（Application Programming Interface），微软提供给编程者的接口，给编程者提供了极大的方便。举个例子，我要写一个读硬盘文件的程序，如果我要直接操作硬盘，那么意味着我 要了解硬盘的基本架构、我要了解不同的分区方式，以及FAT、FAT32、NTFS...，一个小小的程序足以把我累死，而且万一我的程序出问题了，整个 硬盘数据可能就报销了。有了API以后，我只要调用ReadFile等API函数，剩余的工作就可以交给Windows做了，而Windows的代码一般 可以确保其高效性和可靠性。 换句话说，探知程序调用了哪些API就可以大致了解它要干什么了。 　　PE（Portable Executables）的格式，每个EXE文件都有自己的格式，并不是从第一个字节开始就是代码。引入表其中告诉系统这个EXE要调用哪些API。当系统加载EXE的时候，会根据引入表中的信息，把正确的API函数的位置填入引入表，这样EXE就能正常调用API了。除了用于存放代码的代码段，EXE文件中还有用于存放字符串等数据的数据段。对于更复杂、体积更大的数据，比如图像、运行中要释放的子文件、窗口的布局等则会作为资源存放。
规则
　　现代的启发式引擎主要面对的是：木马、间谍程序、下载者、已知恶意程序的变种等。现在，启发式引擎很少去分析代码，因为这些东西一般都是由高级语言的编译器 做成的，从代码风格上和正常程序没有太多区别（高级语言编译器一般以代码最优化为目标，而病毒的代码则一般以混淆分析者为目标）。即便代码风格异常，也有 可能是加壳所致（壳一般是由汇编写成的）。相反的，刚才提到的引入表、数据段中的字符串、资源，成了重要的判断依据。
关于NOD32的启发杀毒技术（Eset中国样本提交系统：http://sample.eset.com.cn）
     启发式是最有效的安全保护，病毒程序的防护必须要在其对计算机造成影响前实时地进行。nod32功能页面那些时刻等待着病毒特征库更新的防毒软件会给攻击打开一扇窗，稍不留神就有可能给您造成灾难性的后果。ESET NOD32则凭借其ThreatSense ®技术，将会关闭这扇窗，而不像大部分依靠特征库更新的防毒软件
ESET NOD32通过实时分析应用软件的执行过程来判断是否存在恶意企图，可以提前地侦测并拦截病毒威胁。而且，在大多数情况下不需要进行病毒特征更新。与此相反，多数的其它杀毒软件只会在他们的用户受到新病毒攻击后的几个小时发布病毒特征。 　　对多种威胁的保护措施由下列模件提供： 　　文件实时监控 (AMON)常驻内存的扫描器，它会自动的扫描计算机将要访问的文件。 　　ESET NOD32手动扫描器（按用户要求进行扫描）,可选择要扫描的文件和磁盘分区。 也可以计划在某个空闲时间自动扫描。 　　网络监视（IMON）常驻于内存，在Winsock级来防止恶意代码入侵电脑，它会扫描互联网浏览网页(HTTP)、以及POP3电子邮件协议。 　　MS Office文件实时防护（DMON）通过监视微软提供的API，在打开office文件时首先检测文件是否被感染(包括在IE上打开office文件)。 　　MS Outlook电子邮件保护（EMON）一个辅助的模块，通过MAPI接口与电子邮件客户端软件协同工作，比如 Microsoft Outlook 、Microsoft Exchange。
关于Avast！的实时监控功能
     Avast！的实时监控功能十分强大！它拥有七大防护模块：网络防火墙防护、标准的本地文件读取防护、网页防护、即时通讯软件防护、邮件收发防护、P2P软件防护。这么完善的防护系统，定能让你的系统练就一副金刚不坏之身！任意开启各项保护模块能够查杀流氓软件,比如3721。
关于微点的主动防御的技术特点
    微点主动防御软件获得五个重大技术创新：
    1、创立动态仿真反病毒专家系统：对病毒行为规律分析、归纳、总结，并结合反病毒专家

判定病毒的经验，提炼成病毒识别规则知识库。模拟专家发现新病毒的机理，通过对各种程序动作的自动监视，自动分析程序动作之间的逻辑关系，综合应用病毒识别规则知识，实现自动判定新病毒，达到主动防御的目的。

　　2、自动准确判定新病毒：分布在操作系统的众多探针，动态监视所运行程序调用各种应用编程接口（api）的动作，自动分析程序动作之间的逻辑关系，自动判定程序行为的合法性，实现自动诊断新病毒，明确报告诊断结论；有效克服当前安全技术大多依据单一动作，频繁询问是否允许修改注册表或访问网络，给用户带来困惑以及用户因难以自行判断，导致误判、造成危害产生或正常程序无法运行的缺陷。

