启发式杀毒面临的尴尬处境

有趣的是，虽然当今的启发式技术与90年代相比要成熟得多，整 体查杀率却有了大幅下降，只是对一些老牌的恶意病毒（如宏病毒、 邮件群发器等）还保持着相对较高的查杀率。 

有时候，这种整体性的退步，看上去是由反病毒软件领域的低迷和 依赖于病毒特性的查杀模式造成的，其实事实并非如此。造成退步一个很重要的因素是由于恶意软件的编写者们技术的进步，他们已 经总结出了一套最大限度躲避启发式查杀的方法，并且针对定期升级和优化设置后的杀毒软件做有 效性测试。这个问题要比几年前棘手得多，因为在当时，如果某个杀毒软件除了病毒还能查出其他 的恶意软件，至少对于生产厂商来说，已经是意外收获了。 

而在当下，病毒（指具有可识别复制功能的程序）只在恶意软件中占有很小很小的一部分，这在 某种程度上大大增加了启发式扫描的难度；虽然说要查出某个可复制的程序在技术上并不一定总是 可行，但如果能通过解读代码来确定某程序试图复制的话，那用启发式方法查杀病毒在概念上就要 容易些。要自动确认某个程序是个远程操控，还是某种类型的木马，或者只是判断是否具有恶意， 这绝非易事。

举个简单例子：某个格式化磁盘的程序不会被定义为恶意软件，事实上，它可能只有这显而易见的 唯一功能；但是，如果电脑使用者被误导认为该程序能够播放影片或者能够改善网络数据传输而使用它的话，它当然就是恶意的。此类案例的实质性问题就在于，要建立一种算法，能够基于使用者 对程序的目的和设计者的意图的理解来进行判别，而不是程序本身的特性。 

虽然我们无法建立可靠的针对恶意软件的启发式算法，但是我们可以应用其他的启发式算法并针对 某个程序给出分值。与已知的恶意软件极为相似的（程序）得分可能会更高一些。还有很多其他的 行为会触发预警提示，这是根据应用环境决定的，比如打开了SMTP（邮件传输协议）或IRC（在 线聊天系统）通道，或者启用了文件传输机制等等。对可执行文件的分析可以发现许多的异常的编 译代码，例如可疑的补丁和特征位组合，不一致的文件头特征，及文件大小的不匹配等等。更为广 泛的计算机环境找到恶意软件的几率会较大，因此也能提供更多有价值的关于恶意软件特征的线索。 通讯信息分析不仅可以查出已知的邮件群发以及通过邮件传播的木马，有时甚至可能包含有诸如加 密文档密码等的有价值的信息。  
 
虽然很多病毒扫描器都具备类似功能，但就目前情况乐观估计，启发式扫描器有可能在将来通过自 动扫描来获取复杂口令，这对于包含有较高比例图像内容的信息尤为适用。如果某个信息与其他恶 意信息有相似性的话，获取这类复杂口令的成功几率会更高。带有恶意软件或网址的信息也可能与 其他的诸如钓鱼或垃圾邮件的恶意信息传输相类似，因为病毒作者或垃圾邮件的发送者近几年一直 在相互借鉴对方的技术，有证据表明，这些原来各自为战的组织已经有了越来越多的共同利益。人 们通常会使用邮件扫描来对各种滥发邮件及纯粹的恶意软件进行检查，数据流量分析也会显示与恶 意攻击相关的模式，例如海量垃圾邮件， (利 用启发式或其他技术)对垃圾邮件进行网关扫描，也会对恶意软件的查杀提供很大帮助。 

虽然用户和厂商一样，都希望主动防御能够做得像当年启发扫描那样有如此之高的查杀率， 但这绝 不意味着肯定能够成功。恶意软件作者有着不同的优先级。原来那种追求最快变种传播速度的霰弹 枪式的方法已经被摒弃了，现在他们的方式集中在了可能以特定个体或集体为目标的，单个作用期 短但高频发的恶意软件上。即使是简单的改动，如一系列短平快的针对壳特征的修改，都会使程序特征发生变化，从而降低被查杀的几率(启发式或非启发式)，并加大对所有反病毒实验室的资源占用。

植入电脑的恶意软件，一旦运用远程控制技术，定期进行自动升级和自动修改，将很难被检测出来。

这些问题伴随着我们的生活已经好几年了，所以没有必要恐慌。有了基本的电脑清洁意识、良好的 补丁习惯以及反恶意软件的适时更新，您的计算机就会继续得到良好的保护。除此之外，虚拟和模 拟技术的日益发展成熟，配合启发性分析，构成安全软件厂商强有力，不断进取，坚不可摧的甲胄。 然而，无论是反病毒软件厂商还是其他热门替代技术的追随者，都不能断言可以预测到将来所有的 威胁。 

所以最好让你的期望现实一些。