【原创】浅谈高级启发和主动防御

chenpatrick

查了2天资料，高启发就是针对病毒的编译代码，只要病毒含有带有威胁性的代码，就报毒，那个最明显的例子，拿我最喜欢的狙击手来说，
   高级启发也就是，当一个狙击手发现了疑似敌军将军，特征就是穿着军服，带着军帽，因为不能确定是不是敌军将军，就报告给司令部（用户）发现疑似敌方将军，理由是......，是否击毙。在司令部下达击毙命令前，狙击手会一直锁定疑似敌方将军。
   主动防御是，当一个狙击手发现了疑似地方将军，和高启不同的是，主动防御在等待着有个士兵向疑似将军敬礼，或者疑似将军做出了只有将军才会做的动作时候，狙击手直接选择击毙，然后才报告给司令部说已经击毙敌方将军。
    高级启发和主动防御的优势就在于，能够提前发现病毒，远在病毒有所动作之前就被杀掉，给杀毒软件厂商的任务就是，每当发现一个新病毒都要提取出病毒特征码，而且也要分析出可能变形代码，也就是说ESET里面编写高启发病毒库的程序员本身也是很牛的黑客，知道作为病毒编译者会怎么逃过查杀，从而做出反查杀代码。毕竟病毒分析员不是神，不可能想到所有的免杀手段，这就是为什么会有误杀。
    主动防御就属于只要你符合我病毒库里面的病毒的行为，病毒的特征，那么你就是病毒，杀掉，这主要还是要依赖病毒库，大量收集病毒，编写主动防御类型的病毒库，病毒分析专家得到新病毒后，分析出病毒的特征，运行后行为是什么然后就入库，加了壳后，杀毒软件先要把壳给卸载了，再让病毒在虚拟机中运行。看看是不是符合病毒库里的病毒行为。
    对于高级启发和主动防御发现未知病毒的方式也不同，还说拿狙击手的例子来讲，在名字叫高级启发的狙击手在执行暗杀任务的时候，就只会携带一张要暗杀的对象的照片，但是在高级启发执行任务前，已经熟知暗杀对象的种种生活习惯，可能会整容后的样子和可能会改变的行为。在高级启发发现新病毒的时候，首先会分析暗杀对象的外貌或者整容后的外貌，如何有符合就报某某病毒，如何没符合的就进入第二步，跟踪暗杀对象看看有没有符合暗杀对象的生活行为，如果有符合就报某某病毒变种，如果没有符合的就看暗杀对象的行为举止是否符合，如果符合就报可能是某某病毒变种。如果没符合就暗杀任务失败（被过了）
   对于主动防御就是执行暗杀任务的时候会带一个笔记本电脑，把病毒的可能性变化全部列出，只要符合其中任何一条，就报是病毒
   总结：高级启发不用依靠病毒库，依靠的是NOD32独特有的threatsense.net（国内所谓的云查杀）系统。主动防御就是要依靠病毒库，依靠病毒库的大量特征码和行为代码。
   未来就是未知病毒会不断的出现，依靠病毒库吃香的就在也不行了，但是高级启发和主动防御是相辅相成，虽然高级启发和主动防御是出于同个祖宗，特征码，但是科技进步，分化出两种查杀病毒的技术，就那我们人和猩猩，基因相似率99%，而我们人是万物之主，而猴子只能作为灵长类动物，然后我们人类的食物链不能没有灵长类的存在，而灵长类也不能没有我们人类的存在。这就是高级启发和主动防御的关系。

在自己真诚希望ESET NOD32开发出自己的智能主动防御，kaspersky提高高级启发的能力。这样病毒就再也无处藏身了
   

波导的勇者

我无所谓 查的出威胁就是好产品

hilan

样本区有卡巴用高启干掉而NOD32高启无视的病毒

gsl9583306

对楼主的原创表示支持！

lemon002

来学习学习了。。。

xiaoyaosanren

白猫黑猫 抓到老鼠的就是好猫。。。。

圆谷光彦

卡巴的启发还是很好的。
现在所谓的主动防御更像行为分析。

lvhen422

高启发程序员都有黑客的资质

blshgf

写的真好，浅显易懂

liguosheng88119

好用就可以了！现在用nod32很安静，我的笔记本电脑用也不卡！笔记本可是两年前的了.....