关于启发 的口水太多了,但是什么才是启发?

什么是启发?

悠柚

http://baike.baidu.com/view/1016168.htm
中立态度

就当我是上帝

“启发”的英文是heuristic，在教育学上是指让学生自己学习各种事物，帮助其探索

如果参考一下卡巴斯基的反垃圾邮件学习模式，那么启发可以理解为通过初期一定的特征积累学习，最终达到可以自主判断的目的，于是在一定程度上不用总是依赖特征码

个人意见，仅供参考

白羊座

眼下只能认为是举一反三 ，毕竟没有做到启发和特征码完全分离

人民

启发式分析

        启发式分析器是分析物件程式码的程序，使用间接方式判定物件是否具有恶意。不同于以病毒码为基准的方法，启发式分析器可以检测出已知和未知的病毒（亦即在启发式分析器写成之后才问世的病毒）。

        分析器通常会先由扫描式码开始，寻找具备恶意程序特征的可疑属性（命令）。此方法称为静态分析。举例说明，许多恶意程序会搜寻执行档，然后开启找到的档案并加以修改，启发式分析器检视应用程序之程序码，并在找到可疑命令时增加该应用程序的可疑指数。若检查完全部程序码后的指数值超过预设的标准，该物件即归类为可疑物件。

        此方法的优势包括便于实施，以及具备高效能。然而，此方法对新型恶意程序码的检测率较低，而误判率也较高。

        因此，在目前的方病毒程序中，静态分析会与动态分析并用。此种综合型方法背后的概念，是让应用程序实际在使用者电脑上执行前，先在安全的虚拟环境（又称模拟缓冲区或“沙磐”中进行模拟。在厂商的行销资料中，亦称作“虚拟PC模拟”。

        动态启发式分析器会将应用程序的程序码部分复制到反病毒程序的模拟缓冲区中，并使用特别的“技巧”模拟其执行。若在此“模拟执行”中检测到可疑的动作，该物件将归类为恶意物件，且该物件在电脑上执行时将遭封锁。

        由于以动态方法为基准的分析须使用受到保护的虚拟环境，此方法因此比静态方法需要更多的系统资源，而应用程序在电脑上执行时，也将因为完成分析所需的时间量而造成若干延迟。然而，比起静态方法，动态方法提供较高的恶意软件检测率，误判率也比较低。

        反病毒产品使用启发式分析器已有相当的历史，因此，目前所有反病毒解决方案所采用的启发式分析器，或多或少都是为进阶的版本。

人民

另外，“启发式分析器”与“行为拦截工具”是主动防御两种最普遍的方式

iezhaoie

逻辑推理

heroa

举一反三称之为启发给杀毒引擎一个病毒基因，让它自己查杀带有此基因特征的已知和未知病毒。

基因查杀和启发式扫描是两个各不相同的概念：

基因查杀技术的原理是通过分析大量病毒样本提取一类病毒的共同代码来防杀这类病毒，通常是提取关键代码。
优点：提升侦测率，降低病毒分析师的压力。缺点：有误报的可能性。难点：必须不断更新基因代码，否则会使效果大打折扣。
启发式扫描：
病毒和正常程序的区别可以体现在许多方面，比较常见的如通常一个速应用程序在最初的指令是检查命令行输入有无参数项，清屏和保存原来屏幕显示等，
而病毒程序则从来有会这样做，它通常最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。
这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。
启发式扫描技术实际上就是把这种经验和知识移植到一个反病毒软件中的具体程序体现。
启发式扫描技术与市面上其他杀毒软件的主机入侵防御系统（HIPS）有所不同，由于HIPS技术在使用上是由用户去判断程序是否安全，是否有病毒，
无经验的用户就无法判断是否是病毒。
而启发式扫描技术把判断病毒的经验完全移植到程序代码中，
通过这种已移植经验代码来判断被扫描的程序是否感染病毒、存在恶意代码、或者其他的恶意行为，
根据病毒工程师长期的病毒研究、积累丰富的杀毒经验而编写的启发式扫描技术，对未知病毒做出判断。

很多杀毒软件同时采用了这两种技术：
代表作：Dr.web、NOD32、Avira、Avast等。
此类杀毒软件小巧玲珑，资源占用少，智能安静，兼容性稳定性极好，简单易用。
启发式与高启发技术全揭秘http://net.zdnet.com.cn/security_zone/2008/0818/1068749.shtml
关于avast!是否有启发的问题http://bbs.kafan.cn/thread-418032-1-1.html

[ 本帖最后由 heroa 于 2009-8-21 18:03 编辑 ]

夜飞雪

学习了…

jiangchuan

现在的Avast!有启发