本地回滚,国内最先使用的是微点主动防御软件,由于被瑞星诬告成功,影响了微点的市场推广及发展。微点在研发时自己双击运行测试病毒样本,报毒率99%以上,第三方双击运行测试报毒率90%以上,这在当时是远超任何扫描引擎的启发率。可惜被瑞星打压抹黑成功了,等案子翻盘已经坐失良机了。万恶的瑞星。
费尔杀毒软件也有回滚,n年不更新版本了,依然能报毒未知白加黑病毒,这是扫描引擎望尘莫及的。
火绒杀毒也有回滚技术,扫描和回滚都是火绒的强项。
智量杀毒研发使用了轻量级回滚,是回滚的又一类实用。
沙箱及扫描引擎会遇到病毒的刻意对抗,回滚是真实环境,不存在病毒的刻意对抗,理论上回滚的报毒率应该远高于任何扫描引擎。扫描引擎的启发率大于50%就算不错了,微点一出道报毒率就是90%,吓的瑞星立刻用缺德的阴招。扫描引擎要脱壳,要处理混淆码,要动态启发,要静态启发,累死人,回滚不需要干这些苦力活,只需要监控程序行为,走的是捷径,是康庄大道!从病毒库压缩比看,用本地回滚必然会让病毒库缩小许多倍,只有以病毒行为特征为主,才能让病毒库大比例缩减。静态特征是千变万化无穷无尽的,不是高明的策略。 |