启发式
考虑这样一种情况,即你的任务是找出所有世界级的国际间谍,你可以见面,但你不知道什么是他们实际上看上去像。 你可以就这个挑战,首先是制定一个矩阵上市已知间谍属性,并指派点,以他们的基础上,如何大力它们表明间谍。 你的清单可能大约是这个样子:
名单可以继续下去,但你得到的想法。 如果这笔所有要点,以作个别超过一定值时,你可能决定他或她可能是间谍,从来没有看到这种特别的间谍。 那么,你可以要求乘坐在滑头车。 实现的局限性基于签名的检测方法,反病毒厂商已制订了类似的方法,使他们能够探测以前从没病毒具有一定的行为和结构特征。 赛门铁克,比如,电话的这一特点,其诺顿防毒产品追踪。 1启发式为基础的检测引擎扫描档案,为特点常见的病毒,如这些:
作为启发式扫描器审查文件,它通常会委派重量,以每个病毒类似的特征,它相遇。 如果文件的总重量超过某一阈值,则扫描器认为恶意代码。 如果扫描仪的开发商设定的门槛过低,则该使用者可以压倒同错误警报。 在另一方面,如果门槛定得太高,或者如果病毒样的特点没有得到妥善查明,那么探测器将错失太多病毒。 无论哪种方式,用户的保护是有限的,除非灵敏度设置恰恰好。 这项技术不会有很大的帮助,如果杀毒软件能够侦测恶意程序后,才表现出病毒的恶意行为,如感染程式或删除档案。 如果情况果真如此,你可能会得到一个警告,从杀毒软件,说: "你的系统刚刚被彻底破坏了一个病毒!过好一天。 " 虽然这确实是令人感兴趣的信息,你需要得到警告之前,恶意软件,其方式与你的机器。 诀窍在于解析可疑文件的方式,让杀毒软件来估计什么行动,将演出,如果禽流感病毒其实有机会去执行。 这种分析一定要发生之前代码运行。 杀毒软件完成这一目标,企图仿效的处理器将被处决了潜在的恶意程式。 在案件可执行文件汇编为英特尔x86机器,这个办法要求,学习的主要特点的x86处理器。 在案件vbscript来巨集指令嵌入到微软office文件,这种方法需要学习的基本功能的vbscript来处理引擎。 考虑到很难有可靠证据仿效处理器,启发式检测方法是远远万全。 这是特别具有挑战性的,以评估效果的宏病毒,病毒,因为它们的结构和可能的执行流向少得多预测比那些编译可执行文件。 因此,病毒扫描器不依赖启发式作为唯一的方法检测病毒,他们还利用良好的旧签名技术,有时他们还聘请完整性验证方法描述了未来。 这是一篇文章说,由利维四约翰逊
|
|||||
|