簡介
這樣的軟體,隨著時間的推移,該軟體會提供給使用者相關知識的能力將會提高。啟發式防毒軟體
如部分防毒軟體啟發式掃描是通過分析指令出現的順序,或組合情況來決定檔案是否感染,每個對象都要檢查,這種方式查毒效果是最高的,但也最可能出現誤報。其實就是分析對象檔案與病毒特徵庫中的病毒原碼進行比較,當二者匹配率大於某一值時(通常這一值較小,所以容易誤報),防毒軟體就會將其列為可疑檔案以進行下一步的除理。這就是所謂啟發式。
最著名的就是NOD32,好多年前NOD32就是使用的啟發式掃描技術,目前NOD32的病毒庫也很小,但是查殺率極高,這都要歸功於啟發式掃描。
啟發式的對立面
關於商業反病毒軟體只能檢測已知的惡意軟體及其變種和亞種的說法可能不再像以前那樣普遍了。然而,部分取而代之的是另一種不很流行的說法,即病毒特徵碼掃描器和啟發式掃描器是兩種完全不同類型的掃描器。事實上,我們知道啟發式分析的使用已經有十幾年之久,而―已知病毒掃描器利用啟發式技術,最佳化病毒處理的歷史則更久。啟發式分析也在相關的應對措施,如行為攔截器和監控器,以及完整性檢查中占有一席之地。
在某種意義上,與反病毒軟體啟發式分析的相對的不是特徵碼掃描而是算法掃描,特徵碼掃描是其中的一種特殊的情況。
算法掃描,與其他形式的算法彙編一樣,以數學公理為基礎.業界所說的算法掃描,通常認為是基於一種算法(而非簡單的搜尋一個靜態字元串,或一種固定的字元串)針對特定目標病毒的檢測。
在某種意義上,與反病毒軟體啟發式分析的相對的不是特徵碼掃描而是算法掃描,特徵碼掃描是其中的一種特殊的情況。
當然,在日常生活中,上面提到的啟發式分析也被視為一種更為普遍意義上的算法。但是將算法一詞和病毒特徵關聯使用(因此有一些誤導),在業界已經非常廣泛,所以不容忽視。啟發式通常指使用分值算法判斷被掃描對象惡意與否,而非明確識別界定惡意軟體類別的方法。
