关于杀软的启发与基因码的关系

帅就是帅

回复 9楼 lovehhy 的帖子

NOD我曾用过蛮长时间并无严重误报，而且感觉你说的是主防了，加权阈值国内费尔不就是？铁壳和returnil不知
而对于杀软，特征、基因、启发等都是手段，限于目前科技条件动态变化，也会有新的技术应运而生，但目前而言，没有必要苛责谁，呵呵，刚刚看了那个amigo的事，理智点~

帅就是帅

回复 10楼 fangweiqin 的帖子

呵呵，都有道理，所以难以统一界定
虚拟机，百锐etc

裂空我爱杰

里奥 发表于 2011-2-15 14:45
静态启发是使用特殊敏感代码，来预判，是病毒库的一种升级
动态启发是行为预判技术，几乎没有代码查杀，可 ...

为啥又看到乃了。。。
支持乃的意见

lovehhy

帅就是帅 发表于 2011-2-15 15:14
回复 9楼 lovehhy 的帖子

NOD我曾用过蛮长时间并无严重误报，而且感觉你说的是主防了，加权阈值国内费尔不 ...

不是主防，是基于软件行为的一种杀软技术，Returnil是有好几个专利的，就是说某种行为组合被定义为病毒，那么以后这样的组合都会被当做病毒。关键是服务器端的云里面的人工智能部分，怎么统计出行为来，并且定下阀值。

帅就是帅

回复 14楼 lovehhy 的帖子

这种方式其实误报会蛮大的，呵呵~

fangweiqin

lovehhy 发表于 2011-2-15 15:01
现在还有病毒吗？几乎是清一色的木马和流氓软件啊。

直接写盘操作、解码指令，或搜索某路径下的可执行程 ...

可是还是有鬼影熊猫等出现了。。
这一些出现还是造成不小的杀伤的。。

bayern

基因码
高级启发式
基因码正如lz所说，是记录病毒典型特征的代码，从而延伸出变种
高级启发式是一种算法，静态动态两种，静态应该依靠基因码，判断病毒类型；动态有的是虚拟机技术，我觉得虚拟机如何判断病毒行为，依旧还是基因码，因为基因码是带有病毒典型特征的，NOD有这样几种报发，特洛伊木马，特洛伊木马的变种，可能是特洛伊木马的变种。我觉得都是依靠基因码才能报出病毒及变种，否则就像微点一样报未知木马了。
综上，高级启发式启发式是依靠基因码为基础的一种算法，提高了病毒侦测率

留侯

启发式分析技术中的静态启发和动态启发概念，与基因式扫描分析技术概念，是两个不同的概念。静态启发和动态启发主要是指启发式分析技术的分类；而基因式扫描分析技术，是指作出（实现）启发式判断的一种方法。各个厂家的反病毒软件技术不同，有很大的差异，所以过于区分这样的概念是无意义的。就大蜘蛛而言，就没有明确提出静态启发和动态启发的概念，而大蜘蛛，就是采取基因式扫描技术的一个代表。

大蜘蛛的病毒库，除了加入特征码之外，更是采取了基因码入库，几乎每周，或者是每周2-3次，大蜘蛛都会优化病毒库，增强基因码，缩减相类似的特征码，同时提炼相关的特征和行为，加入到启发式分析和Origins.Tracing技术中。这就保证了在反病毒数据库尽可能少的情况下，实现尽可能高的查杀率。大蜘蛛的反病毒数据库之所以能做得这么少，是和反病毒引擎算法、能准确识别文档格式，以及内置的FLY—CODE全能解包器等等其他技术的配合分不开的。

就大蜘蛛扫描方式而言，除了传统的特征码扫描之外，还有启发式分析技术和Origins.Tracing技术，也就是非特征风险程序运算法则。一般情况下，由于大蜘蛛反病毒数据库内的特征码本身是基因式的代码，将类似的病毒家族归于一类，所以会做出特征码扫描和启发式分析，当然，您也可以将这个划分为静态启发和动态启发的范畴。

除此之外，大蜘蛛的Origins.Tracing技术，会利用反病毒引擎中的运算规则，对病毒作出判断，由于Origins.Tracing技术是不依赖于特征码的（非特征风险程序原算法则），所以这是对传统的特征码扫描和启发式分析技术的一种补充。当然，鉴于Origins.Tracing技术也是一种类似于行为判断的方式，从广义的角度来说，您也可以将其划入动态启发的范畴内。

目前的反病毒领域，各个反病毒软件厂商的技术不同，所以采取的反病毒方式也不尽相同，不仅仅是启发式分析技术，就主动防御而言，也没有一个明确的定义，我想只要了解这些反病毒软件的反病毒理念即可，不必太过于将一些概念完全清晰化。

fangweiqin

回复 18楼 留侯 的帖子

留侯关于大蜘蛛的知识很丰富，学习了。。

追梦空间

看看前面大牛的帖子，都太深奥了，自己小小的一点知识还是不要来班门弄斧了。