內容說明
啟發式防毒
病毒和正常程式的區別可以體現在許多方面,比較常見的如:通常一個應用程式在最初的指令,是檢查命令行輸入有無參數項、清屏和保存原來螢幕顯示等,而病毒程式則沒有會這樣做的,通常它最初的指令是直接寫盤操作、解碼指令,或搜尋某路徑下的可執行程式等相關操作指令序列。這些顯著的不同之處,一個熟練的程式設計師在調試狀態下只需一瞥便可一目了然。啟發式代碼掃描技術實際上就是把這種經驗和知識移植到一個查病毒軟體中的具體程式體現。
啟發式指的“自我發現的能力”或“運用某種方式或方法去判定事物的知識和技能。”一個運用啟發式掃描技術的病毒檢測軟體,實際上就是以特定方式實現的動態高度器或反編譯器,通過對有關指令序列的反編譯逐步理解和確定其蘊藏的真正動機。例如,如果一段程式以如下序列開始:MOV AH ,5/INT,13h,即調用格式化盤操作的BIOS指令功能,那么這段程式就高度可疑值得引起警覺,尤其是假如這段指令之前不存在取得命令行關於執行的參數選項,又沒有要求用戶互動性輸入繼續進行的操作指令時,就可以有把握地認為這是一個病毒或惡意破壞的程式。
重要意義
啟發式防毒代表著未來反病毒技術發展的必然趨勢,具備某種人工智慧特點的反毒技術,向我們展示了一種通用的、不需升級(較省需要升級或不依賴於升級)的病毒檢測技術和產品的可能性。由於諸多傳統技術無法企及的強大優勢,必將得到普遍的套用和迅速的發展。純粹的啟發式代碼分析技術的套用(不藉助任何事先的對於被測目標病毒樣本的研究和了解),已能達到80%以上的病毒檢出率, 而其誤報率極易控制在0.1%之下,這對於僅僅使用傳統的基於對已知病毒的研究而抽取“特徵字串”的特徵掃描技術的查毒軟體來說,是不可想像的,一次質的飛躍。在新病毒,新變種層出不窮,病毒數量不斷激增的今天,這種新技術的產生和套用更具有特殊的重要意義。