关于杀毒软件“主动防御技术”中的“静态启发”和“动态启发”之异同

721407354

80年代末期，由于电脑病毒的出现，就有了它的克星──反病毒软件的诞生。从此，开始了“猫”与“鼠”、“矛”与“盾”的博弈。这一时期，病毒制作者所使用的技术还比较“小儿科”，因而反病毒软件对其检测、查杀相对容易。当时，广泛使用的就是“特征码匹配方法”。此后，为了躲避杀毒软件的查杀，病毒开始了进化，逐渐演变为变形的形式：每感染一次，就像“变形金刚”一样改换一次面孔，以此来躲避反病毒软件的“追杀”。

    由于同一种病毒的变种病毒大量增加，单纯依靠病毒库和特征码技术已经不能适应网络安全需要。于是，便出现了广谱特征码的概念。这个技术在一段时间内，对于处理某些变形病毒提供了一种方法，但是也使误报率大大增加，所以采用广谱特征码技术也不能有效对新病毒和未知病毒进行查杀。正中了“魔高一尺，道高一丈”的古训，新的查毒技术应运而生——这就是能够主动检测和拦截未知威胁的防御方法，即“主动防御技术”。

    主动防御技术是在没有病毒样本的情况下，针对未知病毒研发的病毒防杀技术：1。在未知病毒和未知程序方面，通过“行为判断”技术识别大部分未被截获的未知病毒和变种。2。通过对漏洞攻击行为进行监测，可防止病毒利用系统漏洞对计算机进行的攻击。说到主动防御，不得不提起启发式查毒技术。启发式查毒技术属于主动防御的一种，是当前对付未知病毒的主要手段，从工作原理上可分为静态启发和动态启发两种——

    静态启发，是指在静止状态下通过病毒的典型指令特征识别病毒的方法，是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别，通常一个正常应用程序在最初的指令，是检查命令行并输入有关参数项、清屏和保存原来屏幕显示等；而病毒程序最初的指令通常是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。静态启发就是通过简单的反编译，在不运行病毒程序的情况下，核对病毒头静态指令从而确定病毒的一种技术。

    相对静态启发技术，动态启发技术要复杂和先进很多。动态启发通过杀软内置的虚拟机技术，给病毒构建一个仿真的运行环境，诱使病毒在杀软的模拟缓冲区中运行，如运行过程中检测到可疑的动作，则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒，对加壳病毒依然有效，但如果控制得不好，就会出现较多的误判误报。尽管如此，由于动态启发式判断技术具有许多不可替代的优势，因此仍然是目前检测未知病毒最有效、最可靠的方法之一，并在各大杀软产品中得到了广泛应用。

勇者无敌

欢迎回到地球

皇柝

自己写的还是转载的？

229428139

学习了

mc60

学习了，谢谢分享

jkl

我觉得看着有点眼熟，又想不出来在哪儿看过……

dingogi

学习了

wzra1984

楼上的不要用这么恐怖的头像，，，，，晚上黑灯瞎火的看了[:23:][:23:][:23:]

jiayan72392

根据版规

4、转贴时应尽量提供原文并标注原作者、出处等信息，且应与文章内容文字有明显区别（如

除白色外的不同颜色、加粗、加大字号），而不应只提供链接地址。

请注明一下本文的出处。

OpenSourse

自己写的还是转载的？
皇柝 发表于 2010.6.25 21:51

这不重要吧。。楼主又没有写原创标签。。