弱弱的问下NOD32的高启发

显示全部楼层 · 发表于 2010-6-26 21:03:44

最近看了看高启发的原理
貌似如下：把文件放进虚拟机里运行，让文件自动脱壳运行，然后看看它的行为特征从而判断是否为病毒。

如此，我有个小小的问题：
这应该是指病毒没运行时的吧？
如果运行着的病毒那不用虚拟环境，直接就分析行为动态啦
那么，NOD32的高启发是不是只是争对病毒存在却没被激活的状态下才有用呢？

小菜一个，没什么知识，请相关人士指点一下~！谢啦

显示全部楼层 · 发表于 2010-6-26 22:35:38

没人能回应一下吗？~~

显示全部楼层 · 发表于 2010-6-26 22:41:36

不会的如果直接运行万一病毒的生成物释放出来
NOD查不出不就完蛋了

显示全部楼层 · 发表于 2010-6-26 22:52:15

回复 3楼 波导的勇者 的帖子

呃……我的意思不是让NOD直接在实机运行病毒
我是问：如果病毒是在运行的话，那么根本不需要虚拟机啊，它直接就在现实环境下自动脱壳运行了，这样的话，虚拟机岂不是无用武之地？（很多威胁都不是要用户自己去点击才激发的，很多都是在运行的时候感染的，这样的话，NOD的虚拟机到底起着什么样的作用呢？
求解

显示全部楼层 · 发表于 2010-6-26 22:55:36

回复 4楼 longkidd 的帖子

我说了
病毒如果在实机运行的话已经对系统产生了更改
所以会先用虚拟机扫描在实际运行

显示全部楼层 · 发表于 2010-6-26 22:59:22

NOD的启发不是指病毒运行后启发，而是将文件在虚拟环境中运行，然后判断
应该是这个意思。。。。。。

显示全部楼层 · 发表于 2010-6-26 23:49:22

最近看了看高启发的原理
貌似如下：把文件放进虚拟机里运行，让文件自动脱壳运行，然后看看它的行为特征从 ...
longkidd 发表于 2010.6.26 21:03

参看5楼的说法吧查杀和防护不能等同

显示全部楼层 · 发表于 2010-6-27 09:51:10

回复 6楼 aslprince 的帖子

如果面对本身系统就存在病毒的机子呢？高启发还有用吗？

显示全部楼层 · 发表于 2010-6-27 13:05:00

回复 4楼 longkidd 的帖子
会先用虚拟机的否则实际病毒运行了已经感染了系统 nod可能会有遗留那就悲剧了

显示全部楼层 · 发表于 2010-6-27 17:04:15

路过瞧瞧

[讨论] 弱弱的问下NOD32的高启发