广谱防毒技术的定义

启发式分析通常被视为一种针对同类病毒的广谱检测机制，而不是针对特定病毒的检测机制.人们常 常想不到的是，这句话反过来理解也是正确的，广谱解决方案的部分诊断过程同样包含了启发式的规则。比如说：

u 邮件网关过滤器是使用预定的规则，来判断哪些文件类型和文件名称可以作为附件。 一些过滤技术能够很好地应对明显的病毒威胁，例如以.LNK， .JPG， .EXE为扩展名的 文件，但在拒收整批可执行文件时显得缺乏灵活性。另一些过滤方法使用更先进的技术， 例如扫描的文件头并核对是否符合特定的文件类型。这样一来，就能大大降低误报或者漏 报的风险。 

u 变化检测使用的规则是，一旦目标文件发生变化，即视为可疑文件，由于二进制文件 改变文件校验码的情况很多(比如自我修改代码、重新合并代码、重新配置、压缩成可执行 文件，补丁或程序升级等)，这种原始的依赖于文件变化的检测技术(就是说，只要文件发生 变化，则认为遭受感染)会带来较高的误报率。然而，变化检测对于针对病毒本身的扫描是 很有效果的。业界公认的一项技术就是将目标文件与其校验码进行比对，只有在校验码发 生变化时才对其进行完全扫描。这样就避免了对没有发生变化的文件进行扫描，从而节省大量的时间。这就是一些杀毒软件首次扫描所需的时间要远远大于后续扫描时间的原因。 

u 行为监控与拦截，是就应用程序的行为进行判断并做出相应反应的一种技术，是早期 杀毒软件就开始采用的技术之一。这种技术能够和启发式很好地衔接，进一步加强行为阻 止能力并减少误报率。传统杀毒软件的行为监控倾向于检测两种类型的代码行为:自身复制 和潜在危害。  

――复制型代码从定义来看，极有可能是病毒(或者蠕虫，取决于代码类型和您倾向的定义)。 反复制方法有它的优点，就是依靠编程能够比较容易甄别系统发出的代码复制请求，尤其 是比较浅显的代码。一比一复制自身的病毒(即非多态性病毒)，对比释放变体的病毒而言， 识别起来要容易很多。

――潜在的破坏性代码很可能反映恶意活性载体的存在。如果没有活性载体，或者活性载 体不具备明显的破坏性，这种方法的效力也就随之降低了。一些破坏性行为，比如说删除 文件，会比较容易通过编程来检测而另一些种类，比如说广告程序，以及令人尴尬或反感 的色情信息或图片，屏闭掉会比较困难一些。另一方面，成功的检测出活性载体，也给非 复制型恶意软件(比如木马和其他非病毒程序)的检测带来一定的益处。但这里需要留意的 是，通过删除文件的行为来判断是恶意的方法常常并不可靠，因为很多程序在日常使用中， 会经常合法地删除或者覆盖过时的配置文件和数据。