كيف تفرق أنت بين مااكتشف بالهيروستيك وما اكتشف بالمحرك؟

[عبد العزيز أنس]

بسم الله.

أحبابي رواد يزووم...

السلام عليكم ورحمة الله...

للذين لهم خبرة بمجال آلية عمل المكافحات الشرسة كالأفيرا والكاسبير...:king:

كيف تفرق بين ما اكتشفه المكافح من فيروسات أو برامج ضارة أنه مكتششف بواسطة محرك قاعدة بياناته أو بواسطة الهيروستيك لديه؟ :q:

//++**++//

لكم مني ألف تحية رقيقة :d: آه وابتسامة

 

[amir atta]

الفيروس أو التروجان المكتشف بواسطة قاعدة البيانات يتم كشفه وتوضيحه اسمه بصورة مباشرة

لكن اكتشاف الهيروستك دائما ما يصحب بكلمة توضح انه من الهيروستك وهى تختلف من برنامج لأخر مثل :

كاسبرسكى -------> Heur

بيتدفندر ----------> generic

نود 32 -----------> variant

​

 

[mr.3bode]

نرجوا التوضيح اكثر واكثر ويكون بشكل مفصل !

 

[Mr.Najem]

الفيروس أو التروجان المكتشف بواسطة قاعدة البيانات يتم كشفه وتوضيحه اسمه بصورة مباشرة

لكن اكتشاف الهيروستك دائما ما يصحب بكلمة توضح انه من الهيروستك وهى تختلف من برنامج لأخر مثل :

كاسبرسكى -------> Heur

بيتدفندر ----------> generic

نود 32 -----------> variant

​

للنود صيغه اخرى وهى probably

اما الافيرا
contains recognition of

 

[عبد العزيز أنس]

بسم الله.

أخي المبدع

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بارك الله فيك...:q:

لكن اكتشاف الهيروستك دائما ما يصحب بكلمة توضح انه من الهيروستك وهى تختلف من برنامج لأخر مثل : كاسبرسكى -------> Heur بيتدفندر ----------> generic نود 32 -----------> variant

كلامك هذا هل نجده بالرسالة التي يظهرها المكافح حال اكتشاف البرنامج الخبيث؟

 

[amir atta]

بسم الله.

أخي المبدع

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بارك الله فيك...:q:



كلامك هذا هل نجده بالرسالة التي يظهرها المكافح حال اكتشاف البرنامج الخبيث؟

بارك الله فيك

نعم تجد تلك الكلمات فى الرسالة التى تظهر عند اكتشاف تهديد بالهيورستك ​

 

[protection]

مثل ماتفضل الاخوان ..

كشف الهوريستك عند الاغلبيه يكون Heur

مثل كاسبر وأفيرا وأف بروت وغيرها

ويختلف في نورتن و النود بالمسمى

......

لكن الجميع يتفقون في الكشوفات العامه generic وهي مابين التواقيع والهوريستك

والله أعلم

....

يوجد 3 أنواع ::

تواقيع رقميه (( وهي قاعدة البينات وهو كشف سابق موجود في قاعدة بينات البرنامج ))

كشوفات عامه (( generic )) يكون فيه كود الفايروس قريب جداً الى نوع من الانواع وليس مطابق

وهوريستك (( Heur ) يكون بالغالب نوع جديد غير مكتشف وتم رصده

........

هذا مالدي وقد أكون صائب وقد اكون خاطئ ولامانع من التصحيح

 

[عاشق ومالي حبيب]

إذا كان كشف بقاعدة البيانات
راح يكون بالشكل هذا

trojan.startpage.yut

كشف عام
trojan.startpage.gen
أو
trojan.startpage.generic

هيوريستيك
heur.startpage

وتختلف من شركه لشركه لكنها تكون بهذا الشكل فالغالب​

 

[stimulator32]

وعليكم السلام ورحمة الله وبركاته

الهيوريستك اسم عريض لتقنية كشف الملفات الخبيثة بواسطة محاولات "التجربة والخطأ" ..

تقنيات الهيوريستك متعددة .. ولكي تعرف أنها هي التي كشفت الملف الخبيث، فعليك أن تبحث عن مسمى المكتشف، فإن لم يكن الاسم المطابق تماما .. فهو كشف بالهيوريستك ..

