启发式综述系列之基础理论介绍——CHAPTER ONE

阁中帝子今何在？—启发式综述系列之序言（独家原创）我想，与其形而上学地对垒争论，不如告诉大家一些不为常人所知的细节。
  真相是停止争论的最好方法。  
  当然，具体的细节，其实我也懂的不多。
  好在我可能比大家多知道一些接近细节的背景罢了，因此交代给诸位。
  遂有此（系列）帖。
  任何时候，任何地点，欢迎转载。注明出处，作者即可。
  本（系列）帖，纯个人观点。
  因为含有经验成分，不能保证学术正确性。仅供参考。
  本帖与包括本坛、ESET方面在内的任何组织、任何商业机构无关。
序言——启发式查毒 VS 行为拦截从来硬弩弦易断，每见钢刀口易伤。
  实际上，防病毒厂家都没有停止探索未知病毒查杀的脚步。
  总结起来，近年来，国内外厂家基本分出了两个阵营。一是坚持启发式路线者，二是走行为拦截路线者。（当然比如6.0版本以后的卡巴斯基，是二者兼有。但是因为采用的技术不外乎还是这两种，因此本文还是做两种划分而不是三种划分。）
  具体按厂家划分（仅举部分厂家），采用启发式路线的有AntiVir、DrWeb、ESET、Norton、Panda等。采用行为拦截技术的如Kaspersky（兼有）、瑞星、江民等。
  //说明：此处厂家排列是按照姓氏笔画，并无优劣暗示。并且也不代表没有列入其中的厂家技术不好，比如F-S等
  我们可以发现一个规律，当然这个规律或许事出偶然：即国外厂家多以启发式路线为主。而国内厂家多以采用行为拦截技术为主。特殊的是Kaspersky，二者兼有。
  
  启发式查毒技术概述
  多年来，主流反病毒厂家一直在启发式查毒上投入了大量人力物力。其中典型的比如来自Symantec Norton的Bloodhound技术（Norton检出的病毒名称带有Bloodhound字样的即为启发式结果）、Panda的TruPrevent Technologies、ESET的ThreatSense技术等。这里说“典型”，包括但不仅仅是强调其优秀性。因为其他有一些厂家也很有特点，不过没有命名而已。比如AntiVir和DrWeb，他们没有给自己的启发式技术冠名（或许是我不知道，请大家补充）。
  启发式查毒技术是一种“内功”技术。就是依靠复杂的算法检测程序本身，然后自动判断结果。整个过程不需要用户协助判断。但是目前启发式技术的不足在于，第一还无法做到对未知病毒的100%判断（经验估计，业内最高水准目前可以达到约40～70%），第二是对正常程序的误报。

  行为拦截技术概述
一个病毒程序，对于正常程序而言，总会有一些异常行为。基于此，行为拦截技术应运而生。我个人把行为拦截技术称为一种“显式”技术。对于恶意程序而言，一般都会有一些非正常动作，比如加入启动项，修改注册表关键项目等，而只要能把这些可疑行为都拦截（通过加载驱动的HOOK技术）于事前，就可以做到接近100%预防未知病毒。然而，这种美好的构想却在实践中遇到了巨大问题。最大的问题是，比如弹出的100个提示中，可能有99个都是正常程序所为。而且还给不懂专业知识的一般用户带来了大量的操作疲劳。

1、启发式定义
启发式指的是具有自我发现的能力、运用某种方式和方法来判定事物的知飒和技能。启发式分折就是利用计算机病毒的行为特征，结台以住的知识和经验，对未知的可疑病毒进行
分析和识别。

2、启发式分析的实现原理
在具体实现上，启发式扫描技术是相当复杂的。通常这类检测软件不仅要对系统进行扫描，还要能够探测许多可疑的指令序列。如格式化磁盘类操作，驻留内存操作等。然后根据这些可疑操作的危害程度制定不同的权值（threshold），，并使用特定的规则进行计算权值后与设定值比较。经典的启发式规则描述如下算式：
可以定义F=a1*Oper1+a2*Oper2+??+an*Opern，其中，an表示相应参数的权值，Oper n表示操作或行为，满足a1+a2+??+an=1。1，an的取值体现了相应标志在病毒特征中的重要程度。。F反映了程序为病毒程序的可疑度， 显然F的取值为0～1。
说明：由于论坛显示能力所限，如a1为a的1次方，an为a的n次方。

3、误报控制措施
因为一些正常程序在一些情况下也可能发生如上所说被用于恶意程序的行为，因此凡是基于权值判定的启发式技术发生误报在所难免。这便是启发式技术会产生误报的根源。在目前的技术条件下，完全做到启发式技术不发生误报是不可能的，但是技术优秀的厂家可以在保持高启发效率的前提下做到了尽量低的误报发生概率。大致有这么几种主要措施：
（1）通过大量实验，精准的得出权值F。
（2）设计好排除检测库。即只要用户选择排除的文件一律不进行启发式检测。
（3）实现更高级的启发式算法。（请见本系列后续文章）

结论：
1、作为经典的启发式理论，其实目前在主流杀毒软件中单独应用不多，而代之以各种各样的改进技术。但是作为各种流派启发式技术的共同理论基础，大家首先了解这一点是非常必要的前提。
2、大家如果经常使用各种杀毒软件就会总结出这样一个规律，对于偏重于启发式技术的杀毒软件，会有这么几个特点：
（1）高启发，高误报。（2）高启发，低误报。（3）低启发，低误报。
显然，只有身怀启发式技术绝技的厂家才能做到2，其余的只能是在1或者3中选择一种道路。但退而求其次的时候，我个人倾向于宁可选择3也不要选择1。