该用户帖子内容已被屏蔽

假单的说:主动防御是基于行为库的判断(病毒的动作)
而传统的病毒库是对病毒截几段(为了准确)端特征码(二进制码)作为对病毒的判断标准

在“主动防御”技术的的实现上，主要是通过函数来进行控制。因为一个程序如果要实现自己的功能，就必须要通过接口调用操作系统提供的功能函数。以前在DOS里几乎所有的系统功能或第三方插件都是通过中断提供的，在Windows里一般是通过DLL里的API提供，也有少数通过INT 2E或SYSENTER提供。一个进程有怎么样的行为，通过看它调用了什么样的API就大概清楚了。比如它要读写文件就必然要调用CreateFile()，OpenFile()，NtOpenFile()，ZwOpenFile()等函数；要访问网络就必然要使用Socket函数。因此只要挂接系统API（尽量挂接RING0层的API，如果挂接RING3层的API将有可能被绕过），就可以知道一个进程将有什么动作，如果有危害系统的动作该怎么样处理等等。例如瑞星反病毒系统，用户可以在它的安装目录里找到几个驱动文件，其实这些驱动就是挂接了ntoskrnl.exe、ndis.sys等系统关键模块里的API，从而对进程的普通行为、网络行为、注册表行为进行监视。

不对 是别人欺负你的时候用盾牌