三年前，我第一次買pc-cillin2005(那時電腦都送norton，只是想支持國貨一下)，盒子上打著「病毒行為邏輯分析」，可以預測未知病毒。

那時我的防毒觀念不好(剛開始接觸網路世界)，喜歡載些有的沒有的東東，就載到一個有殼的病毒，用.scr偽裝。雖然載後掃毒，卻沒發現病毒，因此我打開……

裡頭竟然裝了兩隻木馬，是因為我解了它，pc-cillin才掃到的。因此，我開始懷疑防毒軟體所說的「病毒行為邏輯分析」(難聽點就是開始不相信趨勢科技@@)。

一年後，卡巴斯基開始竄紅，到現在是7.0版，有所謂的「啟發式」掃描，能偵測未知病毒(宣傳說可以偵測到92%的未知病毒) ，偶爾會看到它運作個一、兩次，但基本上還是靠特徵碼在撐。

至此，我心中開始有了許多問題：所謂的「對抗未知病毒」是否為防毒軟體的噱頭，其實都是靠特徵碼來辨認，那個「啟發式」難道只是做個樣子？

或是說這裡的大大因為「啟發式」而獲得了很多額外的保障，也可以說出來，讓我參考一下。

還有，pc-cillin的「病毒行為邏輯分析」是真的還是假的(還未裝上中國啟發式病毒碼，況且三年前也沒有這個東東)，那個行為分析是分析什麼東東，連裝殼都測不到，還敢打出來= =有時故意載些「看起來就是病毒」給它掃，也是同一個視窗─恭喜，沒有偵測到病毒@@。

引用:

所謂的「對抗未知病毒」是否為防毒軟體的噱頭，其實都是靠特徵碼來辨認，那個「啟發式」難道只是做個樣子？

「對抗未知病毒」不是防毒軟體的噱頭 (實際上可能有, 但應該不多)
像Avira, Eset, F-Port, Panda, 等其啟發式偵測絕不是做個樣子
　

引用:

卡巴斯基開始竄紅，到現在是7.0版，有所謂的「啟發式」掃描，能偵測未知病毒(宣傳說可以偵測到92%的未知病毒) ，偶爾會看到它運作個一、兩次，但基本上還是靠特徵碼在撐。

卡巴斯基入庫速度很快, 大部份檔案都可以報已知,
啟發式掃瞄對卡巴來說, 只是輔助的功能
(宣傳說可以偵測到92%的未知病毒) 可能是指PDM, 而不是啟發式掃瞄

[ 本帖最後由 000110 於 2008-3-25 16:31 編輯 ]

看了樓主的言論
我覺得你比較適合用HIPS
可以改用Comodo試試
免費的不用花錢買防毒軟體

多謝兩位的解答
但是我還有那個「趨勢科技」的問題在，雖然今天去賣場看pc-cillin2008已經沒有這個宣傳了，但是三年前的pc-cillin2005那個是什麼意思？

你下載到的檔案也許有殼...他有時候沒辦法分析裡面的檔案
致於啟發...我認為還是有效...只是效果大不大的問題
不過依你的習慣
小紅傘+HIPS挺適合你的

引用:

原帖由 megakotaro 於 2008-3-25 16:56 發表
多謝兩位的解答
但是我還有那個「趨勢科技」的問題在，雖然今天去賣場看pc-cillin2008已經沒有這個宣傳了，但是三年前的pc-cillin2005那個是什麼意思？

很早以前版上有人貼過"各類防毒技術",可參考:http://www.avpclub.ddns.info/dis ... %BC%BCz%B3%B4%A8%C0

記得沒錯是Kaspersky提出的技術,不過和PCC類似的就是"人工智慧陷阱".

當時對於殼的概念似乎不怎麼明確PCC 2005那時還是真正"國產"的,現在是"外國"貨.

啟發式目前最成功的方法就是利用虛擬模擬的動態分析和威脅特徵碼比對的靜態分析,以ESET最為成熟.

目前人工智慧陷阱的技術已經不足,取而代之的是先進的啟發式和HIPS.

病毒行為邏輯分析

說白一點就是啟發式,講的好聽一點而已

當然趨勢現在也有啟發式,而且比PCC2005更好....


