【原创】浅谈高级启发和主动防御

kaner

不错不错

alva0203

感觉ESET的网页防护还是有点..

zjjjjz

高级启发也就是，当一个狙击手发现了疑似敌军将军，特征就是穿着军服，带着军帽，因为不能确定是不是敌军将军，就报告给司令部（用户）发现疑似敌方将军，理由是......，是否击毙。在司令部下达击毙命令前，狙击手会一直锁定疑似敌方将军。
   主动防御是，当一个狙击手发现了疑似地方将军，和高启不同的是，主动防御在等待着有个士兵向疑似将军敬礼，或者疑似将军做出了只有将军才会做的动作时候，狙击手直接选择击毙，然后才报告给司令部说已经击毙敌方将军。

以上类比相当精彩！~~~

爱在雨中停

感觉其中也有不恰当的。。每个杀软的启发都一个技术么？不是的吧。。。NOD的启发是虚拟机技术吧？还有主动防御。。微点的是怎么样的技术？其他的呢。。卡巴呢？、这个比喻也许真能说明一部分问题。。。但是感觉还是有误导性。。。因为各个杀毒厂商的技术真的是怎么样的。。一般人也不是很清楚的~~

恩，写的还不错！！！

yuanf8

其实何为主动防御？我觉得就是监控，类似网马拦截。网马进来了，进行行为了，你杀了，这能叫主动么？
strawman0719 发表于 2010.7.22 17:15

感觉LZ写的主动防御应该是行为分析，行为分析应该是主动防御的一部分

小林制药

首先说一下楼主写的东西非常的不错，分析得非常透。但是我觉得在开头的那两段里面比方打得有点问题——目前情况下，高级启发分析一般不需要用户的介入，ESET的我虽然没用过很久，但是我记得似乎是即使开了高启也不会弹框询问用户（与用户进行交互），卡巴斯基是肯定不会，诺顿的SONAR也不会。而主动防御通常会询问用户进行下一步操作。
另外，我觉得高级启发技术未必不依赖病毒库，假设全部基于云技术，那么在面对断网的时候高启发岂不是就一文不值？事实上我在用ESS4的时候就经常断网，但是它的查杀率并未显著下降，也许可以从侧面说明ESS的高启对云的依赖程度并不是极其的高吧。
主动防御也未必是全部依赖特征码和行为代码，它也可以对某些敏感的API或者内核级操作（例如加驱）进行针对性拦截，换句话说无论是正常的还是病毒的它都会拦截而且弹框——最明显的例子就是毛豆，在操作员有一定技术能力的情况下是可以拦截大多数未知病毒的，而不需要升级库。
我对ESS的感受来自ESS4，卡巴斯基的感受来自KIS2010，对诺顿的感受来自NIS2010
当然，如果我说错了楼主就直接无视吧。

lbb9432

高启
很强啊！

angelfish

好用就行。。。学习学习

zw610700

好用，顺畅，防毒杀毒强就最好。