作业帮 > 综合 > 作业

启发式、主动防御、hips的区别?

来源:学生作业帮 编辑:神马作文网作业帮 分类:综合作业 时间:2024/11/12 06:49:35
启发式、主动防御、hips的区别?
如题,这三者有何主要区别,
不需要百度百科的粘贴,希望给出自己的理解,最好能够通俗一点.
已经明白很多了,还有两点不明白,
1、既然启发式是脱壳特厉害,那为什么还有启发式对“未知的毒特有效 ”的说法呢?是不是这儿的“未知毒”仅仅是指加了壳的老病毒?如果是面对全新的未知毒呢?是不是启发式也就没那么有效了?
2、都说卡巴脱壳特厉害,是不是就指的是启发式厉害?
启发式、主动防御、hips的区别?
传统的杀毒是基于特征码比对的,即杀软厂商发现一个病毒,分析它的代码,并从中提取一段作为其特征加入病毒库.
后来,一方面,这种方法使得病毒查杀永远滞后于病毒发展;另一方面,随着加壳技术的发展,特征码越来越难以发挥作用,所以发展起了启发式杀毒等方法.
启发式杀毒就是,不知道某个程序是否病毒,可以先虚拟出一个环境,让它先执行一会(执行的程度取决于虚拟的水平,因为虚拟是很耗资源的,因此它的使用注定不会很充分,可以想象如果每运行一个程序就先运行一个完全的虚拟机,那没人能受得了)如果它是加壳病毒,执行时他会自动脱壳,这样,就会被特征码比对发现.可以说,启发式杀毒主要是针对加壳病毒木马的,它常被称为虚拟杀毒技术.如果虚拟技术用于程序保护(让程序在虚拟的环境中运行),也被称为“沙盘”.
主动防御就是,安全软件监控程序的所有行为,并为某种行为规定一定的权值,一个未知程序行为的总权值如果超过一定危险值,就可以被判病毒.
比如我规定危险值达到5可以被判病毒
1:程序A试图开机启动(危险+1,让它继续执行),试图把自己拷贝到每个盘符下(危险+2,让它继续执行),试图中止explorer.exe进程(危险+2,达到5的危险限定,认为它是未知病毒,清除它的操作,并将其隔离).
2:程序B试图执行format c:\(格式化系统盘(当然,在windows系统下是格不了的,只是举个高危例子),高危行为,危险+5,直接将其判为病毒并隔离.)
HIPS是“基于主机的入侵防御系统”,它和主动防御的区别是它监控程序行为并向你请求允许,如果你拒绝,程序的进程将会被其结束,但程序(如果是危险的),并不被其删除(当然,某些智能HIPS也有根据行为判断程序危险值的功能,危险程序会被其隔离,但理论上的纯HIPS并不这么做).而主动防御并不向你请求允许,只是默默的监控并计算权值,根据权值采取行为.