　　3、程序行为监控并举：在全面监视程序运行的同时，自主分析程序行为，发现新病毒后，自动阻止病毒行为并终止病毒程序运行，自动清除病毒，并自动修复注册表。

　　4、自动提取特征值实现多重防护：在采用动态仿真技术的同时，有效克服特征值扫描技术滞后于病毒出现的缺陷，发现新病毒后自动提取病毒特征值，并自动更新本地未知特征库，实现“捕获、分析、升级”自动化，有利于对此后同一个病毒攻击的快速检测，使用户系统得到安全高效的多重防护。

　　5、可视化显示监控信息：对所监控程序行为的信息可视化显示，用户可随时了解计算机正在运行哪些程序，其中哪些是系统程序，哪些是应用程序，还可进一步了解程序是何时安装，什么时候运行，运行时是否修改了注册表启动项，是否生成新的程序文件，程序是否具有自启动，程序由谁启动执行，程序调用了哪些模块，以及当前网络使用状况等等。用户直观掌握系统运行状态，并依据其分析系统安全性。既可用作系统分析工具，又可作为用户了解计算机系统的学习工具。
    微点主动防御软件建立了动态仿真反病毒专家系统，能够自动准确判定新病毒，并且能够自动提取特征值，自动更新本地特征值库，实现对病毒的主动防御。简单来讲，微点主动防御软件不是依于病毒特征码的判断，是依靠动态仿真反病毒专家系统根据病毒程序运行的行为进行判定，就像一个专业反病毒人员人工判断病毒一样，但微点实现了程序的自动化。

　　微点主动防御软件与当前流行杀毒软件的主要区别：微点主动防御软件依靠动态仿真反病毒专家系统的病毒识别规则知识库自动准确判定新病毒，当前流行杀毒软件依赖于专业反病毒人员手工判断提取的病毒特征码。在防范新出现病毒的时间上，微点主动防御软件是实时发现新病毒，当前流行杀毒软件需要等待防病毒公司更新病毒特征码后才能发现病毒。
关于 Dr.web引擎的启发式加虚拟脱壳
    它是俄罗斯国家科学院合作开发的，供军方和克里姆林宫专用。它是一种新型的基因式扫描杀毒软件，启发式加虚拟脱壳，北斗的壳，外面再加壳，加跳针也可以干掉，占用内存很少。可以说是最强的引擎。对付变种病毒和木马最好了。可以干掉加密XTA算法。清除极其复杂的病毒。
关于F-Prot的三大启发引擎
    F-Prot有三个启发引擎，最新的那个Eldorado，还有两个Maximus，GSA，如果是启发发现的，病毒名字后面就是叹号＋启发引擎的名字，如W32/NewMalware-Rootkit-I-based!Maximus，W32/Heuristic-114!Eldorado，W32/OnlineGames.F.gen!GSA等等，最新的那个是Eldorado威力相当猛的。
关于Norman的SandBox诱捕技术
   先进的病毒扫描引擎、启发式分析技术以及宏验证技术，可有效查杀已知和未知病毒。NVC可以查杀所有类型的病毒，包括文件和引导扇区病毒而无需重新启动开机。
    当发现文件受病毒感染，NVC会在破坏代码生效前立即将它隔离或删除。著名的Norman病毒扫描引擎取得重大的技术突破，在新版本中加入了革命性的SandBox诱捕技术，更有效查杀新型未知病毒，包括特洛伊木马和蠕虫。

爱在雨中停

[:26:]了解NOD32  Avast!  Norman  F-Prot 的朋友们。。。敲击你们的键盘吧。。。。写出你们对他们的认识

波导的勇者

F-Prot 是第一个有启发的 而且现在启发很牛的 不过其他不咋的

爱在雨中停

回复 3# 波导的勇者 的帖子

冰岛的启发和其他的相同么？
   

NobleT

f-prot 我来卡饭时最喜欢的杀软。来自冰岛的杀软。想要搞到key很难。该杀软申请试用key之后记录你电脑硬件信息.....具有3个启发引擎。GSA Maximus Elldorado 其中eldorado启发引擎最厉害。启发鼻祖！
norman是我一见钟情的东西，就因为喜欢墨绿色，所以用上了，现在拥有sandbox dna matching exploit detection三项技术。成绩正在稳步提升。有中文版。也有3年key申请，申请不到可以PM本人....关于资源占用和其他方面，因人而异.............

波导的勇者

回复 4# 爱在雨中停 的帖子

不是
不过这几年 这两位哥们不行了
   

爱在雨中停

回复 5# NobleT 的帖子

很强大。。。很详细
   

aiyaya8

冰岛最近不怎么红了，之前谈的人还不少~

勇者无敌

回复 8# aiyaya8 的帖子


    谁叫他绑硬件的，不能无限试用，对我们这些习惯盗版的人来说就是杯具！

爱在雨中停

回复 5# NobleT 的帖子

[:26:]
    我用的是它的7.0版本。。。话说它都8.0了吧。。杯具。。还是NOD32和小A各方面资源能多点。。