启发式综述系列基础 CHAPTER ONE

互联网 | 编辑: 黄蔚 2008-05-23 14:30:00转载 一键看全文

启发式技术

前言

杀毒软件之间的完全竞争,同时也包括技术竞争。这些年杀毒技术的日新月异,从传统的DOS下扫描杀毒的KV系列,后来相当一段时间,基本依赖于病毒库扫描。

后来不断改进杀毒引擎,出现双核“杀毒软件”,乃至“四核”杀毒软件后,杀毒软件并没有像CPU那样,而是发展新技术。由于反病毒厂商的不断创新,杀毒软件不再坐以待毙,主动防御、启发式扫描,更有甚者将“GHOST”系统集成进杀毒软件,体现的是一种不断超前的理念。

主动防御技术,经过这两年的研发,已经越发成熟并成为如今的主流。然而另一种先进的技术还被不为大众所熟知,它就是“启发式技术”。

1、启发式定义

启发式指的是具有自我发现的能力、运用某种方式和方法来判定事物的知飒和技能。启发式分折就是利用计算机病毒的行为特征,结台以住的知识和经验,对未知的可疑病毒进行分析和识别。

2、启发式分析的实现原理

在具体实现上,启发式扫描技术是相当复杂的。通常这类检测软件不仅要对系统进行扫描,还要能够探测许多可疑的指令序列。如格式化磁盘类操作,驻留内存操作等。

然后根据这些可疑操作的危害程度制定不同的权值(threshold),并使用特定的规则进行计算权值后与设定值比较。经典的启发式规则描述如下算式:

可以定义F=a1*Oper1+a2*Oper2+??+an*Opern,其中,an表示相应参数的权值,Oper n表示操作或行为,满足a1+a2+??+an=1。1,an的取值体现了相应标志在病毒特征中的重要程度。F反映了程序为病毒程序的可疑度, 显然F的取值为0~1。

说明:由于论坛显示能力所限,如a1为a的1次方,an为a的n次方。

提示:试试键盘 “← →” 可以实现快速翻页 

总共 2 页12
一键看全文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