現在的啟發式已經快要越來越沒用了,現在的病毒多變,不像以前單一病毒靠著變種就能稱很久....
看ESET,Panda,BD就能了解,以前靠著啟發式能把偵測率稱的很高,但現在偵測率都有點下掉
詳細請看2008AV-TEST測試


所以趨勢線在廣告上打
獨家「網頁威脅防禦技術」>>網路信譽服務
先進「系統變更監控技術」>>HIPS
病毒碼資料庫比對>>各家防毒廠商還是廣泛使用的方法

其實趨勢應該不算哪一國的

而是一家大型"跨國企業"

台灣起家

日本上市

美國總部(目前已換到日本)

菲律賓病毒實驗室總部

突然發現我跟樓主一樣耶= =

幾年前我也曾買過pcc2005，現在還躺在我某個抽屜內

當時啥也不懂，重灌都裝諾頓，雖然每次更新完就掃一次毒，但是每次電腦都用到諾頓打不開了，不然就是不能開機才知道中毒了= =
當時買pcc也是因為諾頓打不開了，就衝出去買PCC2005，我只能講，它包裝真的很好看，上面的話更好聽...........
但是我用它掃到８０多個病毒木馬，那時候還以為它真的是神勒

最後電腦又撐了４個多月就正式掛點了.....好貴喔~~~買了１千６左右吧...
現在還在用的，只有它當時附贈的印有PC cillin 2005的計算機而已......

不過趨勢近幾年偵測率有上升

不只在中國設立了病毒實驗室.....


目前在美國,日本,法國,德國也設立了病毒實驗室

更利於病毒樣本的收集

其實，這年頭報殼殺法反而成為啟發灌數字的大絕招……

這其實也蠻怪的，因為我覺得殼的使用週期遠比病毒本身要來的長（我個人認為加殼程式的技術性比較高，因此生產速度不會比新病毒產生快），因此其實只要防毒業者心一橫把CRYPT共通碼入庫，那一堆本來不會報的新病毒加了殼反而都會報，抓的更快……除非像KAVO的殼是防虛擬機測試用的，倒還有些道理（不過我想用防毒的人遠比用虛擬機的人多）。

從多年來觀察PCC的廣告
老實說他們很喜歡用些專有名詞
但那些專有名詞的功能其實並不特別
很多功能別家都有

引用:

原帖由 SPeter 於 2008-3-25 20:03 發表
其實，這年頭報殼殺法反而成為啟發灌數字的大絕招……

這其實也蠻怪的，因為我覺得殼的使用週期遠比病毒本身要來的長（我個人認為加殼程式的技術性比較高，因此生產速度不會比新病毒產生快），因此其實只要防毒業 ...

加殼其實很簡單......
例如ASPack等等，將要加的直接點一點，就好了
最近有本書就是在探討木馬技術的
它使用了avast!、pc-cillin、norton、kaspersky
加十個殼，一個沒加殼，病毒用OPTix pro
avast!、kaspersky漏掃一個，pc-cillin漏五個、norton漏七個

大牌都輸了= =

-----------------------------------------------------------------
原來是趨勢科技自己掰個好聽名辭，把我給唬了= =
多謝各位解答

[ 本帖最後由 megakotaro 於 2008-3-26 12:53 編輯 ]

引用:

原帖由 megakotaro 於 2008-3-26 12:52 發表

加殼其實很簡單......
例如ASPack等等，將要加的直接點一點，就好了
最近有本書就是在探討木馬技術的
它使用了avast!、pc-cillin、norton、kaspersky
加十個殼，一個沒加殼，病毒用OPTix pro
avast!、kaspers ...

問題是加十層還能執行嗎 .

引用:

原帖由 integear 於 2008-3-26 17:30 發表


問題是加十層還能執行嗎 .

應該是不會有人那麼無聊啦
除非是超新手，連電腦都不懂的駭客，聽到要加殼，就自己加了一堆.......
加太大也難送入別人電腦吧......

報殼根本不能算啟發
已經有人能夠成功的免殺紅傘
非常諷刺的方法,免殺它就是不要加殼
靠加花就輕易過了紅傘

要過Avira 用加殼的方式也可以
小弟的加殼工具有數款是加以過的
不過不知現在還可不可以

這類加殼後
防毒測不到的
是否在執行後能依行為分析去抓?

雖然行為分析本身就有很多難處....

行為分析 / 虛擬機技術 都可以偵測加了未知殼的檔案

行为分析判断未知威胁目前看下来仅有大陆的微点做的比较好而已

其他不是类 HIPS 就是依旧依赖于特征码

至于启发的问题 个人还是觉得报壳应归于启发的一种 当然 是比较低阶层的

如果以虚拟机或者内置沙盘运行后启发 则属于比较高级的手段

P.S. 很多 HEUR 都是家族报法 带 GEN 的 红伞比较常见