----------关于动态启发和行为杀毒的疑问-----=====

饭卡-sina

我的理解：

启发式：对于静态启发来讲，仍然要有病毒库实际是启发库，只保留了病毒特征码的根，而杀具有相同根的一类。

纯粹特征码式：一对一，对号入座。

第三代的行为式：弱化病毒代码式的特征码，而转向其行为特征，通过监控文件运行的行为而断定是否有威胁。

公式表述：

启发：          只要具备了根，比如根A，把A入库了，就可以杀A1、A2、A3、、、、     
                     但是对于根B，在静态启发没有入库之前是无法查杀的，B1、B2、B3、、、


                    因此对于B，启发式要动用动态启发，给病毒一个仿真环境，诱发其运行，看看有无恶意行为，有则杀之，

那么此时它与微点的式的行为判定方式不是一样的么？微点所谓的行为防御难道其实只是启发式的一种：动态启发？

Pai酱

没看懂...

lsgster

不懂飘过

jiexp

复杂!

默许

好绕 不过确实在理

枕书听涛

偶很不好意思地说：偶都没看懂

easybeing

做行为类的还是向卡巴看齐吧，卡巴的技术还是最好的，但是产品。。。

红魔

回复 1楼 饭卡-sina 的帖子

楼主描述的不是静态启发，是基因码查毒。。。。和静态不一样，静态启发据人称是会反汇编出程序的代码作行为分析的。另外，顺便一提，有的厂商认为基因是启发的一种。

动态启发理解正确。

而像微点主动防御软件那样的行为防御（不是叫行为杀毒。。。），和动态启发不一样。因为他不建虚拟环境，直接实打实的根据程序的动作做判断、然后拦截。
行为防御是由HIPS发展来的智能HIPS。

不用虚拟环境似乎不大安全。但其实没什么问题。
而且虚拟环境不是那么好建的。为了减少资源占用，不会建的太严谨，分析也可能不会太全面。
所以，微点不是动态启发。
举个例子，你想，卡巴可是又有主动防御又有动态启发的，这可是2个功能。