【分享】关于杀软的启发与基因码的关系

显示全部楼层 · 发表于 2011-2-15 17:10:42

本帖最后由 sniss 于 2011-2-16 02:37 编辑

关于杀软的启发与基因码的关系，个人认为还是要结合杀软本身的报毒方式，但不必太过于将一些概念完全清晰化。
========================================================
例如：来自冰岛的杀毒软件F-Port，它也是以启发著名。它有三个启发引擎：Eldorado、Maximus、GSA。
如果是启发发现的，病毒名字后面是叹号＋启发引擎的名字，如：W32/NewMalware-Rootkit-I-based!Maximus、W32/Heuristic-114!Eldorado等等。但是，类似于这种W32/OnlineGames.F.gen!GSA，报毒方式中既体现了有基因又体现了有启发，也没有办法去具体区分杀软的启发与基因码的关系（也没有必要），毕竟核心技术我们并不了解。(By me)
========================================================
其他相关
例如：大蜘蛛（By 留侯）
具体如下：
启发式分析技术中的静态启发和动态启发概念，与基因式扫描分析技术概念，是两个不同的概念。静态启发和动态启发主要是指启发式分析技术的分类；而基因式扫描分析技术，是指作出（实现）启发式判断的一种方法。各个厂家的反病毒软件技术不同，有很大的差异，所以过于区分这样的概念是无意义的。就大蜘蛛而言，就没有明确提出静态启发和动态启发的概念，而大蜘蛛，就是采取基因式扫描技术的一个代表。

大蜘蛛的病毒库，除了加入特征码之外，更是采取了基因码入库，几乎每周，或者是每周2-3次，大蜘蛛都会优化病毒库，增强基因码，缩减相类似的特征码，同时提炼相关的特征和行为，加入到启发式分析和Origins.Tracing技术中。这就保证了在反病毒数据库尽可能少的情况下，实现尽可能高的查杀率。大蜘蛛的反病毒数据库之所以能做得这么少，是和反病毒引擎算法、能准确识别文档格式，以及内置的FLY—CODE全能解包器等等其他技术的配合分不开的。

就大蜘蛛扫描方式而言，除了传统的特征码扫描之外，还有启发式分析技术和Origins.Tracing技术，也就是非特征风险程序运算法则。一般情况下，由于大蜘蛛反病毒数据库内的特征码本身是基因式的代码，将类似的病毒家族归于一类，所以会做出特征码扫描和启发式分析，当然，您也可以将这个划分为静态启发和动态启发的范畴。

除此之外，大蜘蛛的Origins.Tracing技术，会利用反病毒引擎中的运算规则，对病毒作出判断，由于Origins.Tracing技术是不依赖于特征码的（非特征风险程序原算法则），所以这是对传统的特征码扫描和启发式分析技术的一种补充。当然，鉴于Origins.Tracing技术也是一种类似于行为判断的方式，从广义的角度来说，您也可以将其划入动态启发的范畴内。

目前的反病毒领域，各个反病毒软件厂商的技术不同，所以采取的反病毒方式也不尽相同，不仅仅是启发式分析技术，就主动防御而言，也没有一个明确的定义，我想只要了解这些反病毒软件的反病毒理念即可，不必太过于将一些概念完全清晰化。
========================================================
例如：F-Secure有多种报毒方法，有BitDefender B-HAVE引擎的报毒方法，还有其特有的引擎报毒方法。
启发式引擎Gemini（双子座）报毒方法：Suspicious:W32/Malware!Gemini
同时，hydra引擎报毒时后缀不带Gemini。
注：B-HAVE和Gemini同为启发式引擎，但其原理又有所不同，报毒方式也有所不同。
=================================================
我是扔砖头的，但砖头不是我造的。

以上观点仅供各位参考，欢迎探讨：）

显示全部楼层 · 发表于 2011-2-15 17:12:54

前排支持。

显示全部楼层 · 发表于 2011-2-15 17:19:19

本帖最后由 sniss 于 2011-2-15 17:19 编辑

怎么没人来，我走了。。。我对这个不了解。

显示全部楼层 · 发表于 2011-2-15 17:34:30

不错，来支持下！

显示全部楼层 · 发表于 2011-2-15 17:38:12

会用杀软就行了何必要搞的那么深入呢？有时间研究这个还不如想想那些算法怎样在程序中实现

显示全部楼层 · 发表于 2011-2-15 17:38:56

那是蜘蛛的特色

AVG的基因很给力，启发就很不给力

显示全部楼层 · 发表于 2011-2-15 17:40:01

天使联盟发表于 2011-2-15 17:38
会用杀软就行了何必要搞的那么深入呢？有时间研究这个还不如想想那些算法怎样在程序中实现

老实说，我基本看不懂这些，只能做到大致了解。我是非计算机类专业的童鞋，当然很多也不是。。。

显示全部楼层 · 发表于 2011-2-15 17:41:00

本帖最后由 sniss 于 2011-2-15 17:41 编辑

卡江东N 发表于 2011-2-15 17:38
那是蜘蛛的特色
AVG的基因很给力，启发就很不给力

我后悔了。。。没看AVG的报毒方法。。。

显示全部楼层 · 发表于 2011-2-15 17:42:21

回复 8楼 sniss 的帖子

我去给你弄几个

等着啊（人妻来换

）

显示全部楼层 · 发表于 2011-2-15 17:42:58

回复 9楼卡江东N 的帖子

好的~~~~~~~~~~~~~~~~~~~~~~~~~~

[讨论] 【分享】关于杀软的启发与基因码的关系

评分