启发式技术什么时候提出的？

HKLHF

学习一下，很好非常强大！

x_3max

“静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法，是对传统特征码扫描的一种补充”
这个是说avast的基因查杀之类的技术吧。

heroboy0923

原帖由 play32 于 2009-3-26 16:46 发表

那么怎么来区别小红伞是病毒库特征码查杀了病毒还是动用了启发式查杀了？如果先是特征码查杀吧，那小红伞的启发式岂不是摆设；如果先是启发式查杀，那小红伞病毒库又是摆设了。在卡饭评测区已经很清楚了，单 ...

nod32的病毒库相对红伞而言小太多了吧，其实光看启发的话，红伞不在nod32之下，只是因为红伞的病毒库很大，而且收集更新也更及时，所以一般看不出来
个人看法，不一定准确，轻拍
呵呵

freehuang

启发式(Heuristic)程序通常被认为是一种具有人工智能的应用程序，而且也是一种解决问题的工具。启发式程序的编写，例如用于专门系统的程序，建立于一些从经验中提取的规则，它通过不断积累经验产生 更好的解决方法，并且增加自己的知识库。启发式分析使用基于当启发式分析被用于处理恶意软件时（当然还包括垃圾邮件和流氓软件），规则的方法来诊断一尽管涉及反复试验和从经验中学习的原理，却又有更多限定的含义。启发一个有潜在威胁的文件式分析使用基于规则的方法来诊断一个有潜在威胁的文件(或信息，如果是分析垃圾邮件的话)。分析引擎的工作是基于自身规则库的，它依据规则检查恶意软件存在的可能性，当找到一个匹配的规则时就为其分配一个分值。如果这些分值达到或超过了一个阈值，这个文件就会被标记为可疑文件(或者潜在的恶意软件、垃圾邮件)并进行处理。某种意义上来说，针对反恶意软件的启发式技术，尝试的是模拟人类的智能分析方法。与恶意软件分析人员设法判定某个软件的行为和动作相同，启发式分析执行相同的智能决策过程，有效地担当虚拟分析师的角色。恶意软件分析人员从出现的新生威胁中不断学习，并将他的知识通过编程应用于启发式分析器，以提高今后的检测率。启发式编程在反病毒软件性能中有着双重的任务：速度和检测。事实上，当已知病毒的数量与日俱增，就需要提高检测速度。否则，增长的恶意软件数量所带来额外扫描时间，会降低系统的使用效率。尽管当今的启发式引擎性能已经大幅提升，但在用户看来，启发式（甚至非启发式）扫描所带来负面影响，可能会超过其检测率提高所带来的优势，这是危险的。人们普遍相信启发式扫描器通常比静态扫描器慢，但在特定的情况下这一点不再正确。早期的启发式扫描使用经过优化的简单检测模式，它只搜索目标中可能存在特定病毒的部分文件。（一个简单的例子：如果一个病毒只将核心代码存储在被感染文件的头部和尾部，就没有必要扫描整个文件）。这样就减少了扫描的资源占用也降低了误报的风险。对于在正常情况下，病毒不可能存在的位置检测出了病毒，体现的不仅是劣质检测方法的副作用，同时也是劣质检测设计程序的表现。例如，一些测试者尝试将病毒代码随机的插入一个文件或者其他可被感染的目标，以此来测试杀毒软件能力。同样的，对于一些特殊类型的目标，如文件或者引导区，可以选择性的扫描其中针对性的恶意软件类型，这种方法有时被描述为―过滤。毕竟，没有理由在引导区上去扫描宏病毒代码。然而，一种文件类型被正确识别，不能成为该文件未被感染的实际证据。举例来说，将Microsoft Word文档植入恶意的可执行文件，长期以来就是商业间谍和信息盗窃者的主要攻击手段。同样的，恶意软件编写者经常寻找一些正常情况下不可能包含可执行代码的文件，通过修改运行环境等方法使其能够包含可执行代码进而作为攻击目标。例如W32/Perrun 病毒，将自身添加到JPG 和TXT 类型的文件中，一般不会运行，一旦操作环境做了特殊的改变之后，它就能释放出代码并运行。

lovejava

怎么区别hips的规则和启发式的规则啊

llydmissile

启发式技术应该是冰岛的杀毒软件F-Prot第一个采用的

…………这期间，有一款杀毒软件的产生，对当时乃至将来的杀毒软件行业，产生了深远的影响，那就是 Fridrik Skulason 开创的第一代启发式杀毒软件 F-Prot。（如今的“启发式”已经是杀毒界用得最滥的一句台词，^_^）

Fridrik Skulason 是 CARO（Computer Anti-Virus Research Organization -- 计算机防病毒研究组织）创始成员之一，他的公司 FRISK Software International 1993年于冰岛正式成立。

F-PROT v1.0 于1989年4月推出；之后凭借其独特的启发式技术、庞大的毒库（没错，是庞大的毒库）和不俗的表现，很快就风靡了欧洲和北美。与现在的收费杀软不同的是，当年的F-Prot是个共享软件，个人可以免费使用它，而商业用户使用的费用也相当低廉（据说每台机器每年1美元，汗）；至今 F-Secure 提供的 F-Prot for DOS 3.X 仍然是免费的。

F-Prot的成功使得它的研究组织和个人遍布了世界各地，一些公司在获得 FRisk Software 授权的前提下开发并销售了拥有自己界面的 F-Prot。其中比较有名的有两家公司，一家是美国的 Command Software (后被 Authentium 收购)，一家则是芬兰的Data Fellows。

3、Data fellows 的 F-PROT Professional
F-Prot的推广，DF公司功不可没。早期的 F-Prot 有18种语言版本，大部分“外语”版本，都来自 DF 的手笔。

DF 不仅作为 FRisk 的代理商推广销售 F-Prot、提供维护和升级服务，它还获得了 F-Prot 的修改及开发的权利。DF 有它自己专门的部门用于 F-Prot 的技术支持，称为 F-PROT Support of Data Fellows .

DF 与 FRisk 合作的 F-PROT Professional 很快又席卷了欧洲大陆。

在发售 F-PROT Pro 的同时，DF 还研发了它自己的启发式引擎和 CounterSign 技术，并酝酿着它的另一款产品，称为 F-Secure。但在1998年以前，DF的杀毒产品，仍以 F-Prot Professional 为主。

lovejava

谢谢你提供的这些资料啊

D20099188

不同意你的观点
查杀病毒的时候，不仅仅是查杀率的问题
还有查杀的速度，评测区的两个测试都是我做的
我在测的时候明显的感觉到只靠启发查杀速度慢，而又特征码的时候速度则大大的加快
我也用过nod的，那个扫描速度和红伞纯引擎的速度差不多

llydmissile

原帖由 play32 于 2009-3-26 16:46 发表

那么怎么来区别小红伞是病毒库特征码查杀了病毒还是动用了启发式查杀了？如果先是特征码查杀吧，那小红伞的启发式岂不是摆设；如果先是启发式查杀，那小红伞病毒库又是摆设了。在卡饭评测区已经很清楚了，单 ...

不能同意你的观点。你的证据只能说明红伞的启发在每天的卡饭评测中没有发挥很大作用。用户使用就是另一回事了

aimin0459

在卡饭真是学习不少。