启发式技术
前言
杀毒软件之间的完全竞争,同时也包括技术竞争。这些年杀毒技术的日新月异,从传统的DOS下扫描杀毒的KV系列,后来相当一段时间,基本依赖于病毒库扫描。
后来不断改进杀毒引擎,出现双核“杀毒软件”,乃至“四核”杀毒软件后,杀毒软件并没有像CPU那样,而是发展新技术。由于反病毒厂商的不断创新,杀毒软件不再坐以待毙,主动防御、启发式扫描,更有甚者将“GHOST”系统集成进杀毒软件,体现的是一种不断超前的理念。
主动防御技术,经过这两年的研发,已经越发成熟并成为如今的主流。然而另一种先进的技术还被不为大众所熟知,它就是“启发式技术”。
1、启发式定义
启发式指的是具有自我发现的能力、运用某种方式和方法来判定事物的知飒和技能。启发式分折就是利用计算机病毒的行为特征,结台以住的知识和经验,对未知的可疑病毒进行分析和识别。
2、启发式分析的实现原理
在具体实现上,启发式扫描技术是相当复杂的。通常这类检测软件不仅要对系统进行扫描,还要能够探测许多可疑的指令序列。如格式化磁盘类操作,驻留内存操作等。
然后根据这些可疑操作的危害程度制定不同的权值(threshold),并使用特定的规则进行计算权值后与设定值比较。经典的启发式规则描述如下算式:
可以定义F=a1*Oper1+a2*Oper2+??+an*Opern,其中,an表示相应参数的权值,Oper n表示操作或行为,满足a1+a2+??+an=1。1,an的取值体现了相应标志在病毒特征中的重要程度。F反映了程序为病毒程序的可疑度, 显然F的取值为0~1。
说明:由于论坛显示能力所限,如a1为a的1次方,an为a的n次方。
网友评论