lotei
版主
病毒区地方父母官
积分 776
发帖 775
注册 2006-10-14 来自 被人们遗忘了的村庄
|
#1 【讨论】行为分析PK启发式扫描(此帖已锁)
大家可以根据自己的感性的理性的认识来阐述对行为分析和启发式扫描的理解
不一定都得写对比!写单一的行为分析和启发式扫描的认识都可以!
欢迎大家畅所欲言!
规则:本帖不允许发(顶,支持,飘过之类的灌水贴,一经发现一律删除)
另外将写的好的贴子收集加精供以后大家学习!
大家跟贴讨论吧!
[ Last edited by lotei on 2007-11-19 at 18:13 ]
|
※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2007-11-11 12:07 |
|
gudan
高级用户
积分 605
发帖 579
注册 2007-7-20
|
#2
行为是灵活的,启发是死板的,8知道对不对
|
※ ※ ※ 本文纯属【gudan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2007-11-11 22:01 |
|
freedom11
版主
电脑&数码区版主
积分 1212
发帖 1139
注册 2007-11-6
|
|
2007-11-12 16:12 |
|
autorun
注册用户
积分 52
发帖 44
注册 2007-7-27
|
|
2007-11-12 21:59 |
|
微点专家
版主
Weizi
积分 11554
发帖 11458
注册 2006-8-27 来自 贵阳
|
|
2007-11-12 22:15 |
|
dsl5
高级用户
积分 578
发帖 520
注册 2007-6-16 来自 广州
|
|
2007-11-13 10:14 |
|
RV2222
注册用户
积分 61
发帖 57
注册 2007-8-29
|
#7 反对
Quote: | Originally posted by 微点专家 at 2007-11-12 22:15:
启发式扫描,一样的是过期药啊,没样本照样不行。
行为查杀是根据程序的行为来确定是否是有害程序,即使不升级,也能查杀绝大大大部分的未知病毒。 |
|
我不同意这位老兄的话,比如NOD32高启发技术已经越来越成熟化了.
卡7.0启发到是有点低能,不过超大的病毒库数量,快速升级以及主动防御弥补了它的缺点.
小红伞到是好,但是这误杀率也忒高了........
|
※ ※ ※ 本文纯属【RV2222】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2007-11-13 13:35 |
|
北雁南飞
注册用户
积分 56
发帖 56
注册 2007-11-2
|
#8
nod32启发式是最好的吗?
|
※ ※ ※ 本文纯属【北雁南飞】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2007-11-13 21:53 |
|
qq2008444
银牌会员
职业潜水艇
积分 5373
发帖 5291
注册 2007-7-7 来自 兰·基亚斯 兰古拉王国
|
#9 给大家当笑话的
行为分析和启发式扫描其实天职一样,都是为了用户的安全所衍生的产物
就像行为分析和HIPS一样
个人认为没有必要去比出他们的高下
就如nasdaq所说的,使钳子(当然不止钳子咯)的高手叫钳工,使床子的高手叫车工,高级钳工和高级车工都是优秀的高级人才,并没有高下之分。。。
当然硬要说的话,我个人看好启发式,它比行为分析早被提出,技术到现在也比行为分析成熟.而行为分析因为规则互相间保密,行为分析没有一个准确的定位判断什么程序动作是合法什么程序动作是非法,只能靠开发人员"经验"判断,这个也是行为判断误报多的主要原因.正常的程序也有可能调用所谓的"危险"API,做所谓的"危险"程序行为,这对新手来说每一个选择都是一种冒险,从这点来考虑,那些说微点是高级HIPS的人应该也是这么认为的.
另外,nasdaq怎么最近没怎么在深度啊...
而且似乎nasdaq不是很对自己的帖子关心,估计除了更新就不打开自己的帖子了吧...
[ Last edited by qq2008444 on 2007-11-14 at 15:58 ]
|
※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟…… |
|
|
2007-11-14 15:56 |
|
qq2008444
银牌会员
职业潜水艇
积分 5373
发帖 5291
注册 2007-7-7 来自 兰·基亚斯 兰古拉王国
|
#10
Quote: | Originally posted by dsl5 at 2007-11-13 10:14:
扫描启发也分为两种,第一种就是单纯减低匹配的特征码量(原本要80%相似的,由于该病毒活跃,它人为减少到50%相似,因此误报率高) |
|
另外,这种现在已经被称之为"广谱杀毒技术"(家族DNA分析技术)
|
※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟…… |
|
|
2007-11-14 15:57 |
|