content/zh-cn/images/repository/isc/2017-images/39-Heurstic.jpg

启发式分析是一种通过检查代码的可疑属性来检测病毒的方法。

传统的病毒检测方法需要将程序中的代码与发现、分析和记录在数据库中的已知病毒类型的代码进行比较(此过程称为签名检测),以发现恶意软件。

尽管签名检测方法仍在使用,但其也变得更受局限,因为新威胁的发展在世纪之交变得愈演愈烈,并且一直在不断涌现。

为应对这一问题而专门设计的启发模式可以在未知的新病毒、现有威胁的修改版本以及已知的恶意软件样本中找出可疑特征。

网络罪犯在不断开发新的威胁,而启发式分析是能够应对每天涌现的这些海量新威胁的唯一方法。

启发式分析也是少数几种能够抵御多态病毒(表示会不断变化并适应的恶意代码)的方法之一。在卡巴斯基实验室等公司提供的高级安全解决方案中结合启发式分析,可以在新威胁造成损害之前将其检测出来,并且无需特定的签名。

启发式分析如何工作?

启发式分析可以采用多种不同的技术。其中一种启发式方法称为静态启发式分析,包括对可疑程序进行反编译并检查其源代码。然后,将此代码与已知且包含在启发式数据库中的病毒进行对比。如果有特定比例的源代码与启发式数据库中的任何内容相匹配,则将该代码标记为可能的威胁。

另一种方法称为动态启发。当科学家们想要在不危害到人的前提下分析可疑情况时,他们会将该物质容纳在安全的实验室等受控环境中,然后再执行测试。这一过程类似于启发式分析,只是后者处于虚拟世界中。

它会将可疑的程序或代码片段隔离在专用的虚拟机(或沙盒)内部,使防病毒程序有机会测试代码,并模拟允许运行可疑文件时所发生的情况。它将检查每个命令在激活情况下的状况并查找任何可疑行为,例如自我复制、覆盖文件以及其他在病毒中常见的操作。

潜在问题

启发式分析是识别新威胁的理想方法,但必须经过仔细调整才能成为有效的方法,提供尽可能最佳的新威胁检测,并且不会对完全没有威胁的代码进行误报。

出于这一原因,启发式工具通常只是成熟的防病毒武器库中的一件武器。它们通常与其他病毒检测方法一起部署,例如签名分析和其他主动预防技术。

相关文章:

相关产品:

什么是启发式分析?

启发式分析是一种通过检查代码的可疑属性来检测病毒的方法。其设计用于发现新病毒和已知威胁的修改版本。
Kaspersky Logo