سأعطي أمثلة على ذلك ..

a variant of confickerAE worm .. هذه الرسالة تجدها في النود، وهي تعبر عن أن المكتشف أحد أصناف دودة الكونفكر AE .. وهو مكتشف من الهيوريستك ..

probably a variant of confickerAE worm.. هذه الرسالة في النود أيضا، وتعني من المحتمل أن تكون الدودة المكتشفة أحد أصناف دودة كونفكر AE .. لكنها بعيدة الشبه بها مقارنة مع العبارة السابقة ..

conficker.Gen worm .. هذه الرسالة تجدها في النود أيضا، وتعني أن الدودة مكتشفة عن طريق توقيع عام لدودة الكونفكر، فقد تكون كونفكر AA أو كونفكر AE أو كونفكر X ..

probably unknown Heur.PE virus .. وهي رسالة من النود أيضا، وتعني أن الملف المكتشف له صفات خبيثة، لكنه غير معروف من قبل البرنامج وغير مصنف ..

البرامج الأخرى غير النود لا تحتوي هذا التفصيل في الهيوريستك، فقط تحتوي على التواقيع العامة (Gen) والـ Heur ..​

 

[stimulator32]

هناك نقطة أخرى في الكشف بالهيوريستك .. وهو الكشف عن طريق إحدى تقنياته (الحماية الاستباقية) ..

حيث أن هذه الحماية تقوم بتسجيل خطوات تحرك الملفات الخبيثة ومطابقتها مع قاعدة بياناتها (طبعا إن لم يكن لها تواقيع ضمن قاعدة بيانات محرك الكاسبر) .. فإن
تمت المطابقة مع تحركات التروجان على سبيل المثال .. قال لك الكاسبر أن هذا الملف من المحتمل أن يكون تروجان ما، أرسله للشركة من أجل التحليل ..​

 

[FABs]

مرحبا اخي مستر عبود مواضيعك ما شاء الله منورة المنتدى اليوم <<<< آسف للتقصير بس انت تعرفوا المتحانات الزفت ,,

بالسنبة للنورتون عنده اكثر من إنذار وهذه هي ,:-

AUTO PROTECT : لما تشوف هاي الكلمة يعني انه النورتون اعتمد على محرك قاعدة البيانات ,,

MH+ْXXXXْ : لما تشوف هاي الحرفين + ارقام يعني انه النورتون كشفه بمحرك الهيوريستك الـ generic detection

SONAR : هاي معناه انه النورتون كشفه عن طريق محلل السلوك Proactive detection نوع من انواع البرواكتف

Intrusion prevention : معناه انه النورتون منع عمليه متعلقة بالهيوريستك بس من ناحية شبكة الانترنت ,,

إن شاء الله اكون وضحت كل شي تقريبا وما اكون نسيت شي
​

 

[فارس الملاك]

بارك الله فيكم يااخوان

واشكر صاحب الموضوع على طرح اسئلته الرائعة​

 

[bizzare]

وعليكم السلام ورحمة الله وبركاته

الهيوريستك اسم عريض لتقنية كشف الملفات الخبيثة بواسطة محاولات "التجربة والخطأ" ..

تقنيات الهيوريستك متعددة .. ولكي تعرف أنها هي التي كشفت الملف الخبيث، فعليك أن تبحث عن مسمى المكتشف، فإن لم يكن الاسم المطابق تماما .. فهو كشف بالهيوريستك ..

سأعطي أمثلة على ذلك ..

a variant of confickerAE worm .. هذه الرسالة تجدها في النود، وهي تعبر عن أن المكتشف أحد أصناف دودة الكونفكر AE .. وهو مكتشف من الهيوريستك ..

probably a variant of confickerAE worm.. هذه الرسالة في النود أيضا، وتعني من المحتمل أن تكون الدودة المكتشفة أحد أصناف دودة كونفكر AE .. لكنها بعيدة الشبه بها مقارنة مع العبارة السابقة ..

conficker.Gen worm .. هذه الرسالة تجدها في النود أيضا، وتعني أن الدودة مكتشفة عن طريق توقيع عام لدودة الكونفكر، فقد تكون كونفكر AA أو كونفكر AE أو كونفكر X ..

probably unknown Heur.PE virus .. وهي رسالة من النود أيضا، وتعني أن الملف المكتشف له صفات خبيثة، لكنه غير معروف من قبل البرنامج وغير مصنف ..

البرامج الأخرى غير النود لا تحتوي هذا التفصيل في الهيوريستك، فقط تحتوي على التواقيع العامة (Gen) والـ Heur ..​