abmin

随着盗号门，撞库门的平凡出现，互联网不仅仅现在是个信息传递的通道，也是一个黑客赚钱的温床。​
   现在安全厂商做的事情：1杀毒工具（360，卡巴，瑞星）主要解决桌面的安全问题，可以部分解决单机或者办公网络的安全工作，处理已知木马和僵尸代码的查杀工作，但是在互联网安全中，永远都是攻击都大于防御，病毒可以变异，木马可以植入，僵尸可以传播。黑客的技术也会提升。​
2.防火墙设备：例如金盾，jumnip，傲盾等设备，主要是解决网络访问攻击问题，按照性能可以阻击很多网络访问。​
3入侵检测设备：ids，ips 例如：天融信，绿盟等国内产品，主要是为了防止网络中恶意的信道传输。​
还有类似：堡垒机产品、数据库审计产品，上网行为监控产品等等。​
​    往往大家现在都忽略了一样“网络恶意代码”这块，这块主要的行为是通过木马植入和僵尸网络传播的，举个列子来说：好比黑客在我家中装了一个监控器或者遥控器，他是通过我不小心或者疏忽警惕的时候“开门或者开窗”的时候注入进来的。一旦进入之后，他控制这我家了的电气，使用的我的水电煤，睡了我的床，吃了我冰箱内的水果，不仅如此用了还要拿，拿走了我的银行卡信息等等。所以就像一个影子无时无刻的不在，而且还不容易发觉。​
  通过如何的手段我们可以检测到网络恶意行为：作为恶意代码，他逼近是一串代码，所以他有一定的“dna”也就是特征，就像我是爸爸的儿子，我们是有血缘关系的，那我们一定会有相似的地方，比如头发是卷的，鼻子是挺的，耳朵是招风的。​

caesar

我是来消灭零回复的

VimJ

代码如果不是源作者的话，即使逆向了，也很难做到DNS一样
你所说的 是从地址 内存 hash这些判断吗？