关于红伞的启发式扫描

hnhkxywl

最近在论坛上不断看到网友发贴讨论红伞的启发式扫描误报率高及启发式扫描天下无敌，能防御绝大部分病毒的问题 ，要讨论这个问题，首先要了解什么是启发式扫描及它的工作原理。
       近年来流行的主动防毒技术主要有几种，一是CA的主动内核监控技术，二是主动漏洞发现机制，还有就是启发式扫描和广谱行为分析技术 ，这两种技术原理有相似之处，其中大部分厂商采用了启发式扫描技术。启发式(heuristic)式扫描就是根据一些规则，智能地执行判断和处理，从而有可能发现部分未知的病毒，这种技术的核心在于病毒的运行机制是由规律的，，是一种针对病毒的感染机制和触发机制及破坏机制的防毒技术。
       启发式扫描的工作原理是查找可疑的指令序列，对特定的程序的性质作出粗略判断，为了达到检测目的，通常会将代码载入虚拟机中执行，以判断可疑指令是否会对计算机造成危害。
       启发式扫描的缺点就是误报比较高，特别是其行为阻止技术会将一些正常的应用程序判断为恶意程序，再有就是它也是一种基于特征码的扫描技术，对于检测病毒的感染机制比较有效，如果病毒使用新的方式编写及运作，或采用特殊的触发机制，都有可能被绕过，所以启发式扫描决不可能发现所有的未知病毒，目前也没有那种主动防毒技术能做的到

[ 本帖最后由 hnhkxywl 于 2007-3-10 20:06 编辑 ]

随风听雨

楼主讲得好！又增长知识了！

ohmyivan

看来你比较懂,估计是杀软公司的,建议你让你们公司也学学小红伞的启发.

shardineblog

启发也是一个趋势啊。

mervenchen

同意楼上的

kuankevin

红伞的启发式还不错

rs-z

樓主說的對..

hughalex

多谢楼主 ,长知识了

周杰伦

这些已经知道了，还是谢谢楼主了