找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 2849|回复: 1

[已解决] 什么是启发式扫描技术

 关闭 [复制链接]

85

主题

101

帖子

408

积分

超级版主

Rank: 8Rank: 8

积分
408
发表于 2017-9-12 17:45:54 | 显示全部楼层 |阅读模式
   一个运用启发式扫描技术的病毒检测软件,实际上就是以特定方式实现的动态高度器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如,如果一段程序以如下序列开始:MOV AH ,5/INT,13h, 即调用格式化盘操作的BIOS指令功能,那么这段程序就高度可疑值得引起警觉,尤其是假如这段指令之前不存在取得命令行关于执行的参数选项,又没有要求用户交互性输入继续进行的操作指令时,可以有把握地认为这是一个病毒或恶意破坏的程序。
  在具体实现上,启发式扫描技术是相当复杂的。通常这类病毒检测软件要能够识别并探测许多可疑的程序代码指令序列,如格式化磁盘类操作,搜索和定位各种可执行程序的操作,实现驻留内存的操作,发现非常的或未公开的系统功能调用的操作,等等,所有上述功能操作将被按照安全和可疑的等级可以排序,根据病毒可能使用和具备的特点而授以不同的加权值。
  随便举个例子,格式化磁盘的功能操作几乎从不出现在正常的应用程序中,而病毒程序中则出现的几率极高,于是这类操作指令序列可获得较高的加权值,而驻留内存的功能不仅病毒要使用,很多应用程序也要使用,于是应当给予较低的加权值。如果对于一个程序的加权值的总和超过一个事先定义的阈值, 那么, 病毒检测程序就可以声称“发现病毒!”仅仅一项可疑的功能操作远不足以触发“病毒报警”的装置,如果不打算上演“狼来了”的谎报和虚报来故意吓人,最好把多种可疑功能操作同时并发的情况定为发现病毒的报警标准。
启发式扫描通常应设立的标志,为了方便用户或研究人员直观地检测被测试程序中可疑功能调用的存在情况,病毒检测程序可以显示为不同的可疑功能调用设置标志。
  例如,TbScan(参见注释)这一病毒检测软件就为每一项它定义的可疑病毒功能调用赋予一个旗标,如F,R,A……, 这样以来可以直观地帮助我们对被检测程序进行是否染毒的主观判断。

技术铸就品牌 安全回报社会   QQ:719079890   江民
   www.jiangmin.com        QQ:542130166   科技
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

官方微信| Archiver|手机版|江民论坛

GMT+8, 2018-12-16 11:20 , Processed in 1.067424 second(s), 20 queries .

北京江民新科技术有限公司 版权所有 X3.4

© 1996-2018 JIANGMIN.

快速回复 返回顶部 返回列表