卡巴斯基启发分析技术概述

黑羽

启发分析（假单的说是启发heuristic）是一项病毒检测技术，该检测项目能够检测不在反病毒软件威胁数据库中恶意软件。它能够检测可能被未知或者新的病毒变种感染的对象。它能够检测大约92%的新出现的威胁，并且该方法是非常有效并且误报较少的。被启发分析匹配的文件会被视为可疑文件。

普通分析通常是通过扫描恶意程序的可疑特征代码来实现的。这种方法叫做静态分析。举个例子，许多恶意程序会搜寻可执行程序，打开这些被找到的程序并且修改它们。而启发分析是检查一个应用程序的完整代码，如果检测到一个可疑的指令，则会增加该程序的“可疑指数”。如果当检查完所有代码后，可疑指数的值超过预先定义的限值时，则该对象被视为高度可疑对象。

这种方法的有利之处在于实施简单与高效能。然而，针对新的恶意程序代码的检测率还是较低，相反，误报率则较高。

因此，当今的反病毒程序，静态分析与动态分析相结合的使用。结合使用的想法的方法是为了在一个安全的虚拟环境中来模拟一个应用程序的执行（另称为虚拟机或者“沙盒”）。在销售市场上，卖主也使用另外的项目——“Virtual PC emulation”

动态启发分析是复制应用程序代码到一个由反病毒程序构建的虚拟缓冲区中，在其中模拟程序执行。如果这个程序在模拟执行过程中，有任意一个可疑活动被检测到。则该对象就被认为存在恶意行为并且阻止它在计算机上的执行。

动态分析方式相比静态分析方式需要更多的系统资源。因为这种分析方式是基于使用一个受保护的虚拟环境方式的分析。计算机中的应用程序的执行受到延迟，这主要取决于应用程序完成整个分析所需的时间。同时，动态分析方式相比静态分析方式能够提供较高的恶意程序检测率，较低的误报率。

卡巴斯基全功能安全软件2010在以下组件中包含启发分析：


· 文件反病毒
· 邮件反病毒
· 网页反病毒
· 即时通信反病毒
· 主动防御
· 应用程序控制
· 反广告
· 家长控制

卡巴斯基反病毒软件2010在以下组件中包含启发分析：



· 文件反病毒
· 邮件反病毒
· 网页反病毒
· 即时通信反病毒
· 主动防御
· 扫描任务


本文转自卡巴一族

小v可

很好 解释得很清楚！

lvhen422

学习了。。。
有2011的吗？

黑羽

回复 2楼 小v可  的帖子

谢谢
   

ceoto

很好的介绍，不错，谢谢分享了

a66

转帖高手，还是转移点有实质内容的东西过来吧

天光仔

能够检测大约92%的新出现的威胁??
這點只是一些數字遊戲,根本不可能92%,啟發式若能做到30%~50%,已經相當不錯...

zmzcy

学习了

syfwxmh

回复 8楼 天光仔  的帖子

并不是，自习看LZ的帖子，这个数字里包括HIPS的
   

天光仔

这个数字里包括HIPS的?
那是我錯了,如果加起HIPS...卡巴斯基甚至能做到92%以上....謝謝大大的說明!