大蜘蛛的基因查杀和启发式扫描详解

基因查杀:

基因查杀并不是什么新技术，其实就是以前的广谱查杀，通过分析大量的病毒样本然后提取它们共同的特征后可查杀一类病毒。这个技术用好了可以大大提升侦测率，减轻病毒分析师的负担。这个技术的难点在于必须不断更新基因特征，因为病毒制造者即时做同一类病毒，但是肯定会对代码进行改动以躲避查杀，举例：同样是灰鸽子，以前用基因可以查杀2006版，但是2007版出来后用老的基因就效果不好了，必须再分析2007版的，提取新的基因代码才能有很好的效果。其实很多厂家都有用这个技术，但是由于无法做到一直更新基因代码，所以时间长了就没什么效果了。

总结：基因查杀技术的原理是通过分析大量病毒样本提取一类病毒的共同代码来防杀这类病毒，通常是提取关键代码。优点：提升侦测率，降低病毒分析师的压力。缺点：有误报的可能性。难点：必须不断更新基因代码，否则会使效果大打折扣。

启发式扫描:

  病毒和正常程序的区别可以体现在许多方面，比较常见的如通常一个速应用程序在最初的指令是检查命令行输入有无参数项，清屏和保存原来屏幕显示等，而病毒程序则从来有会这样做，它通常最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。

基因式扫描以Dr.web为代表.
启发式扫描以NOD32为代表.卡巴斯基KIS7.0也加入了启发式扫描。