更新时间:2023-11-17 14:06
启发式杀毒就是通过启发式分析发现计算机病毒然后查杀病毒的计算机杀毒方式。启发式分析是许多计算机防病毒程序采用的一种方法,旨在检测利用零日漏洞(Zero-day)的病毒以及“wild”病毒的新变种。启发式分析是基于专家的分析,它使用各种决策规则或权衡方法确定系统对特定威胁或风险的敏感性;多标准分析(MCA)是衡量的手段之一。此方法不同于统计分析,后者基于可用的数据或统计信息。
病毒和正常程序的区别可以体现在许多方面,比较常见的如:通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而病毒程序则没有会这样做的,通常它最初的指令是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处,一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。
启发式分析是一种通过检查代码中可疑属性来检测病毒的方法。
传统的病毒检测方法涉及通过将程序中的代码与已经遇到,分析和记录在数据库中的已知病毒类型的代码进行比较来识别恶意软件,这就是签名检测。尽管有用且仍在使用,但由于新威胁的出现,签名检测方法也受到了越来越多的限制,这种新威胁在世纪之交爆发,并一直持续出现。
为了解决这个问题,启发式模型专门用于发现可疑特征,这些特征可在未知,新病毒和现有威胁的修改版本以及已知的恶意软件样本中找到。
网络犯罪分子正在不断发展新的威胁,启发式分析是用于应对每天见到的大量新威胁的唯一方法之一。
启发式分析也是少数能够抵抗多态病毒的方法之一-恶意代码是指不断变化和适应的术语。许多网络安全公司提供的高级安全解决方案中集成了启发式分析功能,可在新威胁造成危害之前检测出新威胁,而无需特定的签名。
启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件,实际上就是以特定方式实现的动态高度器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如,如果一段程序以如下序列开始:MOV AH ,5/INT,13h,即调用格式化盘操作的BIOS指令功能,那么这段程序就高度可疑值得引起警觉,尤其是假如这段指令之前不存在取得命令行关于执行的参数选项,又没有要求用户交互性输入继续进行的操作指令时,就可以有把握地认为这是一个病毒或恶意破坏的程序。
启发式杀毒代表着未来反病毒技术发展的必然趋势,具备某种人工智能特点的反毒技术,向我们展示了一种通用的、不需升级(较省需要升级或不依赖于升级)的病毒检测技术和产品的可能性。由于诸多传统技术无法企及的强大优势,必将得到普遍的应用和迅速的发展。在新病毒、新变种层出不穷,病毒数量不断激增的今天,这种新技术的产生和应用更具有特殊的重要意义。