弱弱的问一下，什么是启发式扫描啊？？

gwlaw1993

老看到启发！启发！
1到底是什么东西啊
2怎样算是启发式扫描？？
（打开一个程序，然后杀软自动说是毒，就是吗？？？）

Eternity

利用现有的特征码匹配智能分析匹配度再辨认
　启发式技术，在原有的特征值识别技术基础上，根据反病毒样本分析专家总结的分析可疑程序样本经验（移植入反病毒程序），在没有符合特征值比对时，根据反编译后程序代码所调用的win32 API函数情况（特征组合、出现频率等）判断程序的具体目的是否为病毒、恶意软件，符合判断条件即报警提示用户发现可疑程序，达到防御未知病毒、恶意软件的目的。解决了单一通过特征值比对存在的缺陷。
　　例如：一个可疑程序通过反病毒杀毒引擎反编译后，发现代码中自动释放可执行文件驻留系统目录、伪装系统文件、注册win32服务获取系统管理权限、通过命令行删除自身文件，调用系统组件svchost.exe来开启后门服务，隐藏自身进程并尝试通过OpenSCManagerA、OpenServiceA、ControlService等函数来开启系统自身的终端服务，以便进一步控制计算机。通过这些条件即可判断为恶意软件（后门程序）。

gwlaw1993

回复 2楼 Eternity  的帖子

能简单（通俗）点不！
   

812543572

回复 3楼 gwlaw1993  的帖子

就是。。。 我都看懂了。。。
   

Eternity

回复

能简单（通俗）点不！
gwlaw1993 发表于 2010.7.21 10:07

利用判断行为，也就是特征码行为匹配，大部分匹配的时候，就成XXX的变种或者可疑程序

朝圣

利用判断行为，也就是特征码行为匹配，大部分匹配的时候，就成XXX的变种或者可疑程序
Eternity 发表于 2010.7.21 10:20

感觉有点像HIPS了

Sko

利用现有的特征码匹配智能分析匹配度再辨认
　启发式技术，在原有的特征值识别技术基础上，根据反病毒样本 ...
Eternity 发表于 2010.7.21 10:04

学习了。。。。感谢

08014202

我也是来学习的

红魔

回复 1楼 gwlaw1993  的帖子

请看：
http://baike.baidu.com/view/1016168.htm
http://baike.baidu.com/view/1139897.htm?fr=ala0_1
   

红魔

回复 6楼 朝圣  的帖子


和HIPS原理完全不一样。。。。