» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 预升级反馈专区 » 区别？   作者: 标题: 区别？ ab888 新手上路 积分 23 发帖 23 注册 2007-8-5 #1  区别？ 请问主动防御和启发式有什么区别？ ※ ※ ※ 本文纯属【ab888】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-14 17:54 5044704 新手上路 积分 20 发帖 20 注册 2007-3-24 #2   （转贴）浅谈启发与行为判断，兼回对样本测试帖的质疑（来自中天论坛） 1.启发和行为判断的目的 很简单，因为对已知病毒所有杀毒软件都可以处理得很好，所以真正威胁我们计算机安全的都是那些尚未收集到特征库中的未知病毒。启发和行为判断的目的都是为了在本地特征码库升级之前就可以帮用户处理一些未知病毒，提升用户的本地安全防护水平。 2.启发的优点和缺点 启发式是对程序代码进行分析归纳，试图找出病毒的破坏代码规律，从而判断出未知病毒。简单说启发式==静态程序行为分析。启发式的优点就是适合于附加到扫描引擎中。如果说普通特征码扫描引擎叫做杀毒软件1.0的话，我觉得启发式应该成为杀毒软件1.5，也就是一种增强型的特征码扫描技术。 由于启发式针对的是程序二进制静态原始操作码，所以任何对程序原文件的干扰都会严重干扰启发式的判断。譬如说加壳，对加了壳的程序，直接用启发式判断显然是没有意义的，必须先经过脱壳恢复程序本体后，才能使用启发。这就牵扯到一个脱壳的问题，我个人对见壳就报警，见捆绑就报警的高敏感扫描引擎不太喜欢。所以高效脱壳是非常必要的，也是启发式能广泛应用的一个先决条件。 说句题外话，现如今的杀毒软件脱壳技术怎么样啊？答案是普遍都不怎么样。前几天在绅博国内杀软区看到一个帖子，转的是太平洋去年十月的一个帖子。呵呵，网友们看着一个一个假脱壳的图片，看得都美着呢，我真挺不理解的。一个样本加12种壳后，然后扫描这12个加壳的样本。真正的脱壳引擎扫描出的结果应该是12个同一名称病毒，因为杀毒软件要将加壳的样本先脱壳恢复成样本本体，然后再用特征码进行判断。实际结果呢？有兴趣的话您自己去看吧，看看著名厂商们怎么用丰富多彩的带壳提特征的假脱壳引擎来冒充真脱壳引擎糊弄普通老百姓。 http://softbbs.pconline.com.cn/topic.jsp?tid=6087616 这就是杀毒软件的现状，鉴于对脱壳这个先决条件目前完成的都不是很理想，所以我对启发式比较看淡。但是我要承认，启发式是扫描引擎的未来发展方向。 3.行为判断的优点和缺点 启发是静态程序行为分析，行为判断是动态程序行为分析。动态分析的优点主要就是从机制上减少了很多干扰判断的东西，譬如说实时行为分析对加壳等改变程序静态代码的手法天然免疫。由于动态行为分析受干扰小，所以判断的准确度会比启发式高一些，而误报也会低一些。所有程序不管其静态的时候被作了多少改动，在其运行的时候都要自动还原成本体，毕竟没有人愿意搞出一个无法运行生效的死木马。 实时行为判断的缺点，第一只适合做实时监控，难以嵌入到扫描引擎当中。第二，程序难度较高，需要监控系统的很多关键环节。众所周知，国内厂商是不可能拿到微软Windows源码授权的，所以稳定的嵌入系统内核是个挺麻烦的事情。这点，微点真挺不容易的，一路摸着石头过河，走到今天，不易啊。技术上是没有投机取巧的，每一家厂商都要这么一步一步才能提高。 关于质疑行为判断安全性的问题，要从两方面来说，第一首先要承认行为判断不是金丹，不能解决所有的问题。我记得有一篇采访刘旭的报道，刘旭自己就说行为判断针对的是那些占病毒总数99%以上的没什么创意的老套路病毒。我们要承认这世界上永远会有技术创新的，只不过这种创新性人才非常之少，而绝大多数人都是四平八稳的平凡之辈，病毒编写也是一样。 第二，有些朋友可能会误解程序运行后再查杀是否会造成本机中毒，您可以参看下面这个帖子。 http://bbs.366tian.net/thread-563381-1-1.html 综上，启发式和行为分析对判断未知病毒都具有积极的意义，这两种技术都力图使用族类匹配的方式来改善特征码一一匹配所无法解决的未知病毒检测问题，但这两者不同的技术原理就决定了应用场合也不大相同——一个适合扫描，一个适合实时监控。技术大融合是最佳的结果，不过如果单选的话，我个人倾向于实时行为监控，呵呵，我个人认为在一个完善的实施监控保护下，扫描完全就是摆设。 ※ ※ ※ 本文纯属【5044704】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-14 18:33 aidi 中级用户 新手上路 积分 256 发帖 221 注册 2006-3-6 #3   Heuristic(启发式技术=启发式扫描+启发式监控) 启发式技术目前的重点在于特征值识别技术上的更新、解决单一特征码比对的缺陷。也许当初的目的本不在于根本上检测所有的未知病毒（在于查杀某一类病毒），致力于对特征值扫描技术的补充。可以称得上是特征值识别技术质的飞跃，弥补了特征值识别的缺陷。 然而不同安全厂商的启发对病毒、木马的处理强度也不同，卡巴病毒启发较好，nod32启发病毒木马都不错。也许是处于误报角度考虑，虽然有whitelist和blacklist的选择，目前大多数含有启发式技术的杀软还是都把它作为辅助角色。 启发式技术的出现与完善给病毒技术带来了沉重的打击，同时预言了未来安全软件（反病毒技术）的趋势必然是“人工智能化”的方向发展。 ps:有人说武功在于搏击技巧的掌握，也有人说最高深的武学是无招胜有招。现实确是武林从来没有统一过，各大门派互相抗衡、各小帮派独立各自发扬光大...... ※ ※ ※ 本文纯属【aidi】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-14 21:33 digua008 高级用户 积分 547 发帖 547 注册 2007-4-3 #4   学习了,谢谢 大家的讨论.~ ※ ※ ※ 本文纯属【digua008】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 爷爷也是从孙子过来滴~ 2007-8-14 22:32 408983504 银牌会员 此用户已被禁言 积分 1271 发帖 1238 注册 2007-1-6 来自 广东 #5   学习了 ※ ※ ※ 本文纯属【408983504】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 三用户版续费真TM的便宜啊！ 2007-8-15 00:13 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号