启发式与高启发技术全揭秘 - ZDNetSolutionBase系列专题

  [编者导语]启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”， 是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征，或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析，后者被称为动态虚拟机。。。。。。

·杀毒软件分析病毒过程

反病毒软件的检测病毒过程
一个反病毒程序检测什么？实际上非常多，包括一些技术上来说并不是病毒的 程序。大多数我们提到的病毒可能被称为恶意软件更为准确。讽刺的是许多在 市场上销售的专杀产品（比如检测间谍或者木马程序的）都宣称是必备的，他 们的理由是反病毒软件只能检测病毒。
事实上，商业的反病毒产品涉及的恶意软件的范围比大多数专杀程序要广。专 杀程序可能在它的特定范围内检测到更多的威胁，但是这不仅与程序检测已知威胁及其类型的能力 有关，还包括以下几个因素:
查看全文

---

·启发式究竟指什么？

启发式的具体含义
启发式（Heuristic）是指探索和发现的行为或过程。牛津英文词典将启发式定义为―让某人能够自 主的探索和学习∥或者（在计算领域）―仅依靠宽泛的定义，或者依靠不断尝试和汲取失败经验教训的 方法来解决问题。∥韦氏词典将其定义为―依靠实验尤其是反复试验，通过尝试和汲取失败经验教 训的方法，来帮助学习、探索或者解决问题∥或者（在计算领域）―一种利用自主学习的手段（通过反 馈的评估）来提高表现，以探索解决问题的技术。

 

特征码扫描的具体含义
特征码检测指一种精确地检索一组匹配字符串的直接模式，每个病毒及其 变种的特征都包含在扫描器的定义库中，而这些特征是不会出现在未被感 染的文件中的。一些反病毒研究者并不赞成将特征码扫描的称作―检索 字符串∥或者―扫描字符串∥，但这似乎并没有影响反病毒软件公司例行的使用这个称谓。

启发式的对立面:特征码与启发式
关于商业反病毒软件只能检测已知的恶意软件及其变种和亚种的说法可能不再像以前那样普遍了。 然而，部分取而代之的是另一种不很流行的说法，即病毒特征码扫描器和启发式扫描器是两种完全 不同类型的扫描器。

广谱防毒技术的定义
启发式分析通常被视为一种针对同类病毒的广谱检测机制，而不是针对特定病毒的检测机制.人们常 常想不到的是，这句话反过来理解也是正确的，广谱解决方案的部分诊断过程同样包含了启发式的规则。比如说：

病毒识别技术浅析
病毒的识别是介于两种要素的平衡：避免漏报（没有检测出存在的病毒感染）和误报（错误地报告不存在的病毒感染）。2006年初的几个月中，数款主流杀毒软件都出现了一系列的误报现象，这说明扫描技术的优化和进步并没有消除误报的风险。

永远的矛与盾:灵敏度与误报
启发式分析的精确度依赖于预设规则的强度。对于扫描器来说，目标恶意软件如果是新的，那么分 析器输出的结果将不是一个简单的二元判定（―此为已知病毒XXX∥或―这不是已知恶意软件∥）。（启 发式扫描器的）最有说服力的扫描结果取决于能够在一个由高（尽可能地保持最低限度的误报率） 到低（检测尽可能多的新病毒）的连续区间找到一个阙值。高强度的响应会在高误报的风险下尽可...

关于杀毒软件评测认证的争议
如何测试杀毒软件的检测能力一直存在着争议，目前只有极少数测试者和测试机构能够得到该领 域其他反病毒研究机构的认可。被广泛认可的具备测试资格的机构有：

---

·启发式的处境与未来

启发式杀毒面临的尴尬处境
有趣的是，虽然当今的启发式技术与90年代相比要成熟得多，整 体查杀率却有了大幅下降，只是对一些老牌的恶意病毒（如宏病毒、 邮件群发器等）还保持着相对较高的查杀率。有时候，这种整体性的退步，看上去是由反病毒软件领域的低迷和 依赖于病毒特性的查杀模式造成的，其实事实并非如此。造成退步一个很重要的因素是由于恶意软件的编写者们技术的进步，他们已 经总结出了一套最大限度躲避启发式查杀的方法，并且针对定期升级和优化设置后的杀毒软件做有 效性测试。这个问题要比几年前棘手得多，因为在当时，如果某个杀毒软件除了病毒还能查出其他 的恶意软件，至少对于生产厂商来说，已经是意外收获了。

启发式杀毒你需要了解的一些术语
通过某些手段（例如弹出一个窗口或打开某个网站）来吸引用户，发布广告或宣传商品的软件程序。如果未在用户许可或知晓的状态下安装，通常被视为木马程序。

---

·关于启发式的争论

网友交锋:启发式也有“高低贵贱”
不能把启发式理解成“脱壳引擎的一部分”，因为脱壳有“脱壳引擎”负责，脱壳的事情不可以放在启发式概念的范畴中。1）我们假设病毒文件是一个exe文件，这个exe文件没有壳，而且是所有杀毒软件都不认识的，这个时候，对所有杀毒软件来讲，扫描这个样本只需要“病毒库”以及“真正的启发式”，“脱壳引擎”根本不需要工作。我认为从专业的测试杀毒软件启发式的能力上，这样的测试才是有意义的，因为他是"病毒原体结构探测"。

启发式基础理论介绍——CHAPTER ONE
我们可以发现一个规律，当然这个规律或许事出偶然：即国外厂家多以启发式路线为主。而国内厂家多以采用行为拦截技术为主。特殊的是Kaspersky，二者兼有。

从具体实现的角度谈谈启发式引擎
启发式引擎的目标是自动化地区分正常程序与非正常程序，因此就要“尽一切可能”利用两者的不同点，哪怕这不同点很无赖，但是只要它是有效的，就是正确的。