科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道启发式与高启发技术全揭秘 - ZDNetSolutionBase系列专题

启发式与高启发技术全揭秘 - ZDNetSolutionBase系列专题

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”, 是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征,或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。

作者:ZDNet安全频道 来源:ZDNet安全频道【原创】 2008年8月18日

关键字: 高启发 启发式

  • 评论
  • 分享微博
  • 分享邮件
启发式与高启发技术全揭秘 - ZDNet China - Where Technology Means Business

  [编者导语]启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”, 是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征,或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析,后者被称为动态虚拟机。。。。。。

·杀毒软件分析病毒过程

反病毒软件的检测病毒过程
一个反病毒程序检测什么?实际上非常多,包括一些技术上来说并不是病毒的 程序。大多数我们提到的病毒可能被称为恶意软件更为准确。讽刺的是许多在 市场上销售的专杀产品(比如检测间谍或者木马程序的)都宣称是必备的,他 们的理由是反病毒软件只能检测病毒。
事实上,商业的反病毒产品涉及的恶意软件的范围比大多数专杀程序要广。专 杀程序可能在它的特定范围内检测到更多的威胁,但是这不仅与程序检测已知威胁及其类型的能力 有关,还包括以下几个因素:
查看全文


·启发式究竟指什么?

启发式的具体含义
启发式(Heuristic)是指探索和发现的行为或过程。牛津英文词典将启发式定义为―让某人能够自 主的探索和学习∥或者(在计算领域)―仅依靠宽泛的定义,或者依靠不断尝试和汲取失败经验教训的 方法来解决问题。∥韦氏词典将其定义为―依靠实验尤其是反复试验,通过尝试和汲取失败经验教 训的方法,来帮助学习、探索或者解决问题∥或者(在计算领域)―一种利用自主学习的手段(通过反 馈的评估)来提高表现,以探索解决问题的技术。

 

特征码扫描的具体含义
特征码检测指一种精确地检索一组匹配字符串的直接模式,每个病毒及其 变种的特征都包含在扫描器的定义库中,而这些特征是不会出现在未被感 染的文件中的。一些反病毒研究者并不赞成将特征码扫描的称作―检索 字符串∥或者―扫描字符串∥,但这似乎并没有影响反病毒软件公司例行的使用这个称谓。

启发式的对立面:特征码与启发式
关于商业反病毒软件只能检测已知的恶意软件及其变种和亚种的说法可能不再像以前那样普遍了。 然而,部分取而代之的是另一种不很流行的说法,即病毒特征码扫描器和启发式扫描器是两种完全 不同类型的扫描器。

广谱防毒技术的定义
启发式分析通常被视为一种针对同类病毒的广谱检测机制,而不是针对特定病毒的检测机制.人们常 常想不到的是,这句话反过来理解也是正确的,广谱解决方案的部分诊断过程同样包含了启发式的规则。比如说:

病毒识别技术浅析
病毒的识别是介于两种要素的平衡:避免漏报(没有检测出存在的病毒感染)和误报(错误地报告不存在的病毒感染)。2006年初的几个月中,数款主流杀毒软件都出现了一系列的误报现象,这说明扫描技术的优化和进步并没有消除误报的风险。

永远的矛与盾:灵敏度与误报
启发式分析的精确度依赖于预设规则的强度。对于扫描器来说,目标恶意软件如果是新的,那么分 析器输出的结果将不是一个简单的二元判定(―此为已知病毒XXX∥或―这不是已知恶意软件∥)。(启 发式扫描器的)最有说服力的扫描结果取决于能够在一个由高(尽可能地保持最低限度的误报率) 到低(检测尽可能多的新病毒)的连续区间找到一个阙值。高强度的响应会在高误报的风险下尽可...

关于杀毒软件评测认证的争议
如何测试杀毒软件的检测能力一直存在着争议,目前只有极少数测试者和测试机构能够得到该领 域其他反病毒研究机构的认可。被广泛认可的具备测试资格的机构有:


·启发式的处境与未来

启发式杀毒面临的尴尬处境
有趣的是,虽然当今的启发式技术与90年代相比要成熟得多,整 体查杀率却有了大幅下降,只是对一些老牌的恶意病毒(如宏病毒、 邮件群发器等)还保持着相对较高的查杀率。有时候,这种整体性的退步,看上去是由反病毒软件领域的低迷和 依赖于病毒特性的查杀模式造成的,其实事实并非如此。造成退步一个很重要的因素是由于恶意软件的编写者们技术的进步,他们已 经总结出了一套最大限度躲避启发式查杀的方法,并且针对定期升级和优化设置后的杀毒软件做有 效性测试。这个问题要比几年前棘手得多,因为在当时,如果某个杀毒软件除了病毒还能查出其他 的恶意软件,至少对于生产厂商来说,已经是意外收获了。

启发式杀毒你需要了解的一些术语
通过某些手段(例如弹出一个窗口或打开某个网站)来吸引用户,发布广告或宣传商品的软件程序。如果未在用户许可或知晓的状态下安装,通常被视为木马程序。


·关于启发式的争论

网友交锋:启发式也有“高低贵贱”
不能把启发式理解成“脱壳引擎的一部分”,因为脱壳有“脱壳引擎”负责,脱壳的事情不可以放在启发式概念的范畴中。1)我们假设病毒文件是一个exe文件,这个exe文件没有壳,而且是所有杀毒软件都不认识的,这个时候,对所有杀毒软件来讲,扫描这个样本只需要“病毒库”以及“真正的启发式”,“脱壳引擎”根本不需要工作。我认为从专业的测试杀毒软件启发式的能力上,这样的测试才是有意义的,因为他是"病毒原体结构探测"。

启发式基础理论介绍——CHAPTER ONE
我们可以发现一个规律,当然这个规律或许事出偶然:即国外厂家多以启发式路线为主。而国内厂家多以采用行为拦截技术为主。特殊的是Kaspersky,二者兼有。

从具体实现的角度谈谈启发式引擎
启发式引擎的目标是自动化地区分正常程序与非正常程序,因此就要“尽一切可能”利用两者的不同点,哪怕这不同点很无赖,但是只要它是有效的,就是正确的。

各反病毒产商启发式杀毒技术

趋势科技启发式技术Intellitrap简介及测试

启发式与其他反病毒技术

主动防御与启发式杀毒一览

启发式与高启发其他精彩文章

[#启发式_30#]

安全频道热门专题:

2008"Black Hat"黑帽大会直击
2008年8月,Black Hat黑帽技术大会又回到了拉斯维加斯的老恺撒皇宫赌场酒店。

虚拟化安全 风险与机遇并存
虚拟化技术的浪潮伴随着数据中心的大热,成为企业IT部门关注的焦点。

 

UTM以防病毒为技术源头
在构建有效的防护体系中,从物理部署角度来讲,我们认为网关是第一道关卡。

主动防御与HIPS技术全接触
一般意义上的“主动防御”,就是全程监视进程的行为,一但发现“违规”行为,就通知用户。

 
爱卡汽车网 | CNET科技资讯网 | CWEEK | 蜂鸟网 | GameSpot China | 个人电脑 | 开发者在线 | PChome | Solidot | SPN |
投影顾问网 | 万维家电网 | 网友世界 | 西域IT | ZDNet China | 中关村在线 | 中小企业成长网
CNET Networks
Copyright © 1997-2007 CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号: 京ICP证010391号 京ICP备09041801号-159
